اختراق أمني مدمر في بروتوكول سيتوس بتاريخ 22 مايو 2025 تسبب في سحب حوالي 260 مليون دولار من البورصة اللامركزية العاملة على بلوكتشين سوي، مما جعلها واحدة من أكبر عمليات استغلال التمويل اللامركزي لهذا العام وأثار أسئلة عاجلة حول الطبيعة اللامركزية الحقيقية لشبكات البلوكتشين الناشئة.
لقد كشف الحادث عن نقاط ضعف حاسمة في كل من أمن العقود الذكية وهياكل حوكمة الشبكات التي قد تعيد تشكيل ثقة المستثمرين في منصات البلوكتشين من الجيل التالي.
يعتبر استغلال بروتوكول سيتوس ثالث أكبر عملية اختراق للتمويل اللامركزي في عام 2025، بعد هجوم جسر وورم هول بقيمة 340 مليون دولار في مارس وحادث شركة إيولر فاينانس بمبلغ 285 مليون دولار في فبراير. استهدف الاختراق عدة أحواض سيولة في وقت واحد، حيث استغل المهاجمون ثغرة غير معروفة سابقًا في عقود إدارة السوق الآلي للبروتوكول التي تدير قيمة إجمالية مؤمنة تزيد عن 800 مليون دولار.
تشير التحليلات الجنائية الأولية إلى أن الهجوم نشأ من تلاعب متقدم في القروض السريعة جنبًا إلى جنب مع استغلال عودة الدخول الذي تجاوز الفحوصات الأمنية القياسية للبروتوكول. استنزف المهاجمون الأموال من ما لا يقل عن 12 مجموعة سيولة مختلفة، مع استهداف الأصول ذات القيمة العالية بما في ذلك رموز SUI وUSDC وBitcoin المغلف. تشير سجلات المعاملات إلى أن الاستغلال تم تنفيذه من خلال سلسلة من المعاملات المنسقة التي وقعت في غضون 47 دقيقة، مما يدل على الفهم العميق للهندسة المعمارية للبروتوكول لدى المهاجمين.
أفادت شركة الأمن البلوكتشين CertiK بأن الاستغلال استخدم متجه هجوم جديد يجمع بين التلاعب بأوراكل الأسعار وعيوب منطق العقود الذكية، مما يسمح للمهاجمين بتضخيم قيم الأصول بشكل مصطنع قبل تنفيذ عمليات الانسحاب الضخمة. تشير تعقيدات الهجوم إلى تورط مطورين بلوكتشين ذوي خبرة لديهم معرفة وثيقة بآلية توافق سوي وتفاصيل تنفيذ بروتوكول سيتوس بشكل خاص.
رد فعل فوري يثير جدلاً حول اللامركزية
استجابة طارئة من بروتوكول سيتوس لإيقاف جميع عمليات العقود الذكية في غضون ساعتين من اكتشاف الاختراق زادت من التدقيق في هيكل حوكمة شبكة سوي. القدرة المميزة للبروتوكول لإيقاف العمليات بشكل أحادي، بالرغم من نجاحها في منع خسائر إضافية تقدر بحوالي 150 مليون دولار، تتناقض مع المبادئ الأساسية للتمويل اللامركزي التي تؤكد على بنية مالية غير قابلة للتغيير وغير قابلة للإيقاف.
تم تنفيذ الإغلاق الطارئ من خلال شبكة موثقي سوي، التي تتكون من 127 موثق نشطًا فقط مقارنةً بأكثر من 900000 موثق في إيثيروم. هذه البنية التحقق المتراكمة مكنت من اتخاذ قرارات سريعة ولكنها أثارت nhiều concerns about potential failure points ونقاط تنسيق الرقابة. يجادل النقد أن مثل هذه الآليات التحكم المركزية تقوض بشكل أساسي الطبيعة غير الموثوقة التي يَعِد بها تكنولوجيا البلوكتشين.
دافع الفريق التأسيسي لشبكة سوي، بقيادة مدراء سابقين في "ميتا" الذين طوروا لغة البرمجة "موف"، عن الإجراءات الطارئة باعتبارها حماية ضرورية لأموال المستخدمين. على الرغم من ذلك، جذبت استجابتهم مقارنات مع المؤسسات المالية التقليدية القادرة على تجميد الحسابات وعكس المعاملات، مما يسلط الضوء على التوتر بين الأمان واللامركزية التي تواصل تحدي صناعة البلوكتشين.
تكشف البنية التقنية عن نقاط ضعف نظامية
آلية التوافق في بلوكتشين سوي الفريدة، والمعروفة باسم ناروال-بولشارك، تعالج المعاملات من خلال هيكل رسم موجه دوري بدلاً من الكتل التقليدية للبلوكتشين. بينما يمكّن هذا التصميم من شراء مر
وفوائد throughput عالية و latency منخفضة، فإنه يخلق أيضًا أسطح هجوم جديدة لا يزال الباحثون في مجال الأمان يكتشفونها. استغل خرق بروتوكول سيتوس عدم التطابق في التوقيت في كيفية التحقق آلية التوافق من صحة المعاملات ذات الصلة، مما أتاح للمهاجمين التلاعب بتغييرات الحالة عبر دفعات المعاملات المتعددة.
كشف تحليل من شركة الأمن Quantstamp أن الاستغلال استفاد من نموذج سوي للبيانات المتمحور حول الكائنات، حيث تتفاعل العقود الذكية مع الكائنات المبرمجة بدلاً من الأرصدة الحسابية. هذا النهج الابتكاري، بينما يتيح تفاعلات العقود الذكية الأكثر مرونة، قدم تعقيدًا لم يتمكن مطورو بروتوكول سيتوس من تأمينها بشكل كافٍ. استغل الهجوم تحويلات ملكية الكائنات بطرق تجاوزت الضوابط التقليدية ل الوصول، مما سلّط الضوء على فجوات في الأطر الأمنية المصممة لأنظمة بلوكتشين مبنية على الحسابات.
أدت الواقعة إلى مراجعات أمنية طارئة عبر نظام سوي البيئي، حيث علقت ما لا يقل عن 15 بروتوكولات DeFi تشغيلاً مؤقتًا في انتظار عمليات تدقيق أمنية شاملة. اتخذت البروتوكولات الرئيسية بما في ذلك توربوس فاينانس، سيالوب ليند، وكريا DEX إجراءات وقائية بينما تجري شركات الأمنية مراجعات مكثفة للشفرة استخلاصًا للدروس المستفادة من استغلال سيتوس.
هيكل الحوكمة تحت التدقيق المكثف
يكشف تحليل توزيع رموز شبكة سوي عن مخاوف مركزية كبيرة قد سهلت الاستجابة السريعة للشبكة ولكنها تقوض مصداقيتها اللامركزية. تتحكم شركة ميسسن لابس، الشركة وراء تطوير سوي، بحوالي 18٪ من إجمالي عرض رموز SUI، بينما يحتفظ المستثمرون الأوائل وأعضاء فرق التطوير بنسبة إضافية تبلغ 32٪. يتيح هذا التركيز في سلطة الحوكمة والضع نوعًا ما لاتخاذ القرارات بسرعة ولكنه يتناقض مع مبادئ الحوكمة موزعة التي تعدها العديد من المدافعين عن البلوكشين أساسية.
يتطلب إطار حوكمة سوي باعتراف فريق التأسيس مجرد أغلبية بسيطة من حصص الموثقين لتطبيق تغييرات في البروتوكول، وهذا أقل بكثير من متطلبات الأغلبية العظمى الشائعة في الشبكات الأكثر رسوخًا. مكن هذا الحد من تنفيذ الإجراءات الطارئة خلال خرق سيتوس ولكنه يوضح أيضًا كيف أن تحالفاً صغيراً نسبياً من أصحاب المصالح يمكن أن يتلاعب بعمليات الشبكة لأغراض خبيثة.
يبقى مشاركة المجتمع في الحوكمة محدودة، حيث شارك أقل من 2400 عنوان فريد في اقتراحات الحوكمة الأخيرة على الرغم من وجود أكثر من 180000 عنوان نشط في الشبكة. تشير نسبة المشاركة المنخفضة هذه إلى أن قرارات الحوكمة تُدار بشكل فعال من مجموعة صغيرة من الموثقين ومجموعات التطوير الذين يحصلون على التمويل الكافي، مما يثير تساؤلات حول مشروعية الادعاءات بشأن الحوكمة اللامركزية.
سياق تاريخي
ينضم حادث بروتوكول سيتوس إلى قائمة متزايدة من عمليات استغلال التمويل اللامركزي الرئيسية التي استنزفت بشكل جماعي أكثر من 2.8 مليار دولار من البروتوكولات اللامركزية في عام 2025 وحده.
Content: التمييز بين البروتوكولات اللامركزية الحقيقية وتلك التي تحتوي على آليات تحكم مركزية، مما يمكن أن يؤثر على كيفية هيكلة أنظمة الحوكمة لشبكات البلوكشين من الجيل التالي.
يمثل خرق بروتوكول Cetus نقطة انعطاف حاسمة بالنسبة لنظام Sui البيئي وتطور صناعة البلوكشين بشكل أوسع. في حين أن الحادثة كشفت عن ثغرات كبيرة، فإنها أبرزت أيضًا التحديات العملية في تحقيق التوازن بين الأمن، الأداء، واللامركزية في شبكات البلوكشين من الجيل التالي. من المحتمل أن يؤثر رد فعل المجتمع تجاه معالجة مخاوف المركزية مع الحفاظ على قدرات الأمن على مسار تطوير منصات مماثلة.
أعلن شبكة Sui عن خطط لمراجعة شاملة للحوكمة، بما في ذلك اقتراحات لزيادة متطلبات المصادقين، توزيع رموز الحوكمة بشكل أوسع، وتنفيذ تأخيرات زمنية للتدخلات الطارئة. ومع ذلك، فإن تنفيذ لامركزية ذات مغزى مع الحفاظ على مزايا الأداء التي تميز Sui عن المنافسين يبقى تحديًا تقنيًا واقتصاديًا معقدًا.