Poważne naruszenie bezpieczeństwa w Protokołu Cetus 22 maja 2025 roku spowodowało utratę około $260 milionów z giełdy zdecentralizowanej działającej na blockchainie Sui, co jest jednym z największych eksploatacji DeFi roku, podnosząc pilne pytania o rzeczywisty zdecentralizowany charakter pojawiających się sieci blockchain.
Incydent ujawnił krytyczne luki zarówno w bezpieczeństwie smart kontraktów, jak i w strukturach zarządzania siecią, mogące zmienić zaufanie inwestorów w przyszłe platformy blockchain.
Eksploatacja Protokołu Cetus stanowi trzeci największy hack zdecentralizowanych finansów w 2025 r., po ataku na most Wormhole na $340 milionów w marcu i incydencie Euler Finance na $285 milionów w lutym. Włamanie celowało jednocześnie w wiele puli płynności, z wykorzystaniem wcześniej nieznanej luki w kontraktach automatycznego animatora rynku, który zarządzał ponad $800 milionami całkowitej zamkniętej wartości.
Wstępna analiza kryminalistyczna sugeruje, że atak pochodził z zaawansowanej manipulacji pożyczką błyskawiczną połączoną z eksploatacją ponowną, która omijała standardowe kontrole bezpieczeństwa protokołu. Atakujący spuścili środki z co najmniej 12 różnych puli płynności, głównie celując w aktywa o wysokiej wartości, w tym tokeny SUI, USDC i owijane Bitcoin. Rekordy transakcji wskazują, że eksploatacja została przeprowadzona za pośrednictwem serii skoordynowanych transakcji odbywających się w ciągu 47 minut, pokazując głębokie zrozumienie architektury protokołu przez napastników.
Firma bezpieczeństwa blockchain CertiK poinformowała, że eksploatacja wykorzystała nowy wektor ataku, który połączył manipulację wyrocznią cenową z błędami logiki smart kontraktu, umożliwiając atakującym sztuczne napompowanie wartości aktywów przed wykonaniem ogromnych wypłat. Wyrafinowanie ataku sugeruje zaangażowanie doświadczonych deweloperów blockchain, którzy dobrze znają zarówno mechanizm konsensusu Sui, jak i szczegóły implementacji Protokołu Cetus.
Natychmiastowa reakcja wywołuje debatę o decentralizacji
Awaryjna reakcja Protokołu Cetus, polegająca na zatrzymaniu wszelkich operacji smart kontraktów w ciągu dwóch godzin od wykrycia naruszenia, zwiększyła kontrolę nad strukturą zarządzania siecią Sui. Zdolność protokołu do jednostronnego wstrzymania operacji, choć skuteczna w zapobieganiu dalszym stratom szacowanym na $150 milionów, stoi w sprzeczności z fundamentalnymi zasadami zdecentralizowanych finansów kładących nacisk na niezmienne i niepowstrzymane struktury finansowe.
Awaryjne wyłączenie zostało zrealizowane przez sieć walidatorów Sui, która składa się tylko z 127 aktywnych walidatorów w porównaniu do ponad 900,000 walidatorów Ethereum. Ta skoncentrowana struktura walidacji umożliwiła szybkie podejmowanie decyzji, ale wzbudziła obawy dotyczące potencjalnych pojedynczych punktów awarii i zdolności do skoordynowanej cenzury. Krytycy twierdzą, że takie mechanizmy kontroli centralizowanej zasadniczo podważają niezawodny charakter, który blockchain obiecuje dostarczyć.
Zespół fundacji sieci Sui, kierowany przez byłych kierowników Meta, którzy opracowali język programowania Move, bronił działań awaryjnych jako niezbędnej ochrony środków użytkowników. Jednak ich reakcja spotkała się z porównaniami do tradycyjnych instytucji finansowych, które mogą zamrażać konta i anulować transakcje, podkreślając napięcie między bezpieczeństwem a decentralizacją, które nadal stanowi wyzwanie dla branży blockchain.
Architektura techniczna ujawnia systemowe luki
Unikalny mechanizm konsensusu blockchain Sui, zwany Narwhal-Bullshark, przetwarza transakcje za pośrednictwem struktury skierowanego grafu acyklicznego, a nie tradycyjnych bloków blockchain. Choć ta konstrukcja umożliwia wyższą przepustowość i niższe opóźnienia, tworzy również nowe powierzchnie ataku, które badacze bezpieczeństwa nadal odkrywają. Eksploatacja Protokołu Cetus wykorzystała rozbieżności czasowe w walidacji powiązanych transakcji przez mechanizm konsensusu, umożliwiając atakującym manipulację zmianami stanu w wielu partiach transakcji.
Analiza firmy bezpieczeństwa Quantstamp wykazała, że eksploatacja wykorzystała oparty na obiektach model danych Sui, gdzie smart kontrakty wchodzą w interakcje z programowalnymi obiektami zamiast sald kont. To innowacyjne podejście, umożliwiając bardziej elastyczne interakcje smart kontraktów, wprowadziło złożoność, której deweloperzy Protokołu Cetus nie zdołali odpowiednio zabezpieczyć. Atak manipulował transferami własności obiektów w sposób omijający tradycyjne kontrole dostępu, ujawniając luki w ramach bezpieczeństwa zaprojektowanych dla systemów blockchain opartych na kontach. Konwersja zawartości:
"odróżnić prawdziwie zdecentralizowane protokoły od tych z centralizowanymi mechanizmami kontroli, co może wpłynąć na strukturę systemów zarządzania w przyszłościowych sieciach blockchain."
The Cetus Protocol breach represents a critical inflection point for the Sui ecosystem and broader blockchain industry's evolution. While the incident exposed significant vulnerabilities, it also demonstrated the practical challenges of balancing security, performance, and decentralization in next-generation blockchain networks. The community's response to addressing centralization concerns while maintaining security capabilities will likely influence the development trajectory of similar platforms.
Incydent związany z naruszeniem Cetus Protocol stanowi kluczowy punkt zwrotny dla ekosystemu Sui oraz dla ewolucji szeroko pojętej branży blockchain. Chociaż ten incydent ujawnił istotne luki w zabezpieczeniach, to równocześnie pokazał praktyczne wyzwania związane z równoważeniem bezpieczeństwa, wydajności i decentralizacji w przyszłościowych sieciach blockchain. Reakcja społeczności na kwestie związane z centralizacją, przy jednoczesnym zachowaniu możliwości bezpieczeństwa, prawdopodobnie wpłynie na trajektorię rozwoju podobnych platform.
"Sui Network ogłosił plany dotyczące kompleksowego przeglądu zarządzania, w tym propozycji zwiększenia wymagań dla walidatorów, szerszej dystrybucji tokenów zarządzania i wdrożenia opóźnień czasowych dla interwencji awaryjnych. Jednak wdrożenie znaczącej decentralizacji przy jednoczesnym zachowaniu przewag wydajnościowych, które wyróżniają Sui na tle konkurencji, pozostaje skomplikowanym wyzwaniem technicznym i ekonomicznym."