Разрушительное нарушение безопасности в протоколе Cetus 22 мая 2025 года истощило примерно $260 миллионов с децентрализованной биржи, работающей на блокчейне Sui, что стало одной из крупнейших атак на DeFi в этом году и вызвало срочные вопросы о истинной децентрализации новых блокчейн-сетей.
Инцидент выявил критические уязвимости как в безопасности смарт-контрактов, так и в структурах управления сетью, что может изменить уверенность инвесторов в блокчейн-платформах следующего поколения.
Взлом протокола Cetus является третьей по величине атакой на децентрализованные финансы в 2025 году после взлома моста Wormhole на $340 миллионов в марте и инцидента с Euler Finance на $285 миллионов в феврале. Нарушение нацелилось на несколько пулов ликвидности одновременно, с использованием ранее неизвестной уязвимости в автоматизированных торговых контрактах протокола, управляющих более чем $800 миллионами в общей заблокированной стоимости.
Первоначальный судебный анализ предполагает, что атака возникла из-за сложной манипуляции с флеш-займами в сочетании с повторной уязвимостью, которая обошла стандартные проверки безопасности протокола. Злоумышленники вывели средства как минимум из 12 различных пулов ликвидности, главным образом нацеливаясь на активы высокой ценности, включая токены SUI, USDC и завернутый биткоин. Записи транзакций показывают, что эксплойт был выполнен через серию скоординированных транзакций, происходящих в течение 47-минутного окна, демонстрируя глубокое понимание атакующими архитектуры протокола.
Блокчейн-компания CertiK сообщила, что эксплойт использовал новый вектор атаки, сочетающий манипуляцию ценовым оракулом с логическими ошибками смарт-контрактов, что позволило злоумышленникам искусственно завысить стоимость активов перед выполнением массовых изъятий. Сложность атаки предполагает участие опытных блокчейн-разработчиков с глубокими знаниями как механизма консенсуса Sui, так и специфических деталей реализации протокола Cetus.
Мгновенный ответ вызывает дебаты о децентрализации
Экстренный ответ протокола Cetus на приостановку всех операций смарт-контрактов в течение двух часов после обнаружения взлома усилил контроль за структурой управления сетью Sui. Способность протокола в одностороннем порядке приостанавливать операции, хотя и успешная в предотвращении дополнительных потерь, оцениваемых в $150 миллионов, противоречит основным принципам децентрализованных финансов, которые подчеркивают неизменяемую и непрерывно функционирующую финансовую инфраструктуру.
Экстренное приостановление было выполнено через сеть валидаторов Sui, состоящую всего из 127 активных валидаторов по сравнению с более чем 900,000 валидаторами Ethereum. Эта концентрированная структура валидации позволила принять решение быстро, но вызвала опасения по поводу потенциальных единых точек отказа и возможностей скоординированной цензуры. Критики утверждают, что такие централизованные механизмы управления подрывают доверительные отношения, которые, как обещает предоставлять, технология блокчейн.
Команда фонда Sui Network, возглавляемая бывшими руководителями Meta, разработавшими язык программирования Move, защитила экстренные меры как необходимую защиту пользовательских средств. Однако их ответ вызвал сравнения с традиционными финансовыми учреждениями, способными замораживать счета и разворачивать транзакции, что подчеркивает напряженность между безопасностью и децентрализацией, которая продолжает ставить перед блокчейн-индустрией сложные задачи.
Техническая архитектура выявляет системные уязвимости
Уникальный механизм консенсуса блокчейна Sui, называемый Narwhal-Bullshark, обрабатывает транзакции через структуру направленного ацикличного графа вместо традиционных блокчейнов. Хотя этот дизайн обеспечивает более высокую пропускную способность и меньшую задержку, он также создает новые поверхности для атак, которые исследователи безопасности все еще открывают. Взлом протокола Cetus использовал расхождения во времени в том, как механизм консенсуса проверяет связанные транзакции, позволяя злоумышленникам манипулировать изменениями состояния через несколько групп транзакций.
Анализ компании по безопасности Quantstamp показал, что эксплойт использовал ориентированную на объект модель данных Sui, в которой смарт-контракты взаимодействуют с программируемыми объектами, а не с учетными балансами. Этот инновационный подход, хотя и улучшает гибкость взаимодействий смарт-контрактов, добавляет сложность, которую разработчики протокола Cetus не смогли адекватно защитить. Атака манипулировала передачей собственности объектов таким образом, который обходил традиционные средства контроля доступа, подчеркивая пробелы в рамках безопасности, разработанные для систем блокчейнов на основе учетных записей.
Инцидент вызвал экстренные обзоры безопасности по всей экосистеме Sui, с как минимум 15 другими DeFi-протоколами, временно приостанавливающими операции в ожидании всесторонних аудитов безопасности. Основные протоколы, включая Turbos Finance, Scallop Lend и Kriya DEX, внедрили превентивные меры в то время как фирмы безопасности проводят тщательные обзоры кода на основе уроков, извлеченных из взлома Cetus.
Структура управления под интенсивным контролем
Анализ распределения токенов в сети Sui выявляет значительные проблемы с централизацией, которые могли облегчить быстрый ответ сети, но подрывают её децентрализованную репутацию. Mysten Labs, компания, стоящая за разработкой Sui, контролирует примерно 18% общего предложения токенов SUI, в то время как ранние инвесторы и члены команды разработки владеют еще 32%. Эта концентрация полномочий управления в сравнительно немногих руках позволяет быстро принимать решения, но противоречит распределенным принципам управления, которые многие сторонники блокчейна считают важными.
Основной деятельностью Фонда Sui Network является требование всего лишь простого большинства долей валидаторов для внедрения изменений в протокол, что значительно ниже, чем требования супербольшинства, распространенные в более устоявшихся сетях. Этот порог позволил быстро внедрить экстренные меры во время взлома Cetus, но также демонстрирует, как относительно малая коалиция участников могла бы манипулировать операциями сети в злонамеренных целях.
Участие сообщества в управлении остаётся ограниченным, с менее чем 2,400 уникальными адресами, участвующими в недавних предложениях по управлению, несмотря на более чем 180,000 активных адресов в сети. Эта низкая активность участия предполагает, что решения по управлению в значительной степени контролируются небольшой группой хорошо финансируемых валидаторов и команд разработчиков, вызывая вопросы о легитимности заявлений о децентрализованном управлении.
Исторический контекст
Инцидент с протоколом Cetus пополняет растущий список крупных эксплойтов DeFi, которые только в 2025 году суммарно истощили более $2,8 миллиарда из децентрализованных протоколов. Однако в отличие от прежних инцидентов, которые в основном нацеливались на устоявшиеся сети, такие как Ethereum и Binance Smart Chain, этот взлом выявляет уникальные уязвимости в новых архитектурах блокчейнов, обещающих улучшенные производительность и масштабируемость.
Взлом DAO на Ethereum в 2016 году, который привел к спорному хард-форку для восстановления украденных средств, стал прецедентом для решительных сетевых вмешательств во время кризисов безопасности. Однако, этот инцидент включал более широко децентрализованные дебаты сообщества, продолжающиеся несколько недель, резко контрастируя с быстрым и централизованным ответом Sui. Скорость вмешательства Sui, хотя и защищала средства пользователей, показывает структуры управления, которые больше напоминают традиционные корпоративные принятия решений, чем децентрализованный консенсус.
Недавние академические исследования из MIT и Стэнфорда задокументировали обратную зависимость между оптимизацией производительности блокчейна и истинной децентрализацией, подразумевая, что новые сети, такие как Sui, могут столкнуться с внутренними компромиссами между технической эффективностью и децентрализованным управлением. Инцидент с Cetus предоставляет реальные доказательства этих теоретических опасений.
Влияние на рынок
Нарушение протокола Cetus вызвало немедленные рыночные реакции по всей экосистеме Sui, с падением токена SUI на 23% в течение 24 часов после объявления об инциденте. Общая стоимость, заблокированная в DeFi-протоколах на основе Sui, снизилась с $1,2 миллиарда до $890 миллионов, поскольку инвесторы вывели средства в ожидании разъяснений о безопасности. Более широкое влияние распространилось и на другие блокчейн-сети следующего поколения, с продажами по симпатии, затрагивающими подобные платформы первого уровня, такие как Aptos и Solana.
Институциональные инвесторы, которые недавно увеличили вложения в проекты на основе Sui, начали пересматривать профили рисков для новых блокчейн-платформ. Венчурная компания Andreessen Horowitz, крупный инвестор Sui, выпустила заявления, подчеркивая важность надежных практик безопасности, при этом сохраняя долгосрочную уверенность в потенциале сети. Однако, несколько институциональных DeFi фондов временно приостановили новые инвестиции в проекты экосистемы Sui в ожидании всеобъемлющих проверок безопасности.
Инцидент также повысил внимание к страховым протоколам, покрывающим риски DeFi, с увеличением претензий от Nexus Mutual и InsurAce и поднятием премий за покрытия протоколов на основе Sui. Страховая емкость для новых блокчейн-сетей может постепенно стать ограниченной по мере того, как страховщики пересматривают профили риска и выгоды от покрытия экспериментальных DeFi-протоколов.
Заключительные мысли
Нарушение протокола Cetus привлекло внимание финансовых регуляторов, уже пристально изучающих протоколы DeFi с точки зрения потенциальных системных рисков. Недавние действия Комиссии по ценным бумагам и биржам США против платформ DeFi частично сосредоточены на структурах управления, которые допускают централизованный контроль над якобы децентрализованными протоколами. Способности сети Sui к быстрому вмешательству могут пригласить дополнительный регуляторный контроль относительно классификации таких платформ как традиционная финансовая инфраструктура, подлежащая регулированию в банкинге.
Регламентаторы Европейского Союза, реализующие регулирование Markets in Crypto-Assets (MiCA), определили централизацию управления как ключевой фактор в определении регуляторной классификации. Инцидент Cetus может ускорить разработку регуляторных рамок, которые... Content: различать по-настоящему децентрализованные протоколы и те, которые имеют механизмы централизованного контроля, что потенциально влияет на то, как сети блокчейнов следующего поколения структурируют свои системы управления.
Нарушение протокола Cetus представляет собой критическую точку перелома в развитии экосистемы Sui и всей индустрии блокчейнов. Хотя инцидент выявил значительные уязвимости, он также продемонстрировал практические трудности в балансе безопасности, производительности и децентрализации в блокчейновых сетях следующего поколения. Реакция сообщества на решение вопросов централизации при сохранении возможностей по обеспечению безопасности, вероятно, повлияет на траекторию развития аналогичных платформ.
Сеть Sui объявила о планах проведения всестороннего обзора системы управления, включая предложения по увеличению требований к валидаторам, более широкому распределению токенов управления и внедрению временных задержек для экстренных вмешательств. Однако реализация значимой децентрализации при сохранении преимуществ производительности, которые отличают Sui от конкурентов, остается сложной технической и экономической проблемой.