Крупный пробел в безопасности затронул экосистему блокчейна Sui, где злоумышленники вывели оценочно $200 миллионов из пулов ликвидности на Cetus, крупнейшей децентрализованной бирже в сети.
Эксплойт привел к широким потерям более чем по десяткам токенов в сети Sui, вызывая опасения по поводу безопасности ценовых механизмов на базе оракулов на растущих платформах уровня 1.
Атака вызвала резкое падение по многим токенам на основе Sui. Монеты-мемы, включая Lofi (LOFI), Sudeng (HIPPO) и Squirtle (SQUIRT), почти полностью потеряли в стоимости, с потерями от 76% до 97% всего за час. Токен самого Cetus упал на 53%. Аналитика по основной цепочке от DEX Screener показывает, что 46 токенов Sui показали двухзначные потери за 24-часовой период после инцидента.
Несмотря на это резкое падение цен токенов и видимую уязвимость ключевой инфраструктуры, родной токен SUI проявил стойкость, увеличившись на 2,2% за тот же период, возможно, поддерживаемый покупками при спаде или более общим рыночным импульсом.
По данным фирмы по обеспечению безопасности на блокчейне Cyvers, злоумышленники провели сложную стратегию манипуляции оракулом. Эксплуатируя недостатки в смарт-контрактах Cetus, они ввели поддельные токены, предназначенные для искажения резервов пулов ликвидности и искажения ценовых каналов.
"Эксплойт полагался на поддельные токены, которые создавали вводящие в заблуждение данные о ценах в пулах автоматизированного маркетмейкера (AMM) DEX," сказал Дэдди Лавид, CEO Cyvers. "Эта манипуляция позволила злоумышленникам извлекать легитимные активы, такие как SUI и USDC, из нескольких пулов ликвидности."
Инцидент подчеркивает известный риск во децентрализованных финансах (DeFi): зависимость от оракулов на основной цепи для предоставления данных о ценах. В данном случае злоумышленник смог манипулировать внутренними ценовыми кривыми без использования оркестров традиционных ценовых каналов, таких как Chainlink, предлагая более глубокую архитектурную уязвимость.
Перемещение между цепочками: отмывание выручки
После эксплойта злоумышленник начал перемещать украденные средства. Данные блокчейна показывают, что примерно $61,5 миллиона в USDC было быстро переброшено на Ethereum. Еще $164 миллиона остаются удерживаемыми в кошельке на базе Sui. На дату публикации ни один актив не был возвращен, и цепочные следователи продолжают отслеживать движения средств.
Конвертация украденных активов в USDC подчеркивает продолжающуюся важность стейблкоинов в операциях по отмыванию. Это также возобновляет давнюю критику в отношении эмитентов стейблкоинов, таких как Circle и Tether, за их часто медлительные реакции на заморозку неправомерно полученных средств.
Эмитенты стейблкоинов под огнем критики
Надзорные органы индустрии, включая ZachXBT и Cyvers, выразили обеспокоенность по поводу медленной реакции эмитента USDC Circle. В феврале Circle потребовалось более пяти часов для заморозки средств, связанных с Bybit эксплойтом, задержка, которую эксперты считают критической для времени укрытия злоумышленников. Tether столкнулся с аналогичной критикой за предполагаемые задержки в замораживании вредоносных счетов.
"Мы выпускали оповещения в реальном времени во множестве взломов, включая этот, но ответы эмитентов часто приходят слишком поздно," сказал Лавид. "Эта задержка создает уязвимые пробелы, которые делают постфактум вмешательства бессмысленными."
Растущая критика побуждает новые разговоры о децентрализованных альтернативах стейблкоинам и необходимости автоматических механизмов замораживания, которые могли бы уменьшить человеческую задержку в чрезвычайных ситуациях.
Реакция протокола и расследование
Cetus быстро приостановил свои смарт-контракты после обнаружения атаки. Протокол публично признал "инцидент" через социальные сети и объявил, что его внутренние группы проводят судебное расследование.
Внутренние сообщения, утекшие из Discord Cetus, предполагают, что корень эксплойта мог быть ошибкой в логике его оракула. Однако наблюдатели в социальных сетях выразили скептицизм, отметив, что уязвимости в логике AMM и архитектуре пулов ликвидности могут часто маскироваться как проблемы оракула.
"Это не была ошибка оракульной цены в традиционном смысле," сказал один разработчик DeFi, пожелавший сохранить анонимность. "Это системная проблема с тем, как некоторые DEX рассчитывают внутренние цены токенов в слаботоргующихся пулах."
Последствия для более широкой экосистемы Sui
Sui, блокчейн уровня 1, разработанный бывшими инженерами Meta, позиционирует себя как высокопроизводительная альтернатива Ethereum. Он был запущен с значительной помпой и получил популярность среди разработчиков благодаря языку программирования Move и модели параллельного исполнения транзакций.
Однако этот эксплойт теперь вызывает вопросы о зрелости его DeFi стека. Хотя базовый протокол Sui не был нарушен, атака подчеркивает, как уязвимости в критических приложениях, таких как DEX, могут представлять системные риски для новых цепочек.
Тот факт, что цены токенов так резко упали, также свидетельствует о ограниченной ликвидности и большом розничном воздействии, признаках незрелых экосистем. Восстановление может зависеть от того, как быстро Cetus и другие участники экосистемы смогут восстановить доверие и ликвидность.
Реакция сообщества и индустрии
Бывший CEO Binance Чанпен Чжао (CZ) признал эксплойт в социальных сетях, сказав, что его команда "делает все возможное, чтобы помочь Sui." Хотя комментарий был без деталей, это свидетельствует о том, что Binance может помогать в мониторинге или усилиях по
восстановлению.
Более широкая реакция в отрасли сосредоточена на опасностях неконтролируемого роста протоколов DeFi без соответствующих инвестиций в безопасность. Аналитики отмечают, что погоня за привлечением ликвидности и объема пользователей часто приводит к развертыванию непроверенных или слабо проверенных смарт-контрактов.
"Это не уникально для Sui или Cetus," сказал один руководитель отрасли. "Это повторяющийся шаблон на каждом уровне 1 и волне DeFi — инновации развиваются быстрее, чем безопасность, и пользователи платят цену."
Регуляторные и долгосрочные последствия
Эксплойт, вероятно, разжигает регуляторное
обследование вокруг межцепочечных мостов, протоколов DeFi и операций со стейблкоинами. В то время как регуляторные органы по всему миру продолжают разрабатывать новые рамки для крипто, инциденты высокого профиля, такие как этот, дают оправдание для более тщательной контрольной работы.
Это также поднимает вопросы об страховке и защите пользователей в DeFi. Без четкого возмещения для пользователей, затронутых эксплойтом, может возникнуть давление на протоколы для принятия механизмов страхования на основной цепи или взносов в децентрализованные фонды восстановления.
Некоторые аналитики утверждают, что такие инциденты могут ускорить переход в сторону цепей приложений и более вертикально интегрированных экосистем DeFi, где безопасность и инфраструк турные оракулы более жестко контролируются.
Знакомый паттерн в DeFi
Манипуляция с оракулом остается одним из самых стойких векторов атак в DeFi. Аналогичные эксплойты использовались для вывода миллионов из протоколов на Ethereum, BNB Chain, Avalanche и Solana. Метод варьируется, но принцип остается тем же: манипуляция средствами открытия цены для извлечения стоимости.
Этот эксплойт подчеркивает потребность в более надежных системах оракулов, включая гибридные модели, которые интегрируют как данные на цепи, так и вне цепи, механизмы ограничения ставок для предотвращения манипуляций и широкое применение автоматических прерываний, которые могут приостанавливать операции при обнаружении аномалий цен.
Финальные мысли
Для Sui предстоящие недели будут критическими. Как Cetus и другие крупные игроки в экосистеме отреагируют, вероятно, определит, смогут ли доверие и уверенность пользователей быть восстановлены. Если ликвидность останется на низком уровне и крупные проекты приостановят развитие, цепь рискует потерять инерцию, просто как конкуренция усиливается от других уровня 1.
Между тем, более широкое сообщество DeFi снова напоминается, что системам без разрешений, требования не только инновации, но и дисциплина — особенно когда дело доходит до дизайна смарт-контрактов, безопасности оракулов и координации реагирования на инциденты.
Атака Sui может не стать последним эксплойтом, связанным с оракулом, 2025 года. Но если индустрия серьезно касается безопасного масштабирования, она должна перестать считать безопасность как запоздалая мысль и начать внедрять это как основной принцип в дизайне с самого начала.