Великий збій безпеки вплинув на екосистему Sui блокчейну, де зловмисники вивели близько $200 мільйонів з пулів ліквідності на Cetus, найбільшій децентралізованій біржі мережі.
Експлойт спричинив значні втрати для десятків токенів у мережі Sui, викликавши занепокоєння щодо безпеки оракульних механізмів ціноутворення на нових платформах Layer 1.
Атака призвела до різкого падіння цін на багато Sui-токенів. Мемні монети, такі як Lofi (LOFI), Sudeng (HIPPO) і Squirtle (SQUIRT), зазнали майже повної втрати вартості, втративши від 76% до 97% менш ніж за годину. Власний токен Cetus впав на 53%. Ланцюговий аналіз від DEX Screener показує, що 46 Sui-токенів зазнали двозначних втрат протягом 24 годин після інциденту.
Незважаючи на різке падіння цін на токени та очевидну вразливість ключової інфраструктури, рідний токен SUI продемонстрував стійкість, зросши на 2,2% за той самий період, ймовірно, завдяки покупкам на низах або загальному ринковому імпульсу.
Згідно з даними blockchain компанії з безпеки Cyvers, зловмисники здійснили складну стратегію маніпуляції оракулів. Вони використали недоліки в смарт-контрактах Cetus, ввели фальшиві токени, призначені для обману резервів пулів ліквідності та спотворення стрічок цін.
"Експлойт базувався на фальшивих токенах, які створювали оманливі дані про ціни всередині автоматизованих маркетмейкерних пулів DEX", - сказав Дедді Лавід, генеральний директор Cyvers. "Ця маніпуляція дозволила зловмисникам вивести реальні активи, такі як SUI та USDC, з декількох пулів ліквідності."
Інцидент підкреслює відоме співвідношення ризику в децентралізованих фінансах (DeFi): залежність від оракулів на ланцюзі для надання цінових даних. У цьому випадку зловмисники змогли маніпулювати внутрішніми ціновими кривими без використання традиційних оракулів, таких як Chainlink, що свідчить про глибшу архітектурну вразливість.
Переміщення між ланцюгами: відмивання здобичі
Після експлойту зловмисник почав переміщувати вкрадені кошти. Дані блокчейн показують, що приблизно $61,5 мільйона в USDC було швидко переміщено на Ethereum. Ще $164 мільйонів залишаються на гаманці, пов’язаному з Sui. За час публікації жоден з активів не був відновлений, а дослідники на ланцюзі продовжують стежити за рухом коштів.
Конверсія украдених активів в USDC підкреслює постійну важливість стейблкойнів у операціях відмивання. Це також відновлює давню критику на адресу стейблкойн-емітентів, таких як Circle і Tether, за їх зазвичай повільні реакції на заморожування незаконно отриманих коштів.
Нападки на емітентів стейблкойнів
На сторожі галузі, включаючи ZachXBT і Cyvers, підняли занепокоєння стосовно повільного темпу реакції емітента USDC, Circle. У лютому Circle знадобилося більше п’яти годин, щоб заморозити кошти, пов'язані з експлойтом на Bybit, затримка, яку експерти вважають такою, що надала критичний час для зловмисників на втечу. Tether зазнала подібної критики через сприйняті затримки у заморожуванні зловмисних облікових записів.
"Ми випускаємо в реальному часі попередження в численних хакерських атаках, включаючи цю, однак відповіді з боку емітентів часто запізнюються", - сказав Лавід. "Ця затримка створює експлуатовані прогалини, які роблять утручання постфактум безглуздими."
Зростаюча критика спонукає до нових розмов про децентралізовані альтернативи стейблкойнів і необхідність автоматизованих механізмів заморожування, які можуть зменшити людську затримку в кризових ситуаціях.
Реакція протоколу та розслідування
Cetus швидко призупинив свої смарт-контракти після виявлення атаки. Протокол публічно визнав "інцидент" через соціальні мережі та оголосив, що його внутрішні команди проводять судово-експертне розслідування.
Внутрішні повідомлення, що просочилися з Cetus’s Discord, свідчать про те, що корінь експлойту міг бути в багу в логіці оракула. Однак спостерігачі в соціальних мережах висловили скептицизм, зазначивши, що вразливості в логіці AMM і архітектурі пулів ліквідності можуть часто маскуватися як проблеми з оракулом.
"Це не був баг з ціновим ораклом у традиційному сенсі", - сказав один розробник DeFi, який попросив залишитися анонімним. "Це системна проблема з тим, як деякі DEXи обчислюють внутрішні ціни на токени в слабко проторгованих пулах."
Наслідки для ширшої екосистеми Sui
Sui, блокчейн Layer 1, розроблений колишніми інженерами Meta, позиціонує себе як високопродуктивну альтернативу Ethereum. Він був запущений з великим розмахом і здобув популярність серед розробників за його мову програмування Move і модель паралельного виконання транзакцій.
Однак цей експлойт тепер ставить питання про зрілість його DeFi стека. Хоча базовий протокол Sui не був скомпрометовано, атака підкреслює, як вразливості у критичних додатках, таких як DEXи, можуть становити системні ризики для нових ланцюгів.
Факт, що ціни на токени впали так різко, також свідчить про обмежену ліквідність і високий рівень роздрібної участі, характерний для незрілих екосистем. Відновлення може залежати від того, як швидко Cetus та інші учасники екосистеми зможуть відновити довіру та ліквідність.
Реакція спільноти та індустрії
Колишній генеральний директор Binance Чанпенг Чжао (CZ) визнав експлойт у соціальних мережах, сказавши, що його команда "робить усе можливе, щоб допомогти Sui". Хоча коментар не містив деталей, це свідчить про те, що Binance може надавати допомогу у моніторингу або відновленнi.
Більш широка реакція індустрії зосереджена на небезпеках неконтрольованого зростання DeFi протоколів без відповідних інвестицій у безпеку. Аналітики зазначають, що поспіх залучити ліквідність та обсяги користувачів часто веде до впровадження неаудійованих або слабоаудійованих смарт-контрактів.
"Це не унікально для Sui або Cetus", - сказав один керівник галузі. "Це повторюваний патерн в кожному хвилі Layer 1 і DeFi - інновації рухаються швидше, ніж безпека, і користувачі платять за це."
Регуляторні та довгострокові наслідки
Експлойт, ймовірно, відновить регуляторну перевірку навколо міжланцюжкових мостів, DeFi протоколів та операцій стейблкойнів. З моменту, коли світові регуляторні органи продовжують розробляти нові рамки для криптовалют, такі гучні інциденти, як цей, надають обґрунтування для жорсткішого контролю.
Це також піднімає питання про страхування та захист користувачів у DeFi. Оскільки для користувачів, постраждалих від експлойту, немає чіткої можливості вирішення, може зрости тиск на протоколи прийняти он-чейн страхові механізми або вкласти кошти у децентралізовані фонди відновлення.
Деякі аналітики стверджують, що такі інциденти можуть прискорити перехід до аппчейнів і більш вертикально інтегрованих екосистем DeFi, де безпека та оракульна інфраструктура контролюються більш жорстко.
Знайомий патерн в DeFi
Маніпуляція з оракулом залишається одним із найбільш персистентних векторів атаки в DeFi. Подібні експлойти використовуються для відкачування мільйонів з протоколів на Ethereum, BNB Chain, Avalanche та Solana. Метод варіюється, але принцип залишається тим самим: маніпулювання механізмами виявлення цін для вилучення вартості.
Цей експлойт підкреслює необхідність більш стійких систем оракулів, включаючи гібридні моделі, які містять як дані на ланцюзі, так і поза ним, механізми обмеження швидкості, щоб запобігти маніпуляціям, та ширше використання аварійних вимикачів, які можуть призупиняти операції під час виявлення ценових аномалій.
Заключні думки
Для Sui найближчі тижні будуть критичними. Як Cetus та інші ключові учасники екосистеми будуть реагувати, ймовірно, визначить, чи зможе бути відновлена довіра розробників та користувачів. Якщо ліквідність залишатиметься низькою, а основні проекти призупинять розвиток, ланцюг ризикує втратити імпульс саме тоді, коли конкуренція з інших Layer 1 посилюється.
Тим часом, ширша DeFi-спільнота знову нагадує про те, що дозволені системи вимагають не тільки інновацій, але й дисципліни - особливо, коли мова йде про дизайн смарт-контрактів, безпеку оракулів та координацію реагування на інциденти.
Атака на Sui може бути не останнім експлойтом, пов'язаним з оракулом у 2025 році. Але якщо галузь серйозно ставиться до безпечного масшттабування, вона повинна припинити ставитися до безпеки як до вторинної турботи і почати впроваджувати її як основний принцип дизайну з самого початку.