Великий витік безпеки вразив екосистему блокчейна Sui, спричинивши викрадення близько $200 мільйонів з пулів ліквідності на Cetus, найбільшій децентралізованій біржі мережі.
Цей експлойт привів до значних втрат серед десятків токенів на ланцюгу Sui, викликаючи занепокоєння щодо безпеки механізмів ціноутворення на базі ораклів у нових платформах Layer 1.
Атака привела до різкого обвалу багатьох токенів Sui. Мем-коїни, включаючи Lofi (LOFI), Sudeng (HIPPO) і Squirtle (SQUIRT), зазнали майже повної втрати вартості, зниження від 76% до 97% менш ніж за годину. Власний токен Cetus впав на 53%. Аналітика з DEX Screener показує, що 46 токенів Sui опублікували двозначні збитки за 24 години після інциденту.
Попри різке зниження цін токенів та очевидну вразливість ключової інфраструктури, нативний токен SUI показав стійкість, піднявшись на 2.2% у той же період, можливо, завдяки покупкам на дипі або ширшому ринковому імпульсу.
За даними компанії Cyvers, яка займається безпекою блокчейнів, зловмисники виконали складну стратегію маніпуляції ораклами. Використовуючи недоліки в смарт-контрактах Cetus, вони додали підроблені токени, призначені для спотворення резервів пулів ліквідності та зміни цінових стримувань.
«Експлойт опирався на підроблені токени, які створили хибні цінові дані у пулах автоматизованого маркетмейкингу (AMM) DEX», - сказав Дедді Лавід, генеральний директор Cyvers. "Ця маніпуляція дозволила зловмисникам вилучити законні активи, такі як SUI та USDC, з декількох пулів ліквідності."
Інцидент підкреслює відомий ризик у децентралізованих фінансах (DeFi): залежність від оракулів на ланцюгу для надання цін. У цьому випадку зловмисник зміг маніпулювати внутрішніми кривими цін без опори на традиційні оракули цінових стримувань, такі як Chainlink, пропонуючи глибшу архітектурну вразливість.
Переміщення через ланцюги: відмивання прибутків
Після атаки зловмисник почав переміщувати вкрадені кошти. Дані блокчейна показують, що близько $61,5 мільйона в USDC було швидко передано на Ethereum. Ще $164 мільйони залишаються у гаманці, що базується на Sui. На момент публікації жодні активи не були повернуті, і слідчі продовжують стежити за переміщенням коштів.
Конверсія вкрадених активів у USDC підкреслює важливість стейблкоїнів у відмивних операціях. Це також знову запалює критику проти емітентів стейблкоїнів, таких як Circle та Tether, за їхню часто повільну реакцію на заморожування незаконно отриманих коштів.
Несправедливості щодо емітентів стейблкоїнів
Наглядові організації індустрії, включаючи ZachXBT і Cyvers, висловили занепокоєння щодо повільної реакції емітента USDC, Circle. У лютому Circle знадобилося понад п'ять годин на те, щоб заморозити кошти, пов’язані з експлойтом Bybit, зволікання, яке на думку експертів дало зловмисникам критичний час для втечі. Tether теж піддавався аналогічній критиці за сприймана повільність у замороженні зловмисних акаунтів.
«Ми оповістили в режимі реального часу про численні злами, включаючи цей, але відповіді від емітентів часто приходять надто пізно», - сказав Лавід. "Ця затримка створює експлойтабельні люки, які перетворюють післясмертні втручання на марні."
Ростуча критика спонукає нові розмови про децентралізовані альтернативи стейблкоїнам і необхідність автоматичних механізмів заморожування, які б могли зменшити людську затримку у разі надзвичайних ситуацій.
Відповідь протоколу та розслідування
Cetus швидко призупинив свої смарт-контракти після виявлення атаки. Протокол офіційно визнав «інцидент» через соціальні мережі та оголосив, що його внутрішні команди проводять судове розслідування.
Внутрішні повідомлення, що просочилися з Discord Cetus, вказують на те, що корінь експлойта міг бути у помилці в логіці оракула. Однак спостерігачі в соціальних мережах висловили скептицизм, відзначаючи, що вразливості в логіці AMM та архітектурі пулів ліквідності часто можуть маскуватися, як проблеми з оракулом.
"Це не була помилка цінового оракула в традиційному сенсі," - сказав один розробник DeFi, який побажав залишитися анонімним. "Це системна проблема з тим, як деякі DEX обчислюють внутрішні ціни токенів у малотиражованих пулах."
Наслідки для ширшої екосистеми Sui
Sui, блокчейн рівня 1, розроблений колишніми інженерами Meta, позиціонує себе як висопродуктивну альтернативу Ethereum. Він запущений з великим розголосом і привернув увагу розробників через свою мову програмування Move та модель паралельного виконання транзакцій.
Однак цей експлойт піднімає питання про зрілість його стека DeFi. Хоча базовий протокол Sui не було скомпрометовано, напад підкреслює, як вразливості у критичних додатках, таких як DEX, можуть створювати системні ризики для нових ланцюгів.
Те, що ціни на токени впали так різко, також свідчить про обмежену ліквідність та високий інтерес від роздрібних інвесторів, ознаки незрілих екосистем. Відновлення може залежати від того, як швидко Cetus та інші учасники екосистеми можуть відновити довіру та ліквідність.
Реакція спільноти та індустрії
Колишній генеральний директор Binance Чанпен Чжао (CZ) визнав експлойт у соціальних мережах, заявивши, що його команда "робить усе можливе, щоб допомогти Sui." Хоча коментар не містив подробиць, це натякає на те, що Binance може допомагати у моніторингу або зусиллях по відновленню.
Ширша реакція індустрії зосереджена на небезпеках неконтрольованого зростання протоколів DeFi без відповідних інвестицій у безпеку. Аналітики відзначають, що гонитва за привабленням ліквідності та обсягом користувачів часто призводить до розгортання неаудійованих або слабо аудійованих смарт-контрактів.
"Це не унікально для Sui або Cetus," - сказав один з керівників індустрії. "Це повторювана картина в кожній хвилі Layer 1 і DeFi - інновації рухаються швидше, ніж безпека, і користувачі платять ціну."
Регуляторні та довгострокові наслідки
Експлойт, ймовірно, знову викличе регуляторний контроль щодо крос-ланцюгових мостів, протоколів DeFi та операцій зі стейблкоїнами. Оскільки регуляторні органи по всьому світу продовжують розробляти нові рамки для криптовалюти, такі видатні інциденти, як цей, надають виправдання для жорсткішого нагляду.
Це також пожвавлює питання про страхування та захист користувачів у DeFi. За відсутністю чітких можливостей для постраждалих користувачів, тиск може зрости на протоколи для прийняття механізмів на ланцюгу для страхування або внеску в децентралізовані фонди відновлення.
Дехто з аналітиків стверджує, що такі інциденти можуть прискорити зміщення до додатків та більш вертикально інтегрованих екосистем DeFi, де безпека та оракульна інфраструктура більш жорстко контролюється.
Знайомий шаблон у DeFi
Маніпуляція оракулами залишається одним з найбільш стійких векторів атаки в DeFi. Подібні експлойти використовувалися для випорожнення мільйонів з протоколів на Ethereum, BNB Chain, Avalanche та Solana. Метод варіюється, але принцип залишається тим самим: маніпулювати механізмами відновлення цін для вилучення вартості.
Цей експлойт підкреслює необхідність у більш надійних системах оракул, включаючи гібридні моделі, що охоплюють як дані на ланцюгу, так і поза ним, механізми обмеження швидкості для запобігання маніпуляціям, а також ширше впровадження обмежувачів, які можуть призупинити операції при виявленні аномалій цін.
Заключні думки
Для Sui найближчі тижні будуть критичними. Як Cetus та інші великі учасники екосистеми реагуватимуть, ймовірно, буде визначати, чи зможуть розробники та користувачі відновити довіру. Якщо ліквідність залишиться низькою і великі проекти призупинять розвиток, ланцюг ризикує втратити імпульс у той момент, коли конкуренція з інших Layer 1 посилюється.
Тим часом ширша спільнота DeFi знову нагадує, що бездозвільні системи вимагають не лише інновацій, а й дисципліни - особливо коли справа доходить до проектування смарт-контрактів, безпеки оракулів та спільної координації реагування на інциденти.
Атака на Sui може й не бути останнім експлойтом, пов’язаним з оракулами, у 2025 році. Але якщо індустрія серйозно налаштована на безпечне масштабування, вона повинна перестати сприймати безпеку як домисл і почати впроваджувати її як основний принцип дизайну з самого початку.