22 травня 2025 року стався руйнівний прорив безпеки в протоколі Cetus, що призвів до втрати приблизно $260 мільйонів з децентралізованої біржі, яка працює на блокчейні Sui, ставши однією з найбільших DeFi атак року і викликаючи нагальні питання щодо істинної децентралізованої природи нових блокчейн-мереж.
Інцидент виявив критичні вразливості як у безпеці смарт-контрактів, так і у структурах управління мережею, що може підірвати довіру інвесторів до платформ блокчейну наступного покоління.
Експлуатація протоколу Cetus є третьою за величиною атакою на децентралізовані фінанси в 2025 році, після атаки на міст Wormhole вартістю $340 мільйонів у березні і інциденту Euler Finance на $285 мільйонів у лютому. Нападники одночасно націлили кілька пулів ліквідності, використовуючи раніше невідомі вразливості в контрактах автоматичного маркетмейкера протоколу, які керують активами на суму понад $800 мільйонів.
Початкові судово-технічні дослідження свідчать, що атака розпочалася з ретельно спланованої маніпуляції з флаш-позикою у поєднанні з повторною вразливістю, котра обійшла стандартні перевірки безпеки протоколу. Нападники викрали кошти з щонайменше 12 різних пулів ліквідності, головним чином націлюючись на активи високої вартості, включаючи токени SUI, USDC та загорнутий Bitcoin. Записи транзакцій свідчать, що це було здійснено через серію узгоджених транзакцій, що тривали 47 хвилин, демонструючи глибоке розуміння структурної архітектури протоколу нападниками.
Блокчейн-компанія CertiK повідомляє, що експлойт використовував новий вектор атаки, який комбінував маніпуляцію з ореклом цін з логічними помилками в смарт-контракті, дозволяючи нападникам штучно піднімати вартість активів перед великими зняттями. Складність атаки свідчить про причетність досвідчених розробників блокчейну, які уважно знайомі як з механізмом консенсусу Sui, так і з специфічними деталями реалізації протоколу Cetus.
Негайна реакція провокує дебати про децентралізацію
Негайна реакція протоколу Cetus зупинити всі операції зі смарт-контрактами протягом двох годин після виявлення порушення під час критики щодо структури управління мережею Sui. Здатність протоколу однобічно призупиняти операції, хоча і успішно запобігла додатковим втратам на суму $150 мільйонів, суперечить фундаментальним принципам децентралізованих фінансів, які наголошують на нестабільній та невідворотній фінансовій інфраструктурі.
Аварійне відключення було здійснено через мережу валідаторів Sui, яка складається лише зі 127 активних валідаторів у порівнянні з Ethereum, яка налічує понад 900,000 валідаторів. Ця концентрована структура валідації дозволила швидке прийняття рішень, але підняла занепокоєння щодо потенційних єдиних точок відмов і здатності до координаційної цензури. Критики стверджують, що такі механізми централізованого управління фундаментально підривають позаперечну природу, яку обіцяє технологія блокчейн.
Команда фонду Sui, під керівництвом колишніх керівників Meta, які розробили мову програмування Move, захищали аварійні заходи як необхідний захист користувальницьких коштів. Проте, їхній відповідь викликає порівняння з можливістю заморожувати рахунки та скасувати транзакції в традиційних фінансових установах, підкреслюючи напруження між безпекою та децентралізацією, яке продовжує кидати виклик індустрії блокчейн.
Технічна архітектура виявляє системні вразливості
Унікальний механізм консенсусу блокчейну Sui, відомий як Narwhal-Bullshark, обробляє транзакції за допомогою структури спрямованого ациклічного графа, а не традиційних блокчейн-блоків. Хоча цей дизайн дозволяє вищу пропускну здатність і нижчу затримку, він також створює нові поверхні атак, які безпекові дослідники ще відкривають. Порушення протоколу Cetus використовувало розбіжності у часі, як механізм консенсусу перевіряє пов'язані транзакції, що дозволило нападникам маніпулювати змінами стану в кількох пакетах транзакцій.
Аналіз безпеки компанії Quantstamp показав, що експлойт використовував об'єктно-орієнтовану модель даних Sui, де смарт-контракти взаємодіють з програмованими об'єктами, а не балансами облікових записів. Цей новаторський підхід, хоча і дозволяє більш гнучкі взаємодії смарт-контрактів, вніс складність, яку розробники протоколу Cetus не змогли адекватно забезпечити. Атака маніпулювала передачами власності об'єктів таким чином, щоб обійти традиційні засоби контролю доступу, підкреслюючи прогалини в безпекових структурах, розроблених для облікових систем бази блокчейн.
Інцидент спричинив екстрені перевірки безпеки у всій екосистемі Sui, і щонайменше 15 інших протоколів DeFi тимчасово призупинили операції, очікуючи на комплесні перевірки безпеки. Основні протоколи, такі як Turbos Finance, Scallop Lend і Kriya DEX, впровадили запобіжні заходи, в той час як фірми безпеки проводять ретельні огляди коду з урахуванням уроків, засвоєних з вибуху Cetus.
Структура управління під інтенсивною критикою
Аналіз розподілу токенів мережі Sui виявляє значну централізацію, що, можливо, полегшила швидку реакцію мережі, але компрометує її децентралізовану довіру. Mysten Labs, компанія, що стоїть за розробкою Sui, контролює приблизно 18% загальної пропозиції токенів SUI, тоді як ранні інвестори і члени команди розробників контролюють додаткові 32%. Ця концентрація управлінської влади в руках відносно небагатьох людей дозволяє швидке прийняття рішень, але суперечить принципам розподільного управління, які багато прихильників блокчейну вважають істотними.
Структура управління Sui Foundation вимагає лише простої більшості ставок валідаторів для впровадження змін протоколу, що значно нижче, ніж вимоги до супербільшості, які є загальними для більш усталених мереж. Цей поріг дозволив швидке впровадження аварійних заходів під час вибуху Cetus, але також демонструє, як відносно невелика коаліція учасників може потенційно маніпулювати операціями мережі з потенційно шкідливими цілями.
Участь спільноти в управлінні залишається обмеженою, причому менш ніж 2,400 унікальних адрес брали участь у останніх пропозиціях щодо управління, хоча на мережі є понад 180,000 активних адрес. Цей низький рівень участі свідчить про те, що рішення, що стосуються управління, фактично контролюються невеликою групою добре фінансованих валідаторів і команд розробників, піднімаючи питання щодо легітимності заяв про децентралізоване управління.
Історичний контекст
Інцидент з протоколом Cetus приєднується до зростаючого списку великих експлуатацій DeFi, які спільно витягнули понад $2.8 мільярда з децентралізованих протоколів лише в 2025 році. Проте, на відміну від попередніх випадків, що в основному націлені на усталені мережі, такі як Ethereum і Binance Smart Chain, це порушення висвітлює унікальні вразливості в нових блокчейн-архітектурах, які обіцяють поліпшену продуктивність і масштабованість.
Крах DAO на Ethereum у 2016 році, який призвів до суперечливого розгалуження для відновлення вкрадених коштів, встановив прецедент для радикальних втручань у мережу під час криз, пов'язаних з безпекою. Проте той інцидент тягнув за собою більш широко децентралізовану дискусію громади, що тривала тижнями, що чітко контрастує з швидким централізованим реагуванням Sui. Швидкість втручання Sui, хоча й захищала користувальницькі кошти, демонструє структури управління, які більше нагадують традиційне корпоративне прийняття рішень, ніж децентралізований консенсус.
Недавні академічні дослідження з MIT і Stanford задокументували зворотний зв'язок між оптимізацією продуктивності блокчейну і справжньою децентралізацією, припускаючи, що нові мережі, такі як Sui, можуть стикатися з вбудованими компромісами між технічною ефективністю і децентралізацією управління. Інцидент Cetus забезпечує реальну валідацію цих теоретичних занепокоєнь.
Вплив на ринок
Порушення протоколу Cetus спричинило негайні ринкові реакції по всій екосистемі Sui, з падінням токену SUI на 23% протягом 24 годин після оголошення інциденту. Загальна вартість, заблокована у протоколах DeFi на основі Sui, впала з $1.2 мільярда до $890 мільйонів, оскільки інвестори вилучили кошти в очікуванні роз'яснень щодо безпеки. Ширший вплив поширився на інші платформи наступного покоління, зокрема на подібні платформи першого рівня, такі як Aptos і Solana, які зазнали підсобного продажу.
Інституційні інвестори, які нещодавно збільшили алокації в проекти на основі Sui, почали переоцінку профілів ризиків для нових блокчейн-платформ. Венчурний капітал Andreessen Horowitz, головний інвестор Sui, випустив заяви, підкреслюючи важливість надійної практики безпеки, зберігаючи довгострокову впевненість у потенціалі мережі. Однак кілька інституційних DeFi-фондів тимчасово призупинили нові інвестиції в проекти екосистеми Sui в очікуванні комплексних перевірок безпеки.
Інцидент також вплинув на страхові протоколи, які охоплюють ризики DeFi, причому Nexus Mutual та InsurAce зіткнулися зі збільшенням вимог, підвищуючи при цьому премії на покриття протоколів на основі Sui. Місткість страхування для нових блокчейн-мереж може стати дедалі обмеженішою, оскільки страховики переоцінюватимуть профілі ризик-винагорода від покриття експериментальних де-Fi протоколів.
Заключні думки
Порушення протоколу Cetus привернуло увагу фінансових регуляторів, які вже перевіряють протоколи DeFi на предмет потенційних системних ризиків. Недавні дії Комісії з цінних паперів та бірж проти платформ DeFi частково зосереджені на структурах управління, що дозволяють централізоване управління нібито децентралізованими протоколами. Швидкі можливості втручання мережі Sui можуть запросити додаткову регуляторну перевірку щодо того, чи слід класифікувати такі платформи як традиційні фінансові інфраструктури, які підлягають банківським регламентам.
Регулятори Європейського Союзу, які впроваджують регламент "Ринки крипто-активів" (MiCA), визначили централізацію управління як ключовий фактор у визначенні регуляторної класифікації. Інцидент з Cetus може прискорити регуляторні рамки, що зосереджуються на принципах децентралізації. Content: розрізнити по-справжньому децентралізовані протоколи від тих, що мають централізовані механізми управління, які потенційно впливають на структуру систем управління блокчейн-мереж наступного покоління.
Брідж Cetus Protocol представляє критичну точку перегину для екосистеми Sui та еволюції ширшої блокчейн-індустрії. Хоча цей інцидент виявив значні вразливості, він також показав практичні виклики балансування безпеки, продуктивності та децентралізації в блокчейн-мережах наступного покоління. Реакція спільноти на розв'язання питань централізації, зберігаючи при цьому можливості безпеки, ймовірно, вплине на траєкторію розвитку подібних платформ.
Sui Network оголосила про плани щодо всебічного огляду управління, включаючи пропозиції збільшити вимоги до валідаторів, ширше розподілити токени управління та впровадити часові затримки для надзвичайних втручань. Однак, впровадження значущої децентралізації, зберігаючи при цьому переваги продуктивності, які відрізняють Sui від конкурентів, залишається складною технічною та економічною задачею.