2025 年 5 月 22 日,Cetus Protocol 發生嚴重保安事故,約 2.6 億美元資金自於 Sui 區塊鏈運作的去中心化交易所以內被盜,成為本年度最大規模 DeFi 漏洞之一,亦對新興區塊鏈網絡真正去中心化的本質提出迫切疑問。
這次事件暴露了智能合約系統及網絡治理架構的關鍵漏洞,足以動搖投資者對下一代區塊鏈平台的信心。
Cetus Protocol 這次被駭事件乃 2025 年第三大 DeFi 攻擊,繼三月 3.4 億美元的 Wormhole 跨鏈橋事件及二月 Euler Finance 2.85 億美元事件之後。攻擊者同時針對多個流動資金池,利用協議自動做市商智能合約內一個未知漏洞,該合約涉及的鎖倉總價值超過 8 億美元。
初步鑑證分析指出,這次攻擊的手法結合精密的快速借貸操作和重入攻擊,繞過了協議常規的保安檢查。最終,攻擊者從至少 12 個不同流動資金池中盜走資產,主要目標為價值較高的資產,包括 SUI、USDC 和包裝比特幣。交易記錄顯示,整體攻擊於 47 分鐘內多次協調交易完成,展現攻擊者對協議架構極深的了解。
區塊鏈保安公司 CertiK 指出,這次駭客首創攻擊向量,結合了價格預言機操控及智能合約邏輯錯誤,讓攻擊者在成功大量提現前人為地推高資產價格。攻擊之複雜,顯示主事者對 Sui 共識機制和 Cetus Protocol 詳細實現細節具有深入認識。
緊急應對觸發去中心化爭議
Cetus Protocol 在事故被發現兩小時內緊急叫停所有智能合約操作,令外界更密切關注 Sui 網絡的治理架構。該協議能單方面暫停操作,雖有效阻止進一步約 1.5 億美元損失,但與去中心化金融不可逆及無法停止的核心理念有所衝突。
緊急關閉行動是透過僅有 127 個活躍驗證者的 Sui 節點網絡進行,相比以太坊的認證者超過 90 萬,集中式驗證架構雖加快決策,卻同時引起關於單點失效與協調審查能力的憂慮。批評者認為,此等集中式管控根本上破壞區塊鏈的「信任無需假定」承諾。
Sui Network 的基礎團隊由前 Meta 團隊及 Move 語言開發者領導,辯稱緊急措施屬於保護用戶資金的必要手段。然而,這種行為已被比喻為傳統金融機構的凍結帳戶及逆轉交易,凸顯「安全與去中心化」兩者間的產業長期矛盾。
技術架構顯示系統性漏洞
Sui 區塊鏈採用名為 Narwhal-Bullshark 的新型共識機制,以有向無環圖(DAG)處理交易,而非傳統區塊式結構。這種設計雖帶來更高吞吐量與更低延遲,卻產生新的攻擊面,安全研究人員仍在積極摸索。Cetus Protocol 今次漏洞正是利用共識機制驗證有關交易的時間差,容許攻擊者操控多批交易流水的狀態變化。
保安公司 Quantstamp 分析,今次攻擊利用 Sui 以物件為本的數據模型—智能合約直接互動可程式化物件,不僅限於帳戶餘額。這種創新方式雖增靈活性,也大幅提升復雜度,Cetus Protocol 的開發人員未能妥善鞏固相關安全。攻擊者透過操控物件擁有權的遷移,規避了傳統基於帳號的區塊鏈存取管控,暴露出安全框架的設計盲點。
事故發生後,Sui 生態圈全面展開緊急安全審查,至少有 15 款 DeFi 協議暫時叫停運作,直至完成全面檢查。主要協議如 Turbos Finance、Scallop Lend 及 Kriya DEX 等已採取預防措施,安全團隊正以本次漏洞經驗深入進行審計。
治理結構引發嚴重質疑
針對 Sui Network 代幣分布的分析揭示,高度中心化或促成網絡迅速應變,但卻損害去中心化的公信力。Sui 背後開發公司 Mysten Labs 現時持有總供應量約 18% SUI,早期投資者及開發團隊再佔 32%。治理權力高度集中於少數,雖能加快決策進程,卻與區塊鏈強調分權治理的原則背道而馳。
Sui 基金會的治理制度僅要求超過半數驗證者質押權益即可執行協議修改,遠低於傳統大型網絡的超級多數門檻。這亦正是 Cetus 事件期間能迅速進行緊急措施的主因,但同時顯示少數持份者有能力聯合操控網絡,出現潛在濫用機會。
社群參與度普遍偏低,最近一次治理提案只有不足 2,400 個獨立地址參與,而 Sui 網絡活躍地址超過 18 萬。這意味,現時治理事實上由少數資金充裕的驗證者及開發團隊主導,去中心化治理名義受到質疑。
歷史背景
Cetus Protocol 事故成為 2025 年眾多 DeFi 攻擊之一,單年累計被盜金額已超過 28 億美元。然而,與以往主要針對以太坊、幣安智能鏈等成熟網絡的攻擊不同,今次事件揭露新型區塊鏈架構—特別是標榜高效能與可擴展性者—的獨特漏洞。
2016 年以太坊 DAO 事件催生了分歧硬分叉回收被盜資產,全球社群曾進行多星期辯論。當時重大決策較廣泛依賴分佈式社群協商,完全不同於 Sui 今次由核心成員主導的集中式迅速應對。這種效率雖保障了用戶資金,但顯示其治理模式與傳統公司決策邏輯更為相似,與去中心化共識有距離。
MIT 及史丹福大學近期學術研究亦發現,區塊鏈效能最優化與去中心化目標存在明顯矛盾;Sui 等新網絡在技術效率與治理分散間或無可避免地需作取捨。Cetus 事件正好驗證這些理論上的憂慮。
市場衝擊
Cetus Protocol 被駭引發 Sui 生態圈立即性市場反應。SUI 代幣於事件公布後 24 小時內急挫 23%,Sui 相關 DeFi 協議總鎖倉價值亦自 12 億美元滑至 8.9 億美元,大量投資者因不確定性撤資觀望。影響更波及其它新一代公鏈,如 Aptos、Solana 等同類平台出現聯動拋售效應。
近期加碼 Sui 項目的機構投資者開始全面重新評估新興區塊鏈風險,包括大型創投基金 Andreessen Horowitz 強調重視安全審查,雖然維持長遠信心,但多間機構級 DeFi 基金已暫停對 Sui 生態新項目投入,待全盤安全評估完成。
事件亦衝擊各類 DeFi 保險協議,如 Nexus Mutual、InsurAce 理賠申請急增,針對 Sui 協議保障保費亦被迫上調。對於較新穎區塊鏈網絡,保險公司或會重新評估風險回報,未來相關保險額度有機會進一步縮減。
最後觀點
Cetus Protocol 事件已引來監管機構關注,關注 DeFi 協議可能引發系統性風險。美國證券交易委員會近期對 DeFi 平台執法時特別強調治理架構,質疑所謂去中心化之下的實質中心化操作。Sui Network 能即時干預,或將面臨更多監管,不排除被歸類為傳統金融基礎設施,須接受銀行監管規則。
歐盟於「加密資產市場法規」(MiCA)下,已將治理中心化列為劃分監管級別的重要因素。Cetus 事件或成加速相關監管框架制定之導火線。 distinguish between truly decentralized protocols and those with centralized control mechanisms, potentially impacting how next-generation blockchain networks structure their governance systems.
區分真正去中心化的協議與帶有中心化控制機制的協議,這有可能影響下一代區塊鏈網絡在設計其治理系統時的結構。
The Cetus Protocol breach represents a critical inflection point for the Sui ecosystem and broader blockchain industry's evolution. While the incident exposed significant vulnerabilities, it also demonstrated the practical challenges of balancing security, performance, and decentralization in next-generation blockchain networks. The community's response to addressing centralization concerns while maintaining security capabilities will likely influence the development trajectory of similar platforms.
Cetus Protocol 的安全漏洞標誌住 Sui 生態系統同整個區塊鏈行業發展嘅一個重要轉捩點。雖然今次事件暴露出重大漏洞,但亦展現咗喺新一代區塊鏈網絡中,點樣平衡安全、效能同去中心化呢幾方面嘅實際挑戰。社群對於解決中心化問題同時維持安全能力嘅回應,好大機會會影響到類似平台未來嘅發展路向。
Sui Network has announced plans for a comprehensive governance review, including proposals to increase validator requirements, distribute governance tokens more broadly, and implement time delays for emergency interventions. However, implementing meaningful decentralization while preserving the performance advantages that distinguish Sui from competitors remains a complex technical and economic challenge.
Sui Network 已經宣布會進行全面嘅治理審查,包括提出提高驗證人要求、更廣泛分配治理代幣,以及為緊急介入措施設置延時。不過,要實現有意義嘅去中心化,同時又要保留令 Sui 脫穎而出的效能優勢,仍然係一個複雜嘅技術同經濟挑戰。