Sui 區塊鏈 DeFi 漏洞：Cetus Oracle 操控導致損失 2 億美元

Sui 區塊鏈生態出現重大安全漏洞，攻擊者自網絡上最大去中心化交易所 Cetus 的流動性池中盜取約 2 億美元資產。

此次攻擊造成 Sui 網絡上數十項代幣蒙受重大損失，進一步加深外界對新興 Layer 1 平台倚賴預言機報價機制的安全擔憂。

此次攻擊觸發了多款 Sui 生態代幣的急速拋售，LOFI、HIPPO、SQUIRT 等 meme coin 均於一小時內暴跌 76% 至 97%，Cetus 自家代幣亦跌 53%。DEX Screener 的鏈上數據顯示，事發後 24 小時內有 46 款 Sui 代幣錄得雙位數跌幅。

雖然多數代幣暴跌，基礎 SUI 代幣表現相對穩健，同期間上升了 2.2%，疑似有低吸資金或外部市場走勢支撐。

區塊鏈安全公司 Cyvers 指，攻擊者運用複雜的 oracle 操控策略，利用 Cetus 智能合約漏洞，創造假的代幣以虛構資金池儲備並扭曲價格數據。

Cyvers 行政總裁 Deddy Lavid 表示：「該攻擊依賴假代幣，於 DEX 自動做市商 AMM 池中生成誤導性價格，令攻擊者能從多個流動池中提走 SUI 和 USDC 等實資產。」

事件凸顯 DeFi 的老問題：需倚賴鏈上 oracle 提供價格數據。此案中，攻擊者根本無需傳統報價 oracle（如 Chainlink），光是操控內美價格曲線，已可形成漏洞，揭示深層架構風險。

攻擊後，盜取資金即被迅速轉移。區塊鏈數據顯示約 6,150 萬美元 USDC 被快速跨鏈橋至以太坊，另有約 1.64 億美元仍存於 Sui 錢包內。截至發稿，尚未有資產被追回，鏈上追查仍在進行中。

攻擊者將贓款兌換成 USDC 暗示穩定幣在資金清洗過程中的重要性。此事亦惹來外界對 Circle、Tether 等穩定幣發行商動作緩慢的批評。

監管觀察者如 ZachXBT、Cyvers 指出，USDC 發行方 Circle 回應黑客資金時速度緩慢。二月時 Circle 就 Bybit 漏洞凍結資金用了五小時，專家認為這給了黑客逃脫機會。Tether 也因凍結惡意賬號反應不夠即時而受批評。

Lavid 表示：「我們已就多宗攻擊，即時發出警報，但發行方總是慢半拍，這種延誤令人可乘之機，令追討措施無效。」

此批評正促使業界思考去中心化穩定幣及需要自動化凍結機制，以減少人工延遲，強化緊急反應。

Cetus 在發現攻擊後，迅即暫停智能合約，並於社交平台承認事故，指內部團隊正展開鑑證調查。

Cetus Discord 流出訊息顯示漏洞疑似源於 oracle 邏輯錯誤。但社交平台用戶抱懷疑態度，指 AMM 邏輯及資金池架構的漏洞常被誤當成 oracle 問題。

有匿名 DeFi 工程師稱：「這並非傳統意義上的價格 oracle bug，而是部分 DEX 在低流動池算價方式上的系統性問題。」

Sui 由前 Meta 工程師開發，定位高效能 Layer 1，憑 Move 語言和平行交易模式迅速抬頭，吸引一眾開發者。

但今次漏洞令外界質疑 Sui DeFi 堆疊的成熟度。雖主鏈未受損，卻顯示 DEX 等應用若出現漏洞，足可給新鏈帶來系統性風險。

代幣如此急劇下跌，反映資金流動性有限且零售參與佔比高，屬於不成熟生態特徵。能否復元，要視乎 Cetus 及相關參與方回復信心及流動性的速度。

前幣安行政總裁趙長鵬（CZ）於社交媒體表示有留意事件，稱團隊正「盡力援助 Sui」，雖未詳述，但暗示幣安或參與監控或救援。

業界廣泛關注 DeFi 急速擴展卻忽略安全問題。有分析指爭相吸引流動資金與用戶，導致大量智能合約並未經充分審計便上線，風險大增。

有業界高管稱：「這不止 Sui 或 Cetus，歷來每次 Layer 1 與 DeFi 熱潮都重現──創新快安全慢，最後用戶埋單。」

今次事故勢必重燃監管機構對跨鏈橋、DeFi 協議及穩定幣的關注。隨著加密監管架構逐步成形，這種高調事故為收緊監管提供新理據。

此外，亦再度引發有關 DeFi 保險及用戶保障的討論。受害者缺乏追訴途徑，外界或促使協議引入鏈上保險及設立去中心化撫恤基金。

有分析認為此類事件或促使行業走向 appchain 及更垂直整合的 DeFi 生態，令安全與 oracle 階層更易控管。

Oracle 操控依然是 DeFi 最常見攻擊路徑之一。類似漏洞於 Ethereum、BNB Chain、Avalanche 及 Solana 屢見不鮮。招數雖異，但本質一樣，就是操控價格發現機制提取資產。

事件反映必須構建更健全的 oracle 系統，包括結合鏈上與鏈下數據的混合方案，加強速率限制、廣泛採用「斷路器」，偵測價格異常時即時暫停運作。

未來數周對 Sui 至關重要。Cetus 及生態其他重要協作方應對情況，將影響開發商及用戶能否重拾信心。倘流動性無法恢復或重點項目暫停開發，Sui 或會在 Layer 1 競爭下掉隊。

同時，整個 DeFi 界又一次被提醒：無許可系統需要創新之餘，更需紀律——特別是在智能合約設計、oracle 安全及事故協調上。

Sui 遭殃或非 2025 年最後一宗 oracle 有關漏洞。若業界真心要安全擴展，必須將安全前置於設計之初，而非事後才敷衍應付。