2025 年 5 月 22 日,Cetus Protocol 遭遇毀滅性的安全漏洞,導致運營於 Sui 區塊鏈的去中心化交易所損失約 2.6 億美元,成為本年度規模最大的 DeFi 攻擊事件之一,同時也引發了新興區塊鏈網路是否真正去中心化的緊迫疑問。
此事件揭露出智能合約安全與網路治理架構的致命弱點,可能動搖投資人對新一代區塊鏈平台的信心。
Cetus Protocol 這起攻擊是 2025 年第三大 DeFi 駭客事件,僅次於三月的 Wormhole 跨鏈橋 3.4 億美元攻擊及二月 Euler Finance 2.85 億美元攻擊。駭客同期鎖定多個流動性池,利用協議自動化做市商智能合約中先前未知的漏洞,影響了超過 8 億美元的鎖倉總價值。
初步鑑識分析顯示,這次攻擊結合了複雜的閃電貸操作與重入漏洞,繞過協議標準安全檢查。駭客從至少 12 個流動性池套取資金,鎖定高價值資產如 SUI、USDC 與包裝比特幣等。區塊鏈交易紀錄顯示,這次攻擊於 47 分鐘內透過一連串協作交易完成,展現了駭客對協議架構的深刻理解。
區塊鏈安全公司 CertiK 報告指出,這次利用的攻擊手法結合了價格預言機操控與智能合約邏輯瑕疵,駭客得以在提款前惡意拉高資產價值。攻擊手法的複雜性顯示,操作者極可能是具備 Sui 共識機制與 Cetus 協議實作細節經驗的區塊鏈開發者。
緊急應對引發去中心化爭議
Cetus Protocol 於發現漏洞後 2 小時內緊急暫停全部智能合約運作,加劇外界對於 Sui 網路治理結構的質疑。協議能單方暫停營運,雖然成功阻止約 1.5 億美元的進一步損失,但卻違背了強調不可篡改與無法停止的去中心化金融基本原則。
這次緊急關閉由 Sui 的驗證者網路執行,僅有 127 名活躍驗證者,遠低於以太坊的 90 萬名驗證者。如此集中化的驗證結構雖然加快決策,但引發潛在單點失效與審查能力的疑慮。批評者認為,這類中心化控制機制將根本動搖區塊鏈技術所追求的信任機制。
Sui Network 的創始團隊,由前 Meta 工程師領導開發 Move 程式語言,為用戶資金安全辯護其緊急措施。然而,這一做法被外界拿來與傳統金融機構凍結帳戶、回溯交易權力相提並論,凸顯了區塊鏈業界安全性與去中心化之間的長期矛盾。
技術架構揭示系統性弱點
Sui 區塊鏈獨特的共識機制 Narwhal-Bullshark,透過有向非循環圖而非傳統區塊鏈處理交易。這種設計帶來更高處理量與更低延遲,同時創造了新的攻擊面。Cetus 協議攻擊正是利用共識機制驗證批次交易時間差異的漏洞,讓駭客能跨多個交易批次操控狀態變化。
安全公司 Quantstamp 分析指出,漏洞與 Sui 的物件導向資料模型相關,智能合約以可編程物件相互作用而非傳統帳戶餘額。這種創新雖帶來靈活性,卻也提高了複雜度,使 Cetus 開發者未能妥善設防。駭客通過轉移物件所有權繞過存取控管,反映當前以帳戶為本位的安全架構難以完全覆蓋新機制的風險。
事件發生後,Sui 生態系內至少 15 個 DeFi 協議緊急暫停營運並啟動全面安全審查。包括 Turbos Finance、Scallop Lend、Kriya DEX 等協議均採取預防措施,安全公司則根據此次事件經驗展開深入程式碼審查。
治理架構遭嚴格檢視
Sui Network 代幣分配結構揭露了高度集中化的問題。Mysten Labs 持有約 18% SUI 代幣,早期投資人及開發團隊另持有 32%,這使治理權限落於極少數手中,雖利決策效率,但與分散治理原則背道而馳。
Sui Foundation 的治理架構僅需簡單多數驗證者持幣權重即可通過協議變動,而非多數區塊鏈常見的超過三分之二門檻。此舉使 Cetus 事件中能快速執行緊急應對,但同時也揭示小型利益集團有操控網路風險。
社群治理參與度有限,最近一次治理提案僅 2,400 個地址投票,遠低於全網 18 萬活躍地址。參與率過低意味有效決策權仍在少數資金充裕的驗證者與開發團隊手上,外界對 Sui 真實去中心化治理的質疑升高。
歷史背景
Cetus Protocol 案例成為 2025 年 DeFi 重大駭客案之一,今年已累計損失逾 28 億美元。與過往集中於以太坊、幣安智能鏈的攻擊不同,本次突顯新興高效區塊鏈架構的特殊安全漏洞。
2016 年以太坊 DAO 駭客案曾引發爭議性硬分叉,動員廣泛社群辯論數週以恢復資產,與 Sui 此次極短時間、由上而下的中心化緊急處理形成強烈對比。雖然保護了用戶資金,卻展現傳統企業決策特色而非去中心化共識。
MIT、史丹佛大學學術研究近期指出,區塊鏈提升性能常導致去中心化程度降低,新興網路如 Sui 恐難兼顧技術效率和治理分散性。Cetus 事件正好驗證了這一理論性憂慮。
市場影響
Cetus 協議事件公告後,SUI 代幣 24 小時內暴跌 23%。Sui 生態系 DeFi 總鎖倉值從 12 億跌至 8.9 億美元,投資人擔憂安全問題大規模撤資。其他新一代區塊鏈如 Aptos、Solana 也出現連帶賣壓。
機構投資者原本加大對 Sui 項目資金配置,此事件後開始重新評估新興區塊鏈風險。主力機構 Andreessen Horowitz 強調應提升安全,雖維持長線信心,但多家 DeFi 基金已暫停 Sui 生態新投資等待安全評估。
事件同時衝擊 DeFi 保險協議,Nexus Mutual、InsurAce 等理賠申請上升,並提高對 Sui 相關合約保費。新興區塊鏈保險承保能力恐將日益受限,業界開始重新考量 DeFi 風險承受範圍。
最後看法
Cetus Protocol 被駭事件引起已密切關注 DeFi 系統性風險的金融監管機構重視。美國證券交易委員會近期針對 DeFi 平台採取監管行動,部分焦點就在於部分協議實際運作高度中心化。Sui 網路能迅速干預的平台機制,恐將迎來更嚴格的合規審查,並重新界定其屬於傳統金融基礎設施還是去中心化平台。
歐盟針對加密資產市場 MiCA 新規,已將治理中心化列為監管認定的重要考量。Cetus 事件可能促使法規加速落實與更新... distinguish between truly decentralized protocols and those with centralized control mechanisms, potentially impacting how next-generation blockchain networks structure their governance systems.
區分真正去中心化的協議與帶有中心化控制機制的協議,這可能會影響下一代區塊鏈網路在設計其治理系統時的結構。
The Cetus Protocol breach represents a critical inflection point for the Sui ecosystem and broader blockchain industry's evolution. While the incident exposed significant vulnerabilities, it also demonstrated the practical challenges of balancing security, performance, and decentralization in next-generation blockchain networks. The community's response to addressing centralization concerns while maintaining security capabilities will likely influence the development trajectory of similar platforms.
Cetus Protocol 的安全漏洞事件對於 Sui 生態系與更廣泛的區塊鏈產業發展而言,構成了一個關鍵的轉折點。雖然此次事件揭露了重大漏洞,但同時也展現了在新一代區塊鏈網路中,如何在安全、效能與去中心化之間取得平衡所面臨的實際挑戰。社群在處理中心化疑慮並維持安全能力的同時,其應對方式很可能會影響到類似平台的發展路徑。
Sui Network has announced plans for a comprehensive governance review, including proposals to increase validator requirements, distribute governance tokens more broadly, and implement time delays for emergency interventions. However, implementing meaningful decentralization while preserving the performance advantages that distinguish Sui from competitors remains a complex technical and economic challenge.
Sui Network 已宣布將進行全面性治理審查,內容包括建議提高驗證者的門檻、更廣泛分配治理代幣,以及針對緊急干預措施實施時滯延遲。然而,要在實際落實有意義的去中心化,同時又保留 Sui 相較於競爭對手的效能優勢,依然是一項複雜的技術與經濟挑戰。