一种重大安全漏洞影响了 Sui 区块链生态系统,攻击者从 网络上最大的去中心化交易所 Cetus 的流动性池中抽取了约 2 亿美元。
该漏洞 导致 Sui 网络上的多个代币普遍亏损,引发了人们对新兴 Layer 1 平台上基于预言机的价格机制的安全性担忧。
攻击引发了许多 Sui 代币的剧烈抛售。包括 Lofi (LOFI)、Sudeng (HIPPO) 和 Squirtle (SQUIRT) 在内的 meme 代币的价值几乎完全被侵蚀,在不到一小时内损失了 76% 到 97%。Cetus 自身的代币下降了 53%。根据 DEX Screener 的链上分析,事件发生后 24 小时内,46 种 Sui 代币出现了两位数的损失。
尽管代币价格急剧下跌和关键基础设施的明显脆弱性,原生 SUI 代币表现出韧性,在同一时间段上升了 2.2%,可能受抄底动作或更广泛市场动能的提振。
根据区块链安全公司 Cyvers 的说法,攻击者执行了一种复杂的预言机操纵策略。利用 Cetus 智能合约中的漏洞,他们引入了伪造代币,旨在误导流动性池储备并扭曲价格信息。
“这种漏洞依赖于伪造代币,导致 DEX 的自动做市商(AMM)池内的定价数据具有误导性,”Cyvers 的 CEO Deddy Lavid 说。“这种操纵使攻击者能够从多个流动性池中提取真正的资产,如 SUI 和 USDC。”
这一事件突显了去中心化金融 (DeFi) 中的一个众所周知的风险:依赖链上预言机来提供价格数据。在这种情况下,攻击者能够操控内部价格曲线,而无需依赖 Chainlink 等传统价格源预言机,这表明存在更深层次的架构性漏洞。
跨链移动:清洗赃款
攻击之后,攻击者开始转移被盗资金。区块链数据显示,大约 6150 万美元的 USDC 被迅速转移到以太坊。此外,仍有近 1.64 亿美元被持有在一个基于 Sui 的钱包中。截至发表时,没有资产被追回,链上侦探继续监控资金的动向。
被盗资产转换为 USDC 强调了在清洗操作中稳定币的重要性。它还重新引发了对 Circle 和 Tether 等稳定币发行商的长期批评,批评他们在冻结非法获得资金时反应通常迟缓。
稳定币发行商受批评
行业监督者,包括 ZachXBT 和 Cyvers,提出了 USDC 发行商 Circle 响应迟缓的担忧。今年二月,Circle 冻结与 Bybit 漏洞相关的资金用了超过五小时,这一延迟被专家认为为攻击者提供了关键的逃脱时间。Tether 也面临类似的批评,因为在冻结恶意账户上的延迟。
“我们已经在包括这次在内的多次黑客攻击中发出了实时警报,但发行者的回应往往为时已晚,”Lavid 说。“这种延迟创造了可被利用的缺口,使事后干预毫无意义。”
不断增长的批评正在推动围绕去中心化替代方案和需要自动冻结机制的新讨论,这些机制能够在紧急情况下减少人工延迟。