Sui 区块链生态系统遭遇重大安全漏洞,攻击者从该网络最大的去中心化交易所 Cetus 的流动性池中盗走了约 2 亿美元。
此次漏洞导致 Sui 网络上的数十种代币出现广泛损失,激发了对新兴一层平台上基于预言机的价格机制的安全担忧。
攻击引发了 Sui 上许多基于代币的严重抛售。包括 Lofi (LOFI)、Sudeng (HIPPO) 和 Squirtle (SQUIRT) 在内的迷因币几乎完全价值崩溃,在不到一小时内损失了 76% 至 97%。Cetus 的代币下跌了 53%。来自 DEX Screener 的链上分析显示,事件发生后 24 小时内,46 种 SUI 代币出现了两位数的损失。
尽管代币价格大幅下跌且关键基础设施明显脆弱,原生 SUI 代币显示出一定韧性,价格在相同期内上涨了 2.2%,可能得益于抄底买入或更广泛的市场动能。
根据区块链安全公司 Cyvers 的说法,攻击者执行了一场复杂的预言机操控策略。他们利用 Cetus 智能合约的漏洞,推出了欺骗性代币,旨在误导流动性池储备并扭曲价格信息。
Cyvers 首席执行官 Deddy Lavid 表示:“该漏洞依赖于伪造代币,这些代币在 DEX 的自动化做市商 (AMM) 池中制造了误导性定价数据。这一操控使攻击者能够从多个流动性池中提取像 SUI 和 USDC 这样的合法资产。”
这一事件凸显了去中心化金融 (DeFi) 中众所周知的风险:依赖链上预言机提供价格数据。在本例中,攻击者能够在不依赖于 Chainlink 等传统价格馈送预言机的情况下操控内部价格曲线,表明存在更深层次的架构漏洞。
跨链资金转移:洗钱收益
攻击后,攻击者开始转移盗取的资金。区块链数据显示,约 6150 万美元的 USDC 被迅速桥接到以太坊中。还有 1.64 亿美元仍持有在基于 Sui 的钱包中。截至发布时,尚未追回任何资产,链上侦探们继续监控资金动向。
被盗资产转换为 USDC 强调了稳定币在洗钱操作中的重要性。这也引发了对 Circle 和 Tether 等稳定币发行者处理非法获取资金冻结行动的行动迟缓的长期批评。
稳定币发行者受瞩
行业内监管机构,包括 ZachXBT 和 Cyvers,提出了对 USDC 发行方 Circle 响应速度缓慢的担忧。Circle 在二月 Bybit 漏洞案中,花了超过五小时冻结关联资金,这一延误使攻击者关键逃逸时间。Tether 也因其冻结恶意账号时延迟而面临类似审查。
Lavid 表示:“我们在许多黑客攻击中发出了实时警报,包括这次,但发行方的响应常常来得太晚。这种延迟创造了可利用的漏洞,使事后的干预变得无意义。”
日益增长的批评促使围绕去中心化替代方案的讨论,包括稳定币和需要能够减少紧急情况下的人为延迟的自动冻结机制。
协议响应与调查
Cetus 在检测到攻击后迅速暂停了其智能合约。该协议通过社交媒体公开承认“事件”,并宣布其内部团队正在进行法医调查。
从 Cetus 的 Discord 泄露的内部消息表明,漏洞的根源可能是其预言机逻辑中的一个错误。然而,社交媒体上的观察家对此表示怀疑,指出 AMM 逻辑和流动性池结构中的漏洞通常可能被误认为是预言机问题。
一位要求匿名的 DeFi 开发者说:“这不是传统意义上的价格预言机错误。它是一些 DEX 在流动性稀薄的池中计算代币价格方式的系统性问题。”
对 Sui 更广泛生态系统的影响
由前 Meta 工程师开发的 Sui 是一层区块链,通过其高性能声望作为以太坊的替代品。其凭借 Move 编程语言和并行交易执行模型赢得开发者的关注。
然而,此漏洞现在对其 DeFi 堆栈的成熟度提出了质疑。虽然 Sui 的基础协议没有受损,攻击却凸显了关键应用如 DEX 中易见的漏洞对新链的系统性风险影响。
代币价格急剧下跌也表明流动性不足和零售暴露高,这些都是不成熟生态系统的标志。恢复可能取决于 Cetus 和其他生态系统参与者在多快时间内恢复信心和流动性。
社区和行业反应
前币安首席执行官赵长鹏 (CZ) 在社交媒体上承认漏洞事件,表示他的团队正在“尽力帮助 Sui。”尽管评论缺乏细节,但这表明币安可能正协助监控或恢复工作。
更广泛的行业反应集中在去中心化金融协议中增长无约束的危害,特别是在未能相应投资于安全的情况下。分析人士指出,为吸引流动性和用户量,常常会部署未经审核或轻度审核的智能合约。
一位行业高管表示:“这不仅限于 Sui 或 Cetus,它是每个一层和 DeFi 浪潮中的反复模式——创新超过了安全,用户付出了代价。”
监管与长期影响
漏洞可能重新激发对跨链桥接、DeFi 协议和稳定币操作的监管审查。随着全球监管机构继续起草新的加密框架,高调事件如这一起行为更严厉的监督提供了理由。
这也重新引发了有关 DeFi 中保险和用户保护的问题。由于没有明确的追索权给受漏洞影响的用户,对协议施加压力可能增加,要求它们采用链上保险机制或贡献于去中心化恢复基金。
一些分析师认为,这些事件可能加速向应用链和更垂直整合的 DeFi 生态系统转移的速度,其中安全和预言机基础设施受到更严格控制。
DeFi 的熟悉模式
预言机操控仍然是 DeFi 中最持久的攻击向量之一。类似的漏洞被用于从 Ethereum、BNB Chain、Avalanche 和 Solana 上的协议中抽走数百万美金。方法各异,但原则相同:操纵价格发现机制以提取价值。
这一漏洞强调了需要更强大的预言机系统,包括融合链上和链下数据的混合模型,防止操控的速率限制机制,以及更广泛采用的电路断路器,在检测到价格异常时可以暂停操作。
最后思考
对于 Sui 来说,未来几周将至关重要。Cetus 和其他主要生态系统参与者的响应将可能决定开发者和用户信心能否重建。如果流动性仍然低下和主要项目暂停开发,该链面临着在竞争愈加激烈时失去势头的风险。
与此同时,去中心化金融社区再次受到提醒,无许可系统不仅要求创新,也需要纪律——特别是在智能合约设计、预言机安全和事件响应协调方面。
Sui 攻击可能不会是 2025 年最后一次预言机相关漏洞。但如果行业认真对待安全扩展,它必须停止将安全视为事后想法,并开始将安全嵌入为从一开始的核心设计原则。