协议的安全靠什么?!靠去中心化带来的集体智慧,不是以去中心化做借口而不作为;靠持续的系统性投入,不是一两次审计报告;靠平时的准备和机制建设,不止事后的补救;靠每一个参与者愿意承担责任、主动行动,而不是把问题甩给"链"或"技术"。
"前言"
5 月 22 日,Sui 生态上的头部 DEX 协议 Cetus 遭遇黑客攻击,协议核心合约出现漏洞,攻击者趁机套取大量资产。事件短时间内引发广泛关注,不仅波及相关用户,也促使多个 Sui 项目进入紧急响应状态。
但随之而来的,并不是链回滚或超级权限干预,而是快速启动了:验证者投票、项目主动停机、资产链上冻结、协议自查升级……整个过程,构成了链上金融安全治理的一次真实演练。
截止本文结稿时间,此次黑客攻击事件发生已经过去五天了,这次事件影响广泛,引发了社区对"链上安全""去中心化治理"以及"协议应急响应"的热烈讨论。
本文试图梳理清楚:这次到底发生了什么?责任在哪?Sui 的生态是如何应对的?我们该从中学到什么?
攻击是如何发生的?
攻击发生在 2025 年 5 月 22 日上午,目标是 Cetus 的 CLMM 流动性池。攻击者发现了合约中的一个漏洞,借助构造交易,在多轮操作中套取资产。
具体过程如下:
10:30 UTC 左右,攻击开始。黑客通过异常交易压低池内价格,同时开设高价区流动性仓位,并利用合约逻辑漏洞,以极少量代币注入大量"伪造"流动性。
接着,黑客反复执行"添加/移除流动性",从池中套走实际资产。
攻击持续约 20 分钟,部分监控系统开始报警。
攻击发生后的40分钟
10:40 UTC,Cetus 的监控系统检测到池行为异常。
10:53 UTC,Cetus 团队确认攻击来源,并将信息通报至 Sui 生态其他项目。
10:57 UTC,Cetus 第一时间关闭核心流动性池,防止进一步损失。
11:20 UTC,全面停用相关合约。
这波反应很快,但黑客已盗取大量资金。
冻结黑客资金,是怎么做到的?
事件扩大后,生态启动了更大范围的应急响应:
Sui 验证者很快开始链上协作,投票是否拒绝打包黑客地址的交易;
在达到 33% 质押门槛后,黑客地址被有效冻结,交易无法在链上继续被处理。
这不是系统回滚,也不是后台干预,而是验证者通过共识机制做出的操作。链的状态未被改变,用户交易未被篡改,一切基于现有链上规则完成。
所谓"系统回滚",是指将整个区块链网络的状态回到攻击发生前的某一时刻,就像时间倒流一样。这通常意味着已经确认的交易会被抹去,链的历史会被重写。而"后台干预"则是指由某个中心化权力(如项目方或基金会)直接操控节点或资金,绕过正常流程做出处理决策。
在这次事件中,没有发生这些情况。验证者是通过公开投票、自主决策,依据链上规则实施冻结,这正是去中心化治理的体现。
目前资金情况如何?
Cetus 公布的数据如下:
黑客共盗取资产约 2.3 亿美元;
其中1.6亿美元资产仍在两个被冻结的 Sui 地址中,已经无法转移;
6000万美元资产已被跨链转移至以太坊,目前已知两个地址仍在追踪中。
协议正在推动社区投票,以决定如何进行资产返还与补偿。
为什么会出事?是链本身的问题?还是应用层漏洞问题?
根据慢雾的报告和技术大V们的分析,都指向同一个问题:事件的根源在于 Cetus 合约中使用的开源代码逻辑存在问题。攻击者利用的是应用层合约中一个数据溢出检查相关的失误,该漏洞如被提前发现并被修复,便不会造成损失。因此并非 Move 编程语言本身的漏洞。
同样重要的是:Sui 网络本身并未遭到攻击,也没有出现系统性风险。
这是一场标准的"协议层安全事件",不是链层安全问题。
攻击发生后,Sui生态上的其他项目如何行动?
在 Cetus 停摆之后,Sui 上多个项目开始安全自查,我们观察到其中 Momentum 协议也在攻击发生第一时间暂停交易,完成了全链代码审计与风险排查,并在被盗资金冻结后恢复。
Momentum协议作为目前Sui生态上的龙头Dex,第一时间停止交易,配合Sui基金会封锁被盗资金,以防止黑客将其通过Dex交易蔓延到更多的交易资产账户。同时进行了缜密的自查,自查结果无误后,并在确认被盗资金被Sui基金会成功冻结后,率先恢复交易功能。
事件后续如何?
目前:
Cetus 已完成核心漏洞修复,正在与审计团队复查代码;
用户补偿方案正在制定中,部分依赖生态治理提案投票决定;
其他 Sui 项目也已陆续恢复运行或正在完成安全加固。
整个生态没有停摆,反而在事件后更系统地检视了安全机制。
这次事件告诉我们什么?
这次 Cetus 被攻击,让所有建设者和用户都再次直面一个现实问题:
协议安全,到底靠什么?
答案已经越来越明确:
靠去中心化带来的集体智慧,不是以去中心化做借口而不作为;
靠持续的系统性投入,不是一两次审计报告;
靠平时的准备和机制建设,不止事后的补救;
靠每一个参与者愿意承担责任、主动行动,而不是把问题甩给"链"或"技术"。
我们看到,黑客确实制造了损失,但并没有摧毁系统;
也看到,去中心化不是躲在规则后冷眼旁观,而是自发地集结起来,守住底线,保护用户。
"结语"
真正的去中心化,不是口号,是责任
这场风波里,没有救世主。
Sui 验证者投票冻结了风险交易;其他协议完成了安全自查,有的快速恢复上线;用户也在持续关注、推动改进。
去中心化不是放任,而是有边界、有原则、有担当的协作。
在一个没有后台的系统里,信任必须靠每一行代码,每一个机制,每一次决策撑起来。
这次事件是一次危机,也是一场考试,更是一面镜子。
它告诉我们:
去中心化不是目的,而是一种方法,目的是构建信任;去中心化带来的是集体智慧。
去中心化固然重要,但是资金效率和协议安全更重要。
Decentralization is a path, the goal is to build trust; decentralization brings collective wisdom.
文章仅作分享交流,不构成投资建议。
TG:https://t.me/Labs137
Linktree:linktr.ee/137labs
没有评论:
发表评论