资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
根据 X 上 Cetus Protocol 的数据,Sui 网络上最大的去中心化交易所 (DEX) 和流动性提供商 Cetus Protocol 在一次明显的漏洞利用中耗尽了价值 2.23 亿美元的代币。
该协议补充说,被盗资金中的 1.62 亿美元已被“冻结”,目前正在与 Sui 基金会合作追回剩余的约 6000 万美元。以下是 SuperEx 对过去几天发生的事情的完整回顾。
什么是 Cetus?
Cetus 是建立在 Sui 区块链上的去中心化交易所 (DEX) 和流动性协议。它的正式名称是 Cetus Protocol,但由于其核心功能是提供链上交易和流动性,因此它通常被称为 Sui 上的交易所——类似于 Solana 上的 Raydium 或以太坊上的 Uniswap。 深度流动性和最大化回报”。
Cetus 是 Sui 生态系统中领先的 DEX 和流动性基础设施,提供聚合交易、CLMM(集中流动性做市)、基于意图的交易、代币发行等功能。Cetus 以其低延迟的链上作、对集中流动性的支持(类似于 Uniswap V3)以及与各种 DeFi 组件的集成而闻名。它还推出了 Launchpad、Zap 和一键式流动性供应等工具,这使其成为 Sui 上最活跃的 DeFi 协议之一。(注意:从技术上讲,它是一个协议,但就 UX 而言,它的运作方式就像一个交换。这两种描述都是准确的。在漏洞利用之前,Cetus 的 TVL(总价值锁定)约为 3 亿美元,使其成为 Sui 生态系统中的顶级协议。
Cetus 事件
▶时间线 5 月 18 日 23:50 (UTC)链上分析平台 Cyvers 发布警报,称 Cetus 的智能合约遇到异常交易。
▶5 月 19 日 00:10攻击者执行了一条复杂的跨池交易路径,瓦解流动性并不受限制地进行套利。资金迅速流经多个中间钱包,其中大部分最终流向 Tornado Cash.
▶5 月 19 日凌晨Cetus 发布紧急公告,称正在调查异常活动,并已暂停多个矿池和路由器合约以防止进一步损害.
▶5 月 19 日中午,安全公司 PeckShield 和 SlowMist 发布初步分析报告,确认攻击者利用了 Cetus 核心合约中涉及 SwapCallback 的漏洞
▶5 月 20 日,该团队确认损失超过 2.23 亿美元,受影响的资金跨越多个链和池。Sui 网络的 TVL 瞬间下降了近 50%。
技术分析:到底发生了什么?
这不是一次“典型的黑客攻击”——而是一次基于对协议逻辑的深刻理解的“白盒式”漏洞利用。关键漏洞:swapCallback 函数未验证调用者的身份。攻击者伪造数据构建链状交易路径,诱骗系统将其视为正常的用户交易。实际上,它绕过了滑点和资金检查,实现了:在不存入真实代币的情况下从池中换出资产在多个池子中循环反复进行套利耗尽资金并迅速将其移出协议多家安全公司已经发布了详细的技术分析,但核心问题很简单:Cetus 在回调函数中验证调用者失败——严重的权限控制失败,也是智能合约的根本性错误。这不是第一次 DeFi 漏洞利用,但这次攻击的规模、速度和影响范围都令人震惊。从攻击路径,到项目团队的响应时间表,再到 Sui 生态系统的多米诺骨牌效应,这一事件成为螺旋式崩溃的教科书式例子。
Sui 冻结了资金——但也暴露了“超级管理员”的担忧
漏洞利用后不久,Sui 首席@emanabio表示资金已被冻结,并将退还到池中。Sui 官方推特还发文称,Cetus 团队正在追踪路径,并将很快向社区恢复资金。注意到什么了吗?根据 Sui 的委托权益证明 (DPoS) 机制,冻结作需要 150 名验证者投票,并达成超过三分之二的共识。此前,有传言称 84% 的质押供应由创始团队控制,隋否认,称基金会加上核心团队控制了 60% 左右。然而,这一事件清楚地表明,基金会能够立即协调超过 2/3 的验证者,从而能够快速冻结黑客资金。一些用户推测,Sui CPO 和官方 Twitter 的声明表明存在超级管理员权限,能够直接修改资产所有权。这一说法仍未得到证实,我们将避免进一步评论。
谁受到的打击最严重?不仅仅是 Cetus
这是一个协议级别的漏洞,而不是“托管智能合约”问题。受害者包括:流动性提供者(LP):他们的资产直接从矿池中抽走,造成严重损失依赖 Cetus 获得流动性的项目:DApp、钱包工具、Zap 功能——都瞬间失去了可用的流动性整个 Sui 生态:这一事件瞬间抹去了 Sui 超过 50% 的 TVL,对投资者的信心造成了重大打击事后,多个团队宣布将暂停对 Sui 的 DeFi 集成和合作, 据报道,几个新项目转向了 Aptos 或 Base。
最后的想法:DeFi 可能会失败——但基本原理上不能失败
Cetus 漏洞利用是 DeFi 历史上最严重的 10 大安全事件之一,标志着 Sui 的第一次重大协议级危机。这不仅仅是经济损失,也是协议级信任的崩溃。技术要点:智能合约开发必须始终优先考虑权限和身份验证作要点:主要协议必须建立应急资金和用户补偿机制生态系统要点:公链和项目团队必须合作进行透明的审计和披露Cetus的 TVL 可能会恢复,但失去信任是 DeFi 中最难修补的漏洞。
