资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
Sui区块链生态系统遭遇重大安全漏洞
近日,Sui区块链生态系统遭遇重大安全漏洞,攻击者从其最大的去中心化交易所Cetus的流动性池中窃取了约2亿美元。此次攻击导致Sui网络上数十种代币遭受广泛损失,引发了人们对新兴Layer 1平台上基于预言机的价格机制安全性的担忧。
代币价格暴跌
此次攻击引发了许多基于Sui的代币的急剧抛售。包括Lofi(LOFI)、Sudeng(HIPPO)和Squirtle(SQUIRT)在内的Meme币在不到一小时内几乎完全贬值,损失在76%至97%之间。Cetus自身的代币下跌了53%。DEX Screener的链上分析显示,在事件发生后的24小时内,46种Sui代币出现了两位数的跌幅。
尽管代币价格急剧下跌,关键基础设施存在明显漏洞,但原生SUI代币表现出韧性,在同一时间段内上涨了2.2%,可能是受到逢低买入或更广泛市场动力的推动。
攻击手法揭秘
据区块链安全公司Cyvers称,攻击者执行了一种复杂的预言机操纵策略。他们利用Cetus智能合约中的漏洞,引入了旨在误导流动性池储备和扭曲价格数据的虚假代币。
Cyvers首席执行官Deddy Lavid表示:“此次攻击依赖于在DEX的自动做市商(AMM)池中创建误导性定价数据的虚假代币。这种操纵使攻击者能够从多个流动性池中提取SUI和USDC等合法资产。”
该事件突显了去中心化金融(DeFi)中的一个众所周知的风险:对链上预言机提供定价数据的依赖。在这种情况下,攻击者能够在不依赖Chainlink等传统价格预言机的情况下操纵内部价格曲线,这表明存在更深层次的架构漏洞。
跨链转移:洗钱过程
攻击发生后,攻击者开始转移被盗资金。区块链数据显示,约6150万美元的USDC迅速转移到以太坊。另有1.64亿美元仍存放在基于Sui的钱包中。截至发稿时,尚未追回任何资产,链上侦探仍在监控资金的流动。
被盗资产转换为USDC突显了稳定币在洗钱操作中的持续重要性。这也重新引发了人们对Circle和Tether等稳定币发行商的长期批评,因为它们在冻结非法获取资金方面的反应速度往往较慢。
稳定币发行商受质疑
包括ZachXBT和Cyvers在内的行业观察人士对USDC发行商Circle的缓慢反应速度表示担忧。今年2月,Circle花了五个多小时才冻结与Bybit漏洞相关的资金,专家认为这一延迟为攻击者提供了关键的逃脱时间。Tether也因在冻结恶意账户方面的延迟而面临类似的审查。
Lavid表示:“我们在包括此次攻击在内的多次黑客攻击中发出了实时警报,但发行商的反应往往来得太晚。这种滞后造成了可利用的漏洞,使得事后干预变得毫无意义。”
日益增长的批评正在推动围绕稳定币的去中心化替代方案以及自动化冻结机制的新讨论,这些机制可以减少紧急情况下的人为延迟。
协议响应与调查
Cetus在检测到攻击后迅速暂停了其智能合约。该协议通过社交媒体公开承认了“事件”,并宣布其内部团队正在进行法证调查。
从Cetus的Discord泄露的内部消息表明,此次攻击的根源可能是其预言机逻辑中的一个漏洞。然而,社交媒体上的观察人士表示怀疑,指出AMM逻辑和流动性池架构中的漏洞通常可以伪装成预言机问题。
一位要求匿名的DeFi开发者表示:“这不是传统意义上的价格预言机漏洞。这是一些DEX在交易稀少的池中计算内部代币价格的系统性问题。”
对Sui更广泛生态系统的影响
Sui是由前Meta工程师开发的Layer 1区块链,定位为以太坊的高性能替代品。它以其Move编程语言和并行交易执行模型在开发者中获得了关注。
然而,此次攻击现在引发了对其DeFi堆栈成熟度的质疑。虽然Sui的基础协议并未受到损害,但此次攻击突显了像DEX这样的关键应用程序中的漏洞如何对较新的链构成系统性风险。
代币价格如此急剧下跌的事实也表明流动性有限和零售暴露度高,这是不成熟生态系统的特征。恢复可能取决于Cetus和其他生态系统参与者能否迅速恢复信心和流动性。
社区和行业反应
前币安首席执行官赵长鹏(CZ)在社交媒体上承认了此次攻击,表示他的团队“正在尽其所能帮助Sui”。尽管评论缺乏细节,但这表明币安可能正在协助监控或恢复工作。
更广泛的行业反应集中在DeFi协议在未相应投资安全的情况下不受控制的增长的危险上。分析师指出,吸引流动性和用户量的匆忙往往导致未经审计或轻审计的智能合约的部署。
一位行业高管表示:“这并不是Sui或Cetus独有的。这是每个Layer 1和DeFi浪潮中的重复模式——创新比安全发展得更快,而用户为此付出代价。”
监管和长期后果
此次攻击可能会重新引发对跨链桥、DeFi协议和稳定币操作的监管审查。随着全球监管机构继续起草新的加密框架,此类高调事件为加强监管提供了理由。
这也重新引发了关于DeFi中保险和用户保护的问题。由于受攻击影响的用户没有明确的追索权,协议可能会面临压力,要求其采用链上保险机制或为去中心化恢复基金做出贡献。
一些分析师认为,此类事件可能会加速向应用链和更垂直集成的DeFi生态系统的转变,在这些生态系统中,安全和预言机基础设施得到更严格的控制。
DeFi中的常见模式
预言机操纵仍然是DeFi中最持久的攻击向量之一。类似的攻击已被用于从以太坊、BNB Chain、Avalanche和Solana上的协议中窃取数百万美元。方法各不相同,但原理相同:操纵价格发现机制以提取价值。
此次攻击突显了对更强大的预言机系统的需求,包括结合链上和链下数据的混合模型、防止操纵的速率限制机制,以及在检测到价格异常时暂停操作的断路器的更广泛采用。
最终思考
对于Sui来说,接下来的几周将是关键。Cetus和其他主要生态系统参与者的反应可能会决定能否重建开发者和用户的信心。如果流动性仍然低迷,主要项目暂停开发,随着其他Layer 1的竞争加剧,该链可能会失去动力。
与此同时,更广泛的DeFi社区再次被提醒,无许可系统不仅需要创新,还需要纪律——尤其是在智能合约设计、预言机安全和事件响应协调方面。
Sui攻击可能不会是2025年最后一次与预言机相关的攻击。但如果行业认真考虑安全扩展,它必须停止将安全视为事后考虑,并从一开始就将其作为核心设计原则嵌入。
