Cetus Protocol 遭黑客攻击与 Sui 漏洞事件：2.6亿美元失窃案全纪实

是什么引发了2.6亿美元的Cetus Protocol黑客攻击？Sui漏洞如何演变成全链危机？

目录

• Sui漏洞导致Cetus Protocol损失2.6亿美元

• 黑客利用Sui漏洞抽干Cetus Protocol流动性

• Cetus代币在Sui漏洞中暴露风险

• Sui冻结黑客资产引发去中心化质疑

Sui漏洞导致Cetus Protocol损失2.6亿美元

5月22日，Sui区块链上主要的去中心化交易所和流动性提供商Cetus Protocol（CETUS）遭遇重大安全漏洞。该漏洞导致约2.23亿美元资金被盗，立即引发Sui生态内DeFi活动的中断。

自2023年推出以来，Cetus已成为Sui基础设施的核心部分，为超过6.2万活跃用户提供代币兑换和收益耕作服务，每日产生超过715万美元的交易费用。

截至5月23日撰稿时，Sui区块链原生代币SUI价格从4.19美元急剧下跌至3.62美元，单日跌幅近14%。

受攻击协议的原生代币CETUS在事件发生后立即从0.26美元跌至0.15美元。当前0.17美元的价格仅实现部分回升。

整个生态系统的代币都出现类似波动。Sui原生迷因币包括LOFI、HIPPO、SQUIRT、SLOVE和MEMEFI等跌幅在51%至97%之间。尽管价格已趋稳定，投资者信心仍然脆弱。

在Cetus列出的前15大资产中，超过75%的总价值被抹去。LBTC和AXOLcoin等代币价格近乎归零。

更广泛的影响不仅限于代币价格。撰稿时Sui总锁仓价值从21.3亿美元降至19.2亿美元，反映出短时间内的大幅收缩。

让我们了解漏洞如何实施、暴露了哪些结构缺陷，以及社区如何准备应对。

黑客利用Sui漏洞抽干Cetus Protocol流动性

针对Cetus Protocol的攻击始于5月22日凌晨。太平洋时间3:52（UTC时间11:52），区块链监控系统检测到SUI/USDC流动性池异常流动，最初标记为可能1100万美元的资金外流。

持续调查迅速扩大范围，揭示多个资金池总损失可能达到约2.6亿美元。

攻击聚焦于Cetus定价机制背后智能合约系统的漏洞。

核心问题在于协议预言机设计，该系统负责向平台提供实时价格数据以实现代币对间的公平交易。本案中，预言机成为漏洞切入点。

涉事钱包地址"0xe28b50"部署了BULLA等伪造代币来操纵价格曲线并扭曲储备余额。

尽管这些代币实际流动性极低，但被用来扭曲内部资金池指标，使SUI和USDC等有价值资产显得抵押不足。在破坏定价逻辑后，攻击者未提供相应价值就从资金池提取真实代币。

链上分析师追踪到攻击者在漏洞利用后将约6300万美元USDC从Sui转移至以太坊（ETH）。

兑换数据显示5830万美元以平均每枚2658美元的价格兑换为21,938 ETH。执行速度约为每分钟100万美元，表明这是协调且预谋的操作。

Cetus最初将问题称为"预言机漏洞"，这一表述立即引起开发者和安全专家的质疑。攻击规模和精确性使这种定性备受怀疑。

Cetus代币在Sui漏洞中暴露风险

Cetus漏洞根源并非单行恶意代码，而是协议管理价格和资金池逻辑的结构性缺陷。

Cetus使用依赖集中流动性池数据的内部预言机系统生成实时价格馈送。本意是减少对外部预言机的依赖并限制外部操纵风险。但该机制同时引入了新风险。

漏洞集中在智能合约中的"addLiquidity"、"removeLiquidity"和"swap"功能。这些功能本用于计算代币比率和资金池价值，但未能正确验证经济价值极低或为零的资产输入。

攻击者通过引入BULLA等伪造代币利用这一漏洞，这些代币模仿合法资产结构但无实际流动性或价格历史。

将这些代币引入资金池扭曲了控制价值增减的自动计算，实质上允许操纵协议内部核算。

利用这些伪造资产，攻击者几乎未提供真实流动性，却以人为有利的比率提取大量SUI和USDC。

网络安全公司将该事件归类为预言机操纵的典型案例，协议内部设计成为其自身漏洞。

交易量反映出损害规模。5月21日Cetus链上活动为3.2亿美元，5月22日飙升至29亿美元，显示漏洞利用开始后资金转移和兑换的速度。

Sui开发使用的Move编程语言包含防止重入等底层威胁的安全保护。本案中，故障发生在语言层之上。

智能合约执行并非问题所在。合约完全按指令执行——真正问题在于这些指令被允许执行。

Cetus没有过滤器或验证步骤确保只有具有实际流动性的代币才能影响定价。缺乏拒绝无市场验证资产的保护措施。

短期内未执行价格偏差上限，交易量激增时也没有熔断机制暂停异常活动。

一旦伪造代币进入并扭曲定价引擎，系统其余部分完全按设计运行——最终使漏洞利用毫无阻力地展开。

Sui冻结黑客资产引发去中心化质疑

漏洞确认后，Cetus迅速采取损害控制措施。太平洋时间5月22日约4:00暂停智能合约操作以防止协议进一步资金外流。

项目官方X账户随后发布公开声明承认事件并承诺全面调查。截至5月23日，尚未发布详细事后分析报告。

Sui生态系统展开更广泛响应。Sui基金会与验证者和关键合作伙伴协调，将攻击者地址列入黑名单并冻结Sui网络上约1.62亿美元的被盗资产。

追回剩余约6000万至9800万美元资金的努力遇到挑战。漏洞利用后约6000万至6300万美元USDC被跨链转移并兑换为21,938 ETH。

为鼓励资金返还，Cetus提出600万美元白帽赏金。该提案针对已兑换的ETH并包含严格条件：任何洗钱或变现资产的尝试将使提议失效。截至目前攻击者未公开回应。

追踪工作涉及多家网络安全公司和监管机构。Inca Digital主导谈判过程，Hacken和PeckShield提供取证支持。

Sui基金会还与包括FinCEN和美国国防部在内的机构协调，探索更多追回和法律选项。

交易所反应不一。币安创始人赵长鹏在X上表示声援，确认币安正协助协调追回工作，但未公开确认任何技术干预或账户冻结。

钱包冻结引发关于去中心化的广泛讨论。X上多位用户指出Sui验证者协调封锁攻击者地址交易，冻结超1.6亿美元资产。

尽管此举在本次事件中有效，但引发对验证者能对网络行为行使多大控制的担忧。

批评者认为这种协调挑战去中心化原则，表明验证者驱动的审查是可能的，令人质疑Sui等网络是真正去中心化还是仅声称如此。

免责声明：本文不构成投资建议。本页呈现的内容和材料仅用于教育目的。