0xMedia

Cetus Protocol 安全事件回顾:Sui 链上最大 DEX 遭黑客盗取超 2.23 亿美元

Sui 生态遭遇严重安全挑战

2025 年 5 月 22 日,去中心化交易平台 Cetus Protocol 遭遇重大的智能合约漏洞攻击,成为 Sui 区块链历史上最严重的一次安全事件。黑客利用合约逻辑漏洞,窃取了超过 2.23 亿美元的加密资产,对 Sui 生态系统造成冲击。

攻击细节:智能合约函数设计缺陷

此次攻击的核心在于 Cetus 合约中的 checked_shlw 函数。该函数本意是防止数学溢出,但由于掩码判断存在设计缺陷,攻击者通过精心构造的参数绕过安全机制,发动数学溢出攻击。仅凭极少量伪造代币,黑客就从多个流动性池中兑换出大量真实资产。

根据安全公司慢雾(SlowMist)的技术分析,这是一场高度复杂的攻击,涉及精密计算,并非简单漏洞利用。最终,攻击者成功盗取了包括 SUI、USDC 和 vSUI 在内的大量代币,估算损失约 2.3 亿美元。

市场反应:SUI 价格大幅波动

在攻击消息传出后,SUI 价格从约 4.20 美元迅速下跌至 3.30 美元附近,虽然后续有所回升,但市场信心明显受到影响,Sui 生态遭遇巨大信任危机。

Cetus 团队的紧急应对

面对攻击,Cetus Protocol 团队迅速启动应急机制,采取了以下措施:

  • 暂停所有智能合约操作;

  • 修复 checked_shlw 函数漏洞;

  • 协调 Sui 基金会与验证者,成功冻结仍在链上的约 1.62 亿美元被盗资产;

  • 追踪攻击者转移至以太坊的资金并识别其钱包地址。

白帽协议提案:尝试和平解决路径

为了最大程度追回资金并避免后续损失,Cetus 与合作安全公司 Inca Digital 向攻击者发出白帽协议。协议内容包括:归还 20,920 枚 ETH 及所有冻结的 Sui 链资产,攻击者可保留 2,324 枚 ETH(约 600 万美元)作为赏金。若协议被接受,Cetus 承诺不再追究法律责任。

相关链上提案地址: 点击查看

500 万美元悬赏机制引发争议

Cetus 同时宣布设立一项 500 万美元的赏金计划,征集关于攻击者身份和证据的线索。举报需包含攻击者姓名、地址以及相关参与证明。

然而,该悬赏机制也引起社区质疑。知名链上调查员 ZachXBT 批评该模式“只在成功破案后才支付奖金”,未对调查者的前期投入提供任何保障。他指出,这种激励机制缺乏吸引力,难以促使真正有能力的安全研究者参与调查。

最新官方更新:回应关键问题与后续恢复方案

5 月 24 日,Cetus 官方发布社区问答(Q&A)更新,对外说明当前进展与恢复方向,重点包括:

  • 资金状态:Sui 链上被冻结的资产正通过验证者投票或白帽方案推动处理,链外资产仍在追踪中;

  • 功能恢复:聚合器已上线,未受影响的流动性池将陆续恢复,受影响池的修复正在进行中;

  • 信息延迟说明:Cetus 表示因需与基金会、验证者协调统一行动方案,因此公告发布时间滞后;

  • 团队回应质疑:Cetus 强调团队自事件发生以来持续推进资产追踪、技术修复与法律处理;

  • 赔偿承诺:协议将动用一切资源,力求追回资产并对受影响用户进行赔偿,具体方案将在追回金额更明朗后公布。

完整 Q&A 更新内容: 社区公告链接

0 0 votes
Article Rating
Subscribe
Notify of
guest
0 Comments
Oldest
Newest Most Voted
Inline Feedbacks
View all comments

Daily Debrief Newsletter

Start every day with the top news stories right now, plus original features, a podcast, videos and more.

中文zh中文中文