Sui 生态遭遇严重安全挑战
2025 年 5 月 22 日,去中心化交易平台 Cetus Protocol 遭遇重大的智能合约漏洞攻击,成为 Sui 区块链历史上最严重的一次安全事件。黑客利用合约逻辑漏洞,窃取了超过 2.23 亿美元的加密资产,对 Sui 生态系统造成冲击。
攻击细节:智能合约函数设计缺陷
此次攻击的核心在于 Cetus 合约中的 checked_shlw
函数。该函数本意是防止数学溢出,但由于掩码判断存在设计缺陷,攻击者通过精心构造的参数绕过安全机制,发动数学溢出攻击。仅凭极少量伪造代币,黑客就从多个流动性池中兑换出大量真实资产。
根据安全公司慢雾(SlowMist)的技术分析,这是一场高度复杂的攻击,涉及精密计算,并非简单漏洞利用。最终,攻击者成功盗取了包括 SUI、USDC 和 vSUI 在内的大量代币,估算损失约 2.3 亿美元。
市场反应:SUI 价格大幅波动
在攻击消息传出后,SUI 价格从约 4.20 美元迅速下跌至 3.30 美元附近,虽然后续有所回升,但市场信心明显受到影响,Sui 生态遭遇巨大信任危机。
Cetus 团队的紧急应对
面对攻击,Cetus Protocol 团队迅速启动应急机制,采取了以下措施:
-
暂停所有智能合约操作;
-
修复
checked_shlw
函数漏洞; -
协调 Sui 基金会与验证者,成功冻结仍在链上的约 1.62 亿美元被盗资产;
-
追踪攻击者转移至以太坊的资金并识别其钱包地址。
白帽协议提案:尝试和平解决路径
为了最大程度追回资金并避免后续损失,Cetus 与合作安全公司 Inca Digital 向攻击者发出白帽协议。协议内容包括:归还 20,920 枚 ETH 及所有冻结的 Sui 链资产,攻击者可保留 2,324 枚 ETH(约 600 万美元)作为赏金。若协议被接受,Cetus 承诺不再追究法律责任。
相关链上提案地址: 点击查看
500 万美元悬赏机制引发争议
Cetus 同时宣布设立一项 500 万美元的赏金计划,征集关于攻击者身份和证据的线索。举报需包含攻击者姓名、地址以及相关参与证明。
然而,该悬赏机制也引起社区质疑。知名链上调查员 ZachXBT 批评该模式“只在成功破案后才支付奖金”,未对调查者的前期投入提供任何保障。他指出,这种激励机制缺乏吸引力,难以促使真正有能力的安全研究者参与调查。
最新官方更新:回应关键问题与后续恢复方案
5 月 24 日,Cetus 官方发布社区问答(Q&A)更新,对外说明当前进展与恢复方向,重点包括:
-
资金状态:Sui 链上被冻结的资产正通过验证者投票或白帽方案推动处理,链外资产仍在追踪中;
-
功能恢复:聚合器已上线,未受影响的流动性池将陆续恢复,受影响池的修复正在进行中;
-
信息延迟说明:Cetus 表示因需与基金会、验证者协调统一行动方案,因此公告发布时间滞后;
-
团队回应质疑:Cetus 强调团队自事件发生以来持续推进资产追踪、技术修复与法律处理;
-
赔偿承诺:协议将动用一切资源,力求追回资产并对受影响用户进行赔偿,具体方案将在追回金额更明朗后公布。
完整 Q&A 更新内容: 社区公告链接