日前 Sui 上最大去中心化交易所 Cetus 被骇 2.2 亿美元,其中约 6000 万美元已被跨链转移至以太坊。Amber Group 的安全研究员在推特上分享问题出自 Cetus 协议的漏洞,与 MOVE 语言引以为傲的安全性没有太大关系。此外 Mysten Labs 的产品长 Adeniyi 也表示已从验证者端软禁骇客的 1.6 亿美元。本文带你从事件始末到去中心化的辩证,一次了解。
(水家人流下眼泪!Sui 主要 DEX Cetus 丢失超过 2.6 亿美元,蒸发 83% TVL)
Table of Contents
Toggle漏洞出在 Cetus 本身的编码问题
Amber Group 的安全研究员 @neeksec 在推特上表示已找出 Cetus 出事的主因,他指出:「该漏洞的根本原因,源自于 get_amount_by_liquidity 函数中从 u256 到 u64 的型别转换。」不过随后他修正,表示真正的问题应出在「get_delta_a 函数的溢出检查失效」。
get_delta_a 函数的作用是计算在某个价格范围内增加指定数量的流动性时所需的代币 A 数量。以 Uniswap v3 的计算为例,流动性首先乘以价格范围 delta。所得乘积需要左移 64 位元。但如果流动性太大,乘积超过 192 位,则高 64 位会溢出并被截断。为了防止这种情况,checked_shlw 在执行移位之前执行溢出检查。
该案例中关键问题是 checked_shlw 函数的溢出检查有编码错误,未能阻止无效的大流动性值。攻击者精心设计了一个流动性值,导致 checked_shlw 传回一个较小的值。在随后的 div_round 运算利用向上取整数的机制,div_round 回传了 1,最终所需的代币 A 数量只有 1。
笔者补充:
换句话说,攻击者先声称要提供大量流动性,这笔流动在函数中的所得乘积超过系统设定,就像计算机只能显示前十位数,但最后乘出来的数字到十一位数一样。一般来说这种超过设定的数值会溢出并被截断,在执行移位前要先进行溢出检查。但就是在溢出检查的部分出现错误,攻击者利用该漏洞,仅需极少的代币,就能提出巨额资金。因此该问题与 suiMOVE 语言声称的物件导向安全性没有关联性。
Sui 如何冻结资金?是否代表中心化?
事发之后,Mysten Labs 产品长 Adeniyi 马上在直播中表示被盗的 2.2 亿美元中已有 1.6 亿美元被冻结。对 Cetus 来说可能算是个好消息,但也令人质疑,此举是否违反去中心化的原则?不过要先厘清的是,去中心化不是一个非黑即白的二元问题。以太坊初期也曾有约 14% 供应量被骇,因而投票通过硬分岔提案追回代币的纪录。这也是 ETC 以太坊经典的由来。
独立研究员 Haotian 指出事发当下,骇客将 USDC 部分资产跨链到以太坊。但大部分资产仍在 Sui 链上,至于是怎么冻结的,其实就是网路验证者集体装瞎。只要黑名单地址提出交易,验证者就会直接忽略。因此网路纪录上骇客仍持有这些资产,但形同软禁,无法将交易打包上链。对此 Bucket 协议的 Damien 也表示这种方式虽然较为中心化,但至少是写在规则内的。
余弦也表示骇客如果想一条路走到黑,应该还在想要怎么绕过这种冻结机制。就像是你有张提款卡,但 ATM 都拒绝为你提供服务。
比较值得关注的是 Sui 官方宣称要将冻结的资金还给流动性池,这可能是比较具争议的部分。毕竟物件导向的公链若可以直接转移物件的所有权,这会是非常大的争议。不过 Typus 协议的 Kyrie 也在留言区表示直接转移应该是不可能的,要骇客愿意归还。做为参考,Cetus 目前正与骇客协商,若骇客返还被盗资产,可以保留约六百万美元的以太币,Cetus 不会另外追究。
去中心化是目标,而非起点
至于去中心化与否的议题,Damien 表示去中心化金融是相对的,DeFi 的价值不在于「绝对去中心化」,而是创造了一个开放、无许可的金融实验场。相比传统金融,它让更多平凡背景的人有参与的机会,无论是用户还是开发者。这才是它真正吸引我们的地方。适当的中心化能保障用户、开发者与投资人的安全。他也指出如果你在意的只是黑钱能不能转出去,那你的动机令人存疑。
去中心化是目标,而非起点。未来如果希望有更多机构进场,他们要的是资金安全,而不是看著两亿美金被洗走还无计可施。说到底,去中心化不是拿来自毁长城的。
同样关于去中心化与否的议题,Raccoon 认为 Sui 并非以太坊,其底层基因来自 Meta 的 Libra,因此对去中心化程度的要求本就不同。他指出,此类协调行为与中心化资料库「回滚」仍有差异,只要处理得当、公关跟进、程序透明,仍能被社群理解与接受。Sui 必须比 BNB Chain 更去中心化,但不需达到完全「世界电脑」等级的信仰型目标。
(Sui/Cetus 生态危机与币价观察:从硬伤到韧性,7 大观点一次看)
风险提示
加密货币投资具有高度风险,其价格可能波动剧烈,您可能损失全部本金。请谨慎评估风险。
近期 Sui 生态出现明显波动,引发业界对其可持续发展性与治理模式的关注。知名区块链观察者 Raccoon Chan 发表对 Sui 与被骇协议 Cetus 的 7 点深度分析,既涉及生态信心与文化,也不避讳对币价的实际看法。
Table of Contents
Toggle顶级资源管理:Sui 团队的代币治理有一套
Raccoon Chan 认为,Sui 团队自代币生成事件(TGE)以来展现出对资源精准配置的能力。他们不过度发放激励,却也不让生态陷入饥荒。提供上币服务的 Binance 无法在其中取得过大的操控空间,显示 Sui 拥有罕见的平衡治理能力。比起 Ethereum 或 Solana,Sui 在管理原生稳定币与跨链桥梁协议上的谈判结果更为理想,是其相对优势的体现。
生态冲击:扩张放缓,策略转保守
尽管 Sui 的代币运营强劲,但近期的负面事件对其生态造成实质伤害。原生专案开始采取保守策略,潜在的新进专案出现观望甚至中止扩张的现象。这将影响整体生态的「催化剂」数量与质量,让原本可能发生的创新合作变得遥不可及。
(水家人流下眼泪!Sui 主要 DEX Cetus 丢失超过 2.6 亿美元,蒸发 83% TVL)
生态不散,仍有凝聚力
尽管受创,但 Raccoon Chan 强调这不是致命伤。他亲自走访 Sui 的 Basecamp,认为当地仍具备健康的组织气氛,没有明显的腐败迹象。尤其对于许多来自其他 Move 公链的开发者来说,Sui 可能是仅存的避风港,不太可能出现集体「敦克尔克大撤退」。
主菜还是 $SUI,币价影响有限
从币价角度来看,Sui 的主轴仍然是 $SUI 本身,而非其生态专案。这次事件对代币筹码面的冲击属可控范围。类似于 BSC 曾遭遇的空前寒冬,只要核心资源(如:Binance Launchpad)不出问题,币价基本面便不会受到致命影响。
生态文化的考验:社群是否挺身而出?
Sui 社群面临建立互助文化的契机。对于 Cetus 事件的苦主,有人建议仿效 Solana 的 $BONK 空投与社群募资模式,透过资产分发与流量导流来巩固社群认同。好消息是,目前尚未出现明目张胆落井下石的专案方,显示平时的生态团建累积已有成效。
拒绝勒索式投机:投资人与专案方该如何互信?
Raccoon Chan 批评部分人对于在暴跌中买入代币的投机者采取情绪绑架手法,甚至将其视为黑客帮凶。他主张应由专案方展现诚意与透明度,与投机者建立互信机制,而不是简单将责任或道德枷锁加诸他人。换句话说,稳定的币价与生态建设,应靠合作与承诺来推动,而非情绪勒索。
去中心化还是协调主义?Sui 的定位辩证
面对近期涉及资产冻结的争议,Raccoon 认为 Sui 并非以太坊,其底层基因来自 Meta 的 Libra,因此对去中心化程度的要求本就不同。他指出,此类协调行为与中心化资料库「回滚」仍有差异,只要处理得当、公关跟进、程序透明,仍能被社群理解与接受。Sui 必须比 BNB Chain 更去中心化,但不需达到完全「世界电脑」等级的信仰型目标。
币价观察:短期难有爆发,心锚已种下
最后,Raccoon 对 $SUI 币价表达了审慎乐观的看法。他不认为会有大规模卖压,但短期内也难以出现剧烈上涨。原因在于市场心理已被固定在「4 美元上下」的价格心锚,要拔除这个认知需要时间,而非单靠利好消息或叙事推动。缺乏新增买盘,即便是小幅因应开销的抛售,也可能导致阴跌走势。
风险提示
加密货币投资具有高度风险,其价格可能波动剧烈,您可能损失全部本金。请谨慎评估风险。
