Cetus 承诺全数代币用于补偿，协议重启倒数、基金会贷款细节须保密

Cetus Protocol 遭遇重大安全事件后，团队选择承担全部责任，宣布将手中 100% $CETUS 代币全数用于受害者补偿。透过一场长达数小时的 AMA，Cetus 共同创办人 Henry 正面回应各界关切，包括重启时程、补偿机制、治理计划及未来发展方向。

骇客攻击事件回顾：逾 2 亿美元资产受损

Cetus 协议在 5 月 22 日晚间遭骇客利用合约依赖的开源函数库漏洞发起攻击，透过 Flashswap、加减流动性等操作构建虚假价格与资金池，成功窃取资产超过 2.2 亿美元。其中约 6000 万美元经由多条跨链桥流入以太坊，剩余的 1.6 亿美元则因团队快速反应，与 Sui Validator 合作后成功冻结于链上。

事件爆发后，团队迅速暂停合约运行、通报全生态合作伙伴、联络多家安全厂商并报警，当前已完成多国报案程序，包括美国与新加坡等地。

100% 代币投入、85% 以上资产可恢复

针对使用者最关心的补偿问题，Cetus 团队明确表示，将由协议收入、现金资产，以及团队持有的全部 $CETUS 代币作为补偿来源。补偿方式采多层级机制，结合 Sui 基金会担保贷款，针对不同损失程度部署对应的补偿合约。

目前预估有 85.7% 至 96% 的资产可直接补偿。若冻结资产后续能透过法律途径追回，整体恢复率将有望接近全额。未来如何运用追回资产，也将交由 DAO 投票决定，包括是否进行回购、补充储备池或回馈社群。

基金会贷款支援补偿计划：并非外传 6000 万、细节仍保密中

针对外界关注的 Sui 基金会贷款细节，Cetus 团队在 AMA 中特别澄清：「外传的 6000 万美元数字并不准确」，实际金额与条件目前仍在保密协议（NDA）范围内，无法对外公开。不过团队强调，与基金会之间已达成明确共识，该笔贷款将作为整体补偿机制的一部分，填补未追回资产的缺口，并协助协议顺利度过修复与重启阶段。

至于是否为无息贷款、是否可用 $CETUS 作为偿还方式等具体条件，目前团队无法透露。Henry 表示，这笔资金的角色更像是「过桥贷款」，协助在补偿前期提供流动性支持，协议本身仍将依靠现金资产、协议收入与未来营收作为主要偿债来源，不会发行新币或稀释用户权益。

团队不撤退：情绪崩溃后的快速反弹与再出发

当被问及是否曾想过放弃，Henry 诚实表示，事件初期团队确实面临情绪崩溃、焦虑失眠，但在 24 小时内便重新集结，全体成员进入不眠不休的修复状态。他强调：「这不是一个可以抽身的专案，这是我们从零打造的产品，责任必须扛到底。」

团队已将 100% $CETUS 代币全数投入补偿计划，不保留任何内部分配。此外，协议收入若仍有盈余，未来将进行代币回购并纳入社群共管的 Treasury，由 DAO 决策其用途，确保真正实现去中心化。

协议重启倒数：24 小时内全面上线

Cetus 协议已进入重启倒数阶段，预计 24 小时内完成所有前端与 LP 功能恢复。重启前将先完成三项关键任务：历史交易资料修复、流动性注入与安全性测试。一旦全部完成，将第一时间公告正式上线时间。

此外，团队承诺加强安全性，包括全面开源、设立白帽奖励机制与建立内部风控系统，以杜绝类似漏洞再次发生。

补偿范围扩大：涵盖直接用户与间接受损协议

Henry 表示，这次事件波及不仅是 Cetus 使用者，还包括许多与其基础设施整合的协议。因此补偿方案也将纳入这些间接受损者，补贴将透过登记流程逐一确认范围与金额。

对于漏洞源头，Henry 承认是产品设计上的逻辑缺陷而非单一合约漏洞，未来将从根本加强经济模型验证与极端攻击模拟能力。

DAO 治理不受代币清零影响　营收将支撑协议续航

面对「代币清空」后如何维持营运与治理能力的质疑，Cetus 团队提供数据说明：过去六个月协议平均月营收达 150 万美元，年化破 1800 万美元，显示即便不靠代币，协议本身仍具备稳健现金流。

DAO 治理仍将持续运作，Cetus 将逐步释放治理权限给社群。$xCETUS 质押者虽短期内收益可能下滑，但中长期仍有望随著营收恢复而重回稳定分红机制。

不只是修复，而是重建：市场策略、用户信心与生态关系全面升级

团队明言，此次危机不仅是安全问题，更是品牌、信任与经营模式的全面考验。未来策略将包含：

• 聚焦新资产、新叙事，导入蓝筹、Meme 与 GameFi；

• 技术层持续迭代，维持 Sui 上的产品领先地位；

• 强化与社群互动与对外宣传，扩大品牌声量。

同时，Cetus 也计划导入 Launchpad 支援新专案，设计创新激励机制，持续推进华语与国际市场。

面对错误，选择承担：这不是危机公关，而是一场真实的自我救赎

Henry 认为，选择全额补偿并非出于压力，而是对协议与社群的道义责任。「我们的动力来自对 Sui 生态的理解与参与，而不是手上的代币。」

未来，Cetus 将不再依赖代币价格支撑，而是以协议收入与产品竞争力作为长期营运基石，也计划建立更多预防性安全机制，推动整个 Sui 生态更稳健发展。

Google Chrome 官方开发者部落格日前的更新中提到：Google Chrome 已于 2025 年 5 月 30 日于公开论坛中宣布取消对中华电信及 Netlock 的预设信任。主管机关数发部官员也出面表示年初已掌握该资讯，并自 3 月起启动政府网站双凭证机制，采用台湾本土凭证机构所签发的凭证，确保政府网站在各主流浏览器上皆能持续安全运作。这件事究竟会造成什么影响？本文带你解析。

Google：中华电信多次出现疏失，已不可信任

Google Chrome 表示根据《Chrome 根凭证计划政策》(Chrome Root Program Policy)，凡纳入 Chrome 根凭证库 (Chrome Root Store) 的凭证颁发机构 (CA)，必须确保其为终端使用者带来的整体价值高于持续信任所带来的风险；同时，CA 业者在揭露或回应资安事件时的作为，也是 Chrome 重要评估指标之一。若出现疏失，Google 期望 CA 业者能作出具体且可验证的改进，并持续精进内部流程。

Google 表示，过去一年观察到中华电信 (Chunghwa Telecom) 与 Netlock 两家 CA 业者多次出现「令人忧心的行为模式」，不仅影响其作业诚信，更未达 Chrome Root 计划对公信力及透明度的要求。Google 指出，这些情况已削弱外界对两家业者作为「预设受信任凭证签发者」的信赖。

八月起进入使用中华电信 TLS 服务的网站，将出现警告

Google Chrome 将从 2025 年 8 月 1 日开始预设不再信任中华电信颁发的新 TLS 证书。此操作将在 Windows、macOS、ChromeOS、Android 和 Linux 上的 Chrome 139 及更高版本中执行。 Apple 政策禁止在 iOS 版 Chrome 上使用 Chrome 凭证验证器和对应的 Chrome 根储存区。

届时若网站使用的是中华电信在 2025 年 7 月 31 日之后颁发凭证，将显示下列内容：

Google Chrome 建议受影响的网站营运商尽快迁移到其他受公众信任的 CA 所有者。若现有证书会在 2025 年 7 月 31 日之后到期， 则必须在现有证书到期前完成操作。

数发部：年初已掌握资讯并著手准备，澄清中华电信非资安问题

对此主管机关数发部官员表示年初就掌握该资讯，为避免政府机关网站受影响，3 月起启动政府网站双凭证机制，采用台湾本土凭证机构所签发的凭证，确保政府网站在各主流浏览器上皆能持续安全运作，维持公共数位服务的稳定性与可信度。

根据报导，该官员补充，Google 不信任中华电信不是资安技术或是标准问题，因为中华电信所签发的传输层安全通讯协定 (TLS) 凭证跟标准与国际一致，没有安全上的问题，主要是中华电信管理跟作业没有处理好，中华电信也表示，会争取 Google 在明年 3 月重新信任。

想像你明明拥有 100 ETH 却无法存取，一个被遗忘的多链漏洞让这笔资金化为泡影，却在几小时后失而复得，成为加密资安事件中少见的「完美逆转」。这起发生在 Safe 多签钱包的事件，不仅突显早期合约设计对多链未加考虑的风险，也再度证明白帽团队的力量，能在黑暗边缘拉使用者一把。

一颗按钮失去毕生积蓄？Safe 旧版本酿跨链混淆危机

昨日，加密用户 @khalo_0x 发文指出，他在使用 Safe 官方跨链桥工具，尝试将 100 ETH 从以太坊主网转移到 Base 时，意外发现他无法控制目标地址上的资金。虽然地址相同，但在 Base 上对应的 Safe 钱包，竟属于另一组完全不同的签名者。

Safe 团队的 Lukas Schor 对此解释，这起事件的根本原因，来自于他自 2020 年以来一直使用的 Safe 智能钱包版本为 v1.1.1：

该版本并未设计成多链相容，因此在其他链上，任何人都可以在相同地址部署自己的 Safe 合约，只要符合特定条件，就能「抢先占位 (front-run the deployment)」，导致资金误入他人控制的合约。

白帽部署抢先一步：Protofire 低调保护用户资金

就在 Khalo 发文寻求协助时，Schor 与工程师 tschubotz.eth 也迅速启动调查。他们发现该地址是由白帽骇客团队 Protofire 所部署，他们早已发现旧版本 Safe 的跨链潜在风险，主动抢先在 Base 链上部署了数百个旧 Safe 的地址，目的是为了防范黑帽骇客抢先部署后用于诈骗或窃资。

经过身份验证后，Protofire 立即将 100 ETH 全数归还给 Khalo，让这场原本可能酿成严重损失的事件画下完美句点，也让社群见证白帽生态在关键时刻的存在意义。

Bybit 事件前车之鉴：Safe 安全机制再受考验

Schor 强调这起事件属于极端案例，源于过去版本对多链部署缺乏保护逻辑，当前版本已确保其一致性，以避免错误部署。此外，此次跨链所用、基于 LIFI Protocol 的官方工具现已更新，也会加入额外提示机制：

若目标链已存在代码，但与本链签名者设定不同，会发出明确警告，防止使用者误认帐户掉入陷阱。

然而，今年初一起与 Safe 有关的重大安全事件：「Bybit 遭骇事件」也还历历在目。骇客透过入侵 Safe 开发者设备并窜改其前端，盗走 15 亿美元资产。这两起事件虽性质不同，却都揭示 Safe 作为智能钱包的核心资安挑战。

(Bybit 遭骇事件真相大白：多签钱包 Safe 前端遭入侵窜改，供应链攻击再成隐忧)

从这次事件学到什么？多链未来下的自托管新课题

Dragonfly 合伙人 @hosseeb 评价此事件为「近年最精彩的加密故事之一」，并强调加密世界的希望并不在于完全消除风险，而是在于当风险来临时，有人选择做对的事：

向 Protofire 与 Safe 团队、以及所有努力让加密世界更安全的白帽骇客致敬。有时候，加密领域其实也还不错。

这起失而复得事件提醒著我们：「加密钱包虽然为用户带来主权掌控，却也伴随更高的自托管风险。」正如同 Khalo 所说：「八年来避过所有诈骗，却输给一个 UX 错误。」这不是个案，而是整个多链生态成长过程中的阵痛。

唯有更完善的协议设计、更聪明的预警系统、以及更多像 Protofire 这样的角色，我们才能真正走向一个对用户更安全且友善的加密世界。