日前 Sui 上最大去中心化交易所 Cetus 被駭 2.2 億美元,其中約 6000 萬美元已被跨鏈轉移至以太坊。Amber Group 的安全研究員在推特上分享問題出自 Cetus 協議的漏洞,與 MOVE 語言引以為傲的安全性沒有太大關係。此外 Mysten Labs 的產品長 Adeniyi 也表示已從驗證者端軟禁駭客的 1.6 億美元。本文帶你從事件始末到去中心化的辯證,一次了解。
(水家人流下眼淚!Sui 主要 DEX Cetus 丟失超過 2.6 億美元,蒸發 83% TVL)
Table of Contents
Toggle漏洞出在 Cetus 本身的編碼問題
Amber Group 的安全研究員 @neeksec 在推特上表示已找出 Cetus 出事的主因,他指出:「該漏洞的根本原因,源自於 get_amount_by_liquidity 函數中從 u256 到 u64 的型別轉換。」不過隨後他修正,表示真正的問題應出在「get_delta_a 函數的溢出檢查失效」。
get_delta_a 函數的作用是計算在某個價格範圍內增加指定數量的流動性時所需的代幣 A 數量。以 Uniswap v3 的計算為例,流動性首先乘以價格範圍 delta。所得乘積需要左移 64 位元。但如果流動性太大,乘積超過 192 位,則高 64 位會溢出並被截斷。為了防止這種情況,checked_shlw 在執行移位之前執行溢出檢查。
該案例中關鍵問題是 checked_shlw 函數的溢出檢查有編碼錯誤,未能阻止無效的大流動性值。攻擊者精心設計了一個流動性值,導致 checked_shlw 傳回一個較小的值。在隨後的 div_round 運算利用向上取整數的機制,div_round 回傳了 1,最終所需的代幣 A 數量只有 1。
筆者補充:
換句話說,攻擊者先聲稱要提供大量流動性,這筆流動在函數中的所得乘積超過系統設定,就像計算機只能顯示前十位數,但最後乘出來的數字到十一位數一樣。一般來說這種超過設定的數值會溢出並被截斷,在執行移位前要先進行溢出檢查。但就是在溢出檢查的部分出現錯誤,攻擊者利用該漏洞,僅需極少的代幣,就能提出巨額資金。因此該問題與 suiMOVE 語言聲稱的物件導向安全性沒有關聯性。
Sui 如何凍結資金?是否代表中心化?
事發之後,Mysten Labs 產品長 Adeniyi 馬上在直播中表示被盜的 2.2 億美元中已有 1.6 億美元被凍結。對 Cetus 來說可能算是個好消息,但也令人質疑,此舉是否違反去中心化的原則?不過要先釐清的是,去中心化不是一個非黑即白的二元問題。以太坊初期也曾有約 14% 供應量被駭,因而投票通過硬分岔提案追回代幣的紀錄。這也是 ETC 以太坊經典的由來。
獨立研究員 Haotian 指出事發當下,駭客將 USDC 部分資產跨鏈到以太坊。但大部分資產仍在 Sui 鏈上,至於是怎麼凍結的,其實就是網路驗證者集體裝瞎。只要黑名單地址提出交易,驗證者就會直接忽略。因此網路紀錄上駭客仍持有這些資產,但形同軟禁,無法將交易打包上鏈。對此 Bucket 協議的 Damien 也表示這種方式雖然較為中心化,但至少是寫在規則內的。
余弦也表示駭客如果想一條路走到黑,應該還在想要怎麼繞過這種凍結機制。就像是你有張提款卡,但 ATM 都拒絕為你提供服務。
比較值得關注的是 Sui 官方宣稱要將凍結的資金還給流動性池,這可能是比較具爭議的部分。畢竟物件導向的公鏈若可以直接轉移物件的所有權,這會是非常大的爭議。不過 Typus 協議的 Kyrie 也在留言區表示直接轉移應該是不可能的,要駭客願意歸還。做為參考,Cetus 目前正與駭客協商,若駭客返還被盜資產,可以保留約六百萬美元的以太幣,Cetus 不會另外追究。
去中心化是目標,而非起點
至於去中心化與否的議題,Damien 表示去中心化金融是相對的,DeFi 的價值不在於「絕對去中心化」,而是創造了一個開放、無許可的金融實驗場。相比傳統金融,它讓更多平凡背景的人有參與的機會,無論是用戶還是開發者。這才是它真正吸引我們的地方。適當的中心化能保障用戶、開發者與投資人的安全。他也指出如果你在意的只是黑錢能不能轉出去,那你的動機令人存疑。
去中心化是目標,而非起點。未來如果希望有更多機構進場,他們要的是資金安全,而不是看著兩億美金被洗走還無計可施。說到底,去中心化不是拿來自毀長城的。
同樣關於去中心化與否的議題,Raccoon 認為 Sui 並非以太坊,其底層基因來自 Meta 的 Libra,因此對去中心化程度的要求本就不同。他指出,此類協調行為與中心化資料庫「回滾」仍有差異,只要處理得當、公關跟進、程序透明,仍能被社群理解與接受。Sui 必須比 BNB Chain 更去中心化,但不需達到完全「世界電腦」等級的信仰型目標。
(Sui/Cetus 生態危機與幣價觀察:從硬傷到韌性,7 大觀點一次看)
風險提示
加密貨幣投資具有高度風險,其價格可能波動劇烈,您可能損失全部本金。請謹慎評估風險。
近期 Sui 生態出現明顯波動,引發業界對其可持續發展性與治理模式的關注。知名區塊鏈觀察者 Raccoon Chan 發表對 Sui 與被駭協議 Cetus 的 7 點深度分析,既涉及生態信心與文化,也不避諱對幣價的實際看法。
Table of Contents
Toggle頂級資源管理:Sui 團隊的代幣治理有一套
Raccoon Chan 認為,Sui 團隊自代幣生成事件(TGE)以來展現出對資源精準配置的能力。他們不過度發放激勵,卻也不讓生態陷入飢荒。提供上幣服務的 Binance 無法在其中取得過大的操控空間,顯示 Sui 擁有罕見的平衡治理能力。比起 Ethereum 或 Solana,Sui 在管理原生穩定幣與跨鏈橋樑協議上的談判結果更為理想,是其相對優勢的體現。
生態衝擊:擴張放緩,策略轉保守
儘管 Sui 的代幣運營強勁,但近期的負面事件對其生態造成實質傷害。原生專案開始採取保守策略,潛在的新進專案出現觀望甚至中止擴張的現象。這將影響整體生態的「催化劑」數量與質量,讓原本可能發生的創新合作變得遙不可及。
(水家人流下眼淚!Sui 主要 DEX Cetus 丟失超過 2.6 億美元,蒸發 83% TVL)
生態不散,仍有凝聚力
儘管受創,但 Raccoon Chan 強調這不是致命傷。他親自走訪 Sui 的 Basecamp,認為當地仍具備健康的組織氣氛,沒有明顯的腐敗跡象。尤其對於許多來自其他 Move 公鏈的開發者來說,Sui 可能是僅存的避風港,不太可能出現集體「敦克爾克大撤退」。
主菜還是 $SUI,幣價影響有限
從幣價角度來看,Sui 的主軸仍然是 $SUI 本身,而非其生態專案。這次事件對代幣籌碼面的衝擊屬可控範圍。類似於 BSC 曾遭遇的空前寒冬,只要核心資源(如:Binance Launchpad)不出問題,幣價基本面便不會受到致命影響。
生態文化的考驗:社群是否挺身而出?
Sui 社群面臨建立互助文化的契機。對於 Cetus 事件的苦主,有人建議仿效 Solana 的 $BONK 空投與社群募資模式,透過資產分發與流量導流來鞏固社群認同。好消息是,目前尚未出現明目張膽落井下石的專案方,顯示平時的生態團建累積已有成效。
拒絕勒索式投機:投資人與專案方該如何互信?
Raccoon Chan 批評部分人對於在暴跌中買入代幣的投機者採取情緒綁架手法,甚至將其視為黑客幫兇。他主張應由專案方展現誠意與透明度,與投機者建立互信機制,而不是簡單將責任或道德枷鎖加諸他人。換句話說,穩定的幣價與生態建設,應靠合作與承諾來推動,而非情緒勒索。
去中心化還是協調主義?Sui 的定位辯證
面對近期涉及資產凍結的爭議,Raccoon 認為 Sui 並非以太坊,其底層基因來自 Meta 的 Libra,因此對去中心化程度的要求本就不同。他指出,此類協調行為與中心化資料庫「回滾」仍有差異,只要處理得當、公關跟進、程序透明,仍能被社群理解與接受。Sui 必須比 BNB Chain 更去中心化,但不需達到完全「世界電腦」等級的信仰型目標。
幣價觀察:短期難有爆發,心錨已種下
最後,Raccoon 對 $SUI 幣價表達了審慎樂觀的看法。他不認為會有大規模賣壓,但短期內也難以出現劇烈上漲。原因在於市場心理已被固定在「4 美元上下」的價格心錨,要拔除這個認知需要時間,而非單靠利好消息或敘事推動。缺乏新增買盤,即便是小幅因應開銷的拋售,也可能導致陰跌走勢。
風險提示
加密貨幣投資具有高度風險,其價格可能波動劇烈,您可能損失全部本金。請謹慎評估風險。
