Cetus DEX黑客事件：220萬美元瞬間被竊！

如何在幾分鐘內竊取2.2億美元：了解Sui上的Cetus DEX漏洞

當流動性吸引攻擊者：Cetus出現了什麼問題？

在2025年5月22日，Cetus Protocol，作為Sui區塊鏈上的主要去中心化交易所（DEX），遭遇了一次重大黑客攻擊，這標誌著加密貨幣歷史上最大的去中心化金融（DeFi）違規事件之一。

攻擊者利用了Cetus的定價機制缺陷，竊取了約2.6億美元的數字資產。這一事件對Sui社區造成了重大影響，導致Sui代幣的價格在5月29日下跌約15%，降至3.81美元。

Cetus DEX促進了Sui生態系統內的高效代幣交易和流動性提供。該平台的快速增長使其成為攻擊者的主要目標。根據DefiLlama的數據，Cetus DEX的交易量從2023年10月1日至31日的1.8247億美元增長到2025年1月1日至31日的71.52億美元。

在Cetus DEX的代碼中存在一個先前未被檢測到的錯誤，這使得此次漏洞得以實現，導致數百萬美元的資金被盜。這一事件突顯了在快速擴張的DeFi生態系統中確保安全的持續挑戰，即使在優先考慮安全的情況下。

如何被利用：Cetus DEX漏洞的逐步分析

Cetus受到了一次精心策劃的攻擊，這次攻擊結合了價格操縱、虛假代幣注入和跨鏈洗錢。

以下是攻擊者如何繞過安全措施並利用Cetus內部定價系統的缺陷來抽走流動性池的逐步分析：

* **閃電貸款：** 攻擊者使用錢包地址0xe28b50進行閃電貸款，無需抵押即可獲得即時資金，從而迅速執行交易。
* **插入虛假代幣：** 像BULLA這樣缺乏真正流動性的虛假代幣被引入到各個Cetus流動性池中，擾亂了代幣交換的價格信息機制。
* **價格曲線扭曲：** 這些假代幣誤導了內部定價系統，扭曲了儲備計算，為像SUI和USDC這樣的合法資產創造了虛假的價格優勢。
* **流動性池利用：** 通過利用定價漏洞，攻擊者抽走了46個流動性對，將毫無價值的代幣以操縱的有利價格交換為有價值的資產。
* **跨鏈資金轉移：** 約6000萬美元的被盜資產被轉移到以太坊網絡，攻擊者將其轉換為21,938個以太幣，平均價格為每個以太幣2,658美元。
* **市場後果：** 此次攻擊導致Sui生態系統內的代幣價格大幅下跌。CETUS下跌超過40%，一些代幣的跌幅甚至高達99%。截至5月29日，總鎖倉價值（TVL）減少了2.1億美元，顯示出DEX遭受的聲譽損失。

Cetus DEX漏洞的時間線

一次針對Cetus DEX的協調攻擊在八小時內展開，觸發了緊急關閉、合約凍結和驗證者主導的回應，以阻止攻擊者的地址。

以下是Cetus DEX漏洞的時間線：

* **10:30:50 UTC：** 攻擊開始，出現異常交易。
* **10:40:00 UTC：** 監控系統檢測到流動性池中的不規則活動。
* **10:53:00 UTC：** Cetus團隊識別出攻擊來源並通知Sui生態系統成員。
* **10:57:47 UTC：** 核心CLMM池被關閉以阻止進一步損失。
* **11:20:00 UTC：** 系統中所有相關智能合約被禁用。
* **12:50:00 UTC：** Sui驗證者開始投票阻止來自攻擊者地址的交易；一旦投票超過33%的股份，這些地址就會被有效凍結。
* **18:04:07 UTC：** 發送鏈上談判消息給攻擊者。
* **18:15:28 UTC：** 脆弱的合約被更新並修復，但尚未重新啟用。

為何審計未能防止Cetus DEX漏洞

儘管進行了多次智能合約審計和安全檢查，黑客仍然能夠發現Cetus的缺陷並加以利用。漏洞存在於數學庫和錯誤的定價機制中，這些問題在多次審計中都未能被發現。

在其事後分析中，Cetus承認在警覺性方面過於放鬆，因為過去成功和廣泛採用的審計庫創造了一種虛假的安全感。這一事件突顯了行業中關於審計的更廣泛問題，雖然審計至關重要，但並非萬無一失。

根據BlockSec的首席商業官Orlando在X上的說法，2023年加密行業在安全審計上花費了超過10億美元，然而仍然有超過20億美元通過各種黑客攻擊被盜。審計可以檢測已知的風險模式，但往往無法預測新穎、創造性的攻擊向量。Cetus的黑客事件提醒我們，即使是經過良好審計的協議，持續監控、代碼審查和分層安全措施也是至關重要的。

恢復和賠償計劃

在黑客事件發生後，Cetus團隊暫停了其智能合約操作，以防止進一步損失。隨後，Sui社區迅速啟動了一項結構化的恢復和賠償策略。

在5月29日，Sui驗證者通過了一項治理投票，批准將1.62億美元的凍結資產轉移到Cetus管理的多簽錢包，開始賠償受影響用戶的過程。這些凍結的資金將被保留在信託中，直到能夠返還給用戶。該治理投票中，90.9%的人投票贊成（是），1.5%選擇棄權（參與但中立），7.2%未參與（不活躍）。

Cetus計劃在一週內重新啟動協議。一旦啟動，受影響的流動性提供者將能夠訪問恢復的資金，任何剩餘的損失將通過賠償系統進行補償。

從Cetus DEX漏洞中學到的教訓

Cetus DEX漏洞暴露了超越單一協議的關鍵漏洞，為更廣泛的DeFi社區提供了寶貴的見解。

隨著去中心化平台的複雜性和規模不斷增長，這一事件突顯了生態系統必須在以下關鍵領域進行演變，以更好地保護用戶資金並維護信任：

* **開源依賴的風險：** Cetus黑客事件突顯了對開源庫過度依賴的風險。雖然這些工具加快了開發速度並促進了合作，但它們可能隱藏著缺陷，正如此次攻擊中利用的數學庫所示。多次審計未能檢測到這一漏洞，顯示出僅依賴審計是不夠的。
* **需要分層安全：** 強大的防禦策略對於防止新型攻擊至關重要。這包括持續的代碼監控、異常活動的實時檢測和自動斷路器，以停止可疑交易。
* **去中心化與安全性之間的辯論：** 此事件指出了在去中心化與用戶安全之間取得平衡的重要性。驗證者的行動，如凍結和恢復資產，對維護用戶信任至關重要，但同時也引發了有關去中心化系統中集中控制程度的問題。
* **主動安全的呼籲：** 此次黑客事件強調了DeFi中適應性安全措施的必要性。協議必須通過主動策略優先考慮用戶保護，超越基本合規，確保抵禦不斷演變的威脅。

這次事件不僅是Cetus的教訓，也是整個DeFi行業的一次警示，提醒我們在追求創新和增長的同時，必須始終將安全置於首位。

以上文章由特價GPT API KEY所翻譯及撰寫。而圖片則由FLUX根據內容自動生成。