22 мая 2025 года Cetus Protocol, одна из самых известных децентрализованных бирж (DEX) на блокчейнах Sui и Aptos, столкнулась с самым серьезным вызовом в своей истории. Крупный инцидент с нарушением безопасности привел к потере более 260 миллионов долларов в цифровых активах, что сделало этот случай одним из крупнейших эксплойтов в истории DeFi.
Нападающий использовал фальшивые токены, чтобы использовать уязвимость в умных контрактах Cetus, исчерпав ликвидные пулы и подорвав доверие к экосистеме Sui. Последствия затронули не только держателей токенов CETUS, но и вызвали более широкое обсуждение вопросов децентрализации, контроля валидаторов и безопасности умных контрактов.
Для всех, кто активен в криптовалюте, этот хак является сигналом тревоги и важным примером для изучения рисков и устойчивости инфраструктуры DeFi.
Что такое Cetus Protocol DEX и как он работает?
Cetus Protocol является одной из самых известных децентрализованных бирж (DEX) на блокчейнах Sui и Aptos — двух быстрых и масштабируемых блокчейнов Layer 1, предназначенных для Web3-приложений. Как DEX, Cetus позволяет пользователям обменивать токены, предоставлять ликвидность и зарабатывать торговые комиссии в несамостоятельном, безразрешенном окружении. Cetus известен своими передовыми торговыми функциями и гибкими опциями ликвидности , сыграв ключевую роль в продвижении DeFi-активности на этих новых сетях. Предлагая такие инструменты, как программируемые свопы и концентрированные пулы ликвидности, платформа привлекла тысячи пользователей и разработчиков в пространство Web3.
В центре Cetus находится модель Концентрированного Поставщика Ликвидности (CLMM), функция, популяризированная Uniswap V3. В отличие от традиционных автоматизированных маркет-мейкеров (AMMs), которые распределяют ликвидность равномерно по всем ценовым точкам, CLMM позволяет поставщикам ликвидности (LP) выбирать конкретные ценовые диапазоны для своих позиций. Это дает LP больше контроля, позволяет сужать спреды и помогает максимизировать эффективность капитала.
Cetus идет дальше модели CLMM, предлагая программируемые торговые инструменты, совместимость для dApp разработчиков и систему двойных токенов (CETUS и xCETUS) для вознаграждения за длительное участие. С этими функциями Cetus стал идеальной DEX для пользователей, ищущих более быстрое выполнение, меньший проскальзывание и более настраиваемые стратегии DeFi на Sui и Aptos.
Основные особенности протокола Cetus
Обзор протокола Cetus | Источник: Cetus.zoneCetus — это не просто торговая платформа, это полноценная инфраструктура ликвидности, оптимизированная для следующего поколения децентрализованных финансов (DeFi).
• Концентрированная ликвидность (CLMM): Пулы ликвидности (LP) могут размещать капитал в индивидуальных ценовых диапазонах, чтобы зарабатывать больше комиссий и уменьшить неактивную ликвидность.
• Открытый доступ без разрешений: Каждый может создать пулы ликвидности, развернуть торговые стратегии или строить на базе Cetus.
• Программируемые торговые стратегии: Трейдеры могут выполнять лимитные ордера, ордера по диапазону и другие сложные тактики с использованием инструментов на блокчейне.
• Ликвидность как услуга (LaaS): Проекты могут использовать ликвидность Cetus через его SDK, что облегчает запуск хранилищ, деривативов и стратегий доходности.
• Модель с двумя токенами: Протокол использует CETUS токен для полезных функций и xCETUS для управления и вознаграждений за стекинг.
• Создан для интеграции: Cetus дружелюбен к разработчикам, обеспечивая бесшовную совместимость с другими приложениями и протоколами DeFi.
• Высокая производительность: Построенный на Sui и Aptos, Cetus поддерживает торговлю с низкой задержкой и высокой пропускной способностью, что идеально подходит для современного DeFi.
Резюме инцидента с протоколом Cetus: Все, что нужно знать
22 мая 2025 года протокол Cetus стал жертвой одной из самых серьезных утечек безопасности в истории DeFi. В результате эксплуатации было потеряно более 260 миллионов долларов США, в основном в SUI, USDC и других активах в нескольких пулах ликвидности на платформе.
Атакующий использовал технику, известную как манипуляция оракулом. Эта эксплуатация нацелена на внутренний механизм ценообразования Cetus, который зависит от данных пулов, а не от внешних оракулов. Уязвимость была связана с тем, как протокол рассчитывал стоимость активов в своих смарт-контрактах, особенно в функциях, которые обрабатывали математические вычисления ликвидности и ценовые кривые.
Официальное заявление о взломе Cetus | Источник: CointelegraphДля проведения атаки хакер внедрил фальшивые токены — фиктивные активы с малым или нулевым реальным значением. Эти токены были введены в пулы для искажения ценовых кривых и резервных балансов. Подделав значения токенов и используя уязвимость в проверке переполнения в Cetus, злоумышленник смог обмануть протокол и вывести большое количество реальных активов в обмен на бесполезные токены.
По сути, это не была традиционная ошибка смарт-контракта, а логическая ошибка в математике AMM. Она позволила атакующему добавить огромное количество ликвидности при минимальных вложениях и вывести ценные токены, такие как SUI и USDC, без пропорциональных вкладов. Активность в блокчейне резко возросла, с более чем 2,9 миллиарда долларов США в объеме транзакций, зафиксированными 22 мая, по сравнению с всего лишь 320 миллионами долларов США на предыдущий день.
Что произошло после утечки безопасности протокола Cetus?
Как только была обнаружена уязвимость, команда Cetus быстро отреагировала. Все операции с умными контрактами были немедленно приостановлены, чтобы предотвратить дальнейшие повреждения, и команда начала внутреннее расследование инцидента. Заявление было опубликовано на официальном аккаунте Cetus Protocol в X (бывший Twitter), подтверждающее инцидент и призывающее пользователей оставаться в курсе событий, пока команда работает над планом восстановления.
Через несколько часов $162 миллиона украденных активов были заморожены благодаря скоординированным усилиям между Cetus, Фондом Sui и валидаторами сети. Украденные средства были отслежены и заблокированы на блокчейне, что предотвратило перемещение или вывод значительной части активов.
Mysten, Функция белого списка Sui | Источник: CointelegraphДля поддержки усилий по восстановлению, Cetus предложил бонус в размере $6 миллионов хакеру. Условия сделки: вернуть украденные средства и получить 2,324 ETH в качестве награды, без последствий в юридическом плане. На момент последнего обновления хакер не дал публичного ответа, но замороженные средства остаются под наблюдением, и продолжаются переговоры с третьими сторонами и правоохранительными органами.
Средства хакера Cetus | Источник: Arkham IntelligenceЭтот быстрый ответ помог ограничить кризис, но также вызвал более глубокую дискуссию на криптовалютном рынке о децентрализации, цензуре и власти, которую валидаторы блокчейна могут осуществлять в экстренных ситуациях.
Token CETUS упал на 40% за 24 часа после нарушения безопасности, прежде чем восстановиться
Рыночная производительность токена CETUS | Источник: BingXВзлом протокола Cetus 22 мая 2025 года вызвал шок в экосистеме Sui и более широком DeFi-рынке. После взлома CETUS, родной токен протокола, резко упал с 0,26 доллара до 0,15 доллара, потеряв более 40% за меньше чем 24 часа. SUI, токен, поддерживающий блокчейн Sui, также потерял почти 14%, снизившись с 4,19 доллара до 3,62 доллара на фоне опасений по поводу системных рисков и снижения доверия к безопасности на блокчейне.
Однако в последующие дни оба токена показали признаки восстановления. На момент написания этой статьи SUI находится около 3,64 доллара, а CETUS стабилизировался на уровне около 0,13 доллара, после того как он упал еще ниже сразу после инцидента. Хотя токены еще не вернулись к уровням до взлома, этот откат свидетельствует о постепенном улучшении настроений инвесторов, чему способствовала быстрая реакция протокола и частичное восстановление средств.
Объем торгов на Cetus взлетел с 320 миллионов долларов до более чем 2,9 миллиардов долларов в день взлома, что было вызвано транзакциями от эксплуатации и паническими выводами средств. Эффект от этого был широкомасштабным. Мелкие токены, размещенные на Cetus, включая LBTC, AXOLcoin и SLOVE, понесли убытки от 50% до почти 99%. Некоторые активы временно потеряли почти всю свою стоимость из-за каскадных выводов ликвидности и дисбаланса в пулах.
Это нарушение также привело к временной девальвации USDC, выявило уязвимости в логике смарт-контракта Cetus и привело к падению общей заблокированной стоимости (TVL) на более чем 200 миллионов долларов на блокчейне Sui. Хотя 162 миллиона долларов украденных активов были успешно заморожены валидаторами Sui, возникли опасения по поводу власти валидаторов и децентрализации после того, как транзакции, связанные с атакующими Sui-кошельками, были заблокированы.
Тем временем, команда Cetus запустила план восстановления с двумя направлениями, предложив 6 миллионов долларов вознаграждения хакеру и начав голосование сообщества для утверждения протоколов возврата средств, стремясь восстановить доверие пользователей и целостность протокола. Пока усилия по восстановлению продолжаются, за CETUS и SUI пристально следят, не только как за инвестиционными активами, но и как за индикаторами того, насколько устойчивыми могут быть новые DeFi-экосистемы в условиях высоких рисков атак.
Контроверсия взлома Cetus: децентрализация против экстренного вмешательства
Одним из самых больших споров, связанных с взломом Cetus, было не только само нарушение, но и реакция на него. В частности, заморозка 162 миллионов долларов украденных средств валидаторами Sui вызвала горячие дебаты о том, что такое децентрализация на практике.
С одной стороны, многие аплодировали быстрой реакции. Работая вместе, команда Cetus, фонд Sui и валидаторы смогли отследить и заблокировать большинство украденных активов в течение нескольких часов. Это помогло защитить пользователей и дало протоколу шанс на восстановление. Сторонники утверждали, что это реальный пример того, как децентрализация может работать как скоординированная система защиты, управляемая сообществом.
Но не все согласились.
Плюсы и минусы экстренного вмешательства после взлома протокола CetusКритики отметили, что заморозка адресов кошельков, даже тех, которые связаны с хакерами, вызывает серьезные опасения по поводу централизации. Если валидаторы могут в одностороннем порядке блокировать транзакции или изымать активы, означает ли это, что пользователи действительно контролируют свои средства? И если блокчейн может переопределить поведение смарт-контракта в кризисной ситуации, чем это отличается от традиционных финансовых систем?
Некоторые сравнили Sui с «корпоративным блокчейном», утверждая, что его структура валидаторов дает слишком много власти небольшой группе актеров. Другие считали, что децентрализация не означает бездействие; это означает ответственное управление, особенно когда средства пользователей находятся под угрозой.
Этот случай заставил криптосообщество столкнуться с трудным вопросом: может ли сеть быть децентрализованной и при этом вмешиваться в экстренных ситуациях? Или любое вмешательство разрушает цель разрешенного кода без остановки?
Ответ пока не ясен. Но взлом Cetus сделал эту дискуссию невозможной для игнорирования.
Извлеченные уроки и меры предосторожности на будущее
Взлом протокола Cetus — это явное напоминание о том, что безопасность должна быть главным приоритетом в DeFi. Даже хорошо спроектированные платформы могут понести большие потери, если будет упущена одна уязвимость. В данном случае ошибка в расчетах ликвидности привела к эксплуатации на сумму 260 миллионов долларов, что стало одним из крупнейших взломов 2025 года. Итак, как разработчики DeFi и пользователи могут лучше защитить себя в будущем?
Для разработчиков DeFi: как создавать более безопасные протоколы
• Проводите несколько аудитов смарт-контрактов с независимыми опытными компаниями.
• Используйте формальную верификацию для ключевых вычислений, особенно в AMM и логике ликвидности.
• Внедряйте механизм аварийной остановки для приостановки деятельности при аномальных сделках или резких скачках объемов.
• Опирайтесь на проверенные оракулы и избегайте использования внутренних механизмов ценообразования для критичных функций.
Для пользователей DeFi: как оставаться в безопасности
• Проверяйте отчеты по аудиту и исследуйте, как протокол реагировал на прошлые проблемы.
• Избегайте чрезмерного воздействия путем диверсификации на несколько платформ.
• Используйте безопасные кошельки и включайте двухфакторную аутентификацию (2FA) там, где это возможно.
• Будьте в курсе протоколов, которые вы используете, включая чтение обновлений и отзывов от сообщества.
В Web3 одним из лучших способов снизить риски является получение информации и проактивность. Независимо от того, разрабатываете ли вы или участвуете, осведомленность о безопасности необходима для ответственного ориентирования в экосистеме DeFi.
Заключение
Взлом протокола Cetus, в результате которого было похищено более 260 миллионов долларов, выявил критическую уязвимость в логике ликвидности платформы. Хотя большая часть украденных средств была быстро заморожена благодаря скоординированным усилиям, инцидент оказал значительное влияние на доверие к рынку и вызвал более широкие опасения по поводу безопасности протоколов DeFi.
По мере того как децентрализованные финансы продолжают развиваться и усложняться, увеличиваются и риски. Этот инцидент подчеркивает важность постоянных улучшений в аудите смарт-контрактов, прозрачности управления и стратегиях экстренного реагирования. Как разработчики, так и пользователи должны играть свою роль — строить с учетом безопасности и оставаться в курсе того, как работают протоколы и как они управляют потенциальными угрозами.