2025年5月22日,Cetus Protocol,Sui與Aptos區塊鏈上最具代表性的去中心化交易所(DEX)之一,面臨了歷史上最嚴重的挑戰。一個重大的安全漏洞導致超過2.6億美元的數字資產損失,這使其成為歷史上最大的DeFi漏洞事件之一。
攻擊者利用偽造代幣利用Cetus 智能合約中的漏洞,抽取了流動性池,並動搖了人們對Sui生態系統的信心。這場事件不僅影響了CETUS代幣持有者,也引發了有關去中心化、驗證者控制權以及智能合約安全的更廣泛討論。
對於所有活躍於加密貨幣領域的人來說,這次駭客事件是一個警鐘,也是理解DeFi基礎設施風險與韌性的一個重要案例。
什麼是Cetus Protocol DEX,它如何運作?
Cetus Protocol是Sui與Aptos區塊鏈上最具代表性的去中心化交易所(DEX)之一——這兩個是為Web3應用設計的快速、可擴展的Layer 1網絡。作為一個DEX,Cetus允許用戶進行代幣交換、提供流動性,並在非託管、無需許可的環境中賺取交易費用。Cetus以其先進的交易功能和靈活的流動性 選項而聞名,並在推動這些新興網絡上的DeFi活動中發揮了關鍵作用。通過提供如可編程交換和集中流動性池等工具,該平台吸引了來自Web3領域的數千名用戶和開發者。
Cetus的核心在於其集中流動性市場做市商(CLMM)模型,這一特性由Uniswap V3所推廣。與傳統的自動化市場做市商(AMMs)不同,CLMM允許流動性提供者(LPs)選擇其位置的具體價格範圍。這使得LPs可以擁有更多控制權,實現更緊密的價差,並幫助最大化資本效率。
Cetus進一步推進了CLMM模型,通過提供可編程交易工具、為dApp 開發者提供可組合性,以及一個雙代幣系統(CETUS和xCETUS)來獎勳長期參與者。憑藉這些特性,Cetus已經成為尋求更快執行、更低滑點以及更多可定制DeFi策略的用戶在Sui與Aptos上的首選DEX。
Cetus 協議的主要特點
Cetus 協議概覽 | 來源:Cetus.zoneCetus 不僅僅是一個交易平台,它是一整個針對下一代去中心化金融(DeFi)優化的流動性基礎設施,具備以下功能。
• 集中流動性 (CLMM): 流動性提供者(LP)可以在自定義的價格範圍內部署資本,從而賺取更多的手續費並減少閒置流動性。
• 無需許可與開放訪問: 任何人都可以創建流動性池,部署交易策略或在 Cetus 上構建應用。
• 可編程交易策略: 交易者可以使用鏈上工具執行限價單、範圍訂單及其他高級策略。
• 作為服務的流動性 (LaaS): 項目方可以通過 Cetus 的 SDK 接入流動性,輕鬆啟動金庫、衍生品和收益策略。
• 雙代幣模型: 該協議使用CETUS 代幣作為效用代幣,並使用 xCETUS 代幣來進行治理與質押獎勳。
• 為整合而建: Cetus 具備開發者友好的特性,能夠與其他 DeFi 應用和協議無縫組合。
• 高速度表現: Cetus 建立於 Sui 和 Aptos 之上,支持低延遲、高吞吐量的交易,理想適用於現代 DeFi。
Cetus 協議安全漏洞回顧:你需要知道的一切
在2025年5月22日,Cetus 協議遭遇了 DeFi 歷史上最嚴重的安全漏洞之一。此次攻擊導致超過 2.6 億美元的損失,主要是 SUI、USDC 及其他資產在多個流動性池中損失。
攻擊者使用了一種稱為oracle 操控的技術。這次攻擊瞄準了 Cetus 的內部定價機制,該機制依賴於池數據而非外部預言機。漏洞與協議在其智能合約中計算資產價值的方式有關,特別是在處理流動性數學和定價曲線的函數中。
關於 Cetus 攻擊的官方公告 | 來源:Cointelegraph為了執行此次攻擊,黑客部署了欺騙代幣—一些沒有或幾乎沒有實際價值的假資產。這些代幣被引入流動性池中,扭曲了定價曲線和儲備餘額。通過偽造代幣的價值並利用 Cetus 溢出檢查中的漏洞,攻擊者成功地將大量真實資產換取了毫無價值的代幣。
本質上,這不是一個傳統的智能合約錯誤,而是 AMM 數學中的邏輯漏洞。它允許攻擊者在最小的投入下添加大量流動性,並無需提供相應的價值,就能提取像 SUI 和 USDC 這樣的有價值代幣。鏈上活動劇增,5月22日的交易量達到了超過29 億美元,相比前一天僅有 3.2 億美元。
在Cetus協議安全漏洞後發生了什麼?
一旦發現漏洞,Cetus團隊迅速採取了行動。所有智能合約操作立即暫停以防止進一步損害,並且團隊啟動了內部調查。Cetus協議在其官方X(前身為Twitter)帳戶上發表了聲明,確認了此事件,並敦促用戶保持關注,當團隊正在制定恢復計劃。
幾個小時內,$162百萬被竊取的資產已被凍結,這得益於Cetus、Sui基金會和網絡驗證者之間的協調努力。被竊取的資金已被追蹤並鎖定在鏈上,防止攻擊者移動或將大量資產轉移至其他平台。
Mysten, Sui白名單功能 | 來源:Cointelegraph為了協助恢復工作,Cetus向駭客提供了$6百萬的白帽獎金。條件是:歸還被竊取的資金,並以2,324 ETH作為獎勳,並且不會追究法律責任。根據最新更新,駭客尚未公開回應,但凍結的資金仍在監控中,與第三方安全公司和執法機構的談判仍在進行中。
Cetus駭客的資金 | 來源:Arkham Intelligence這一迅速的回應幫助控制了危機,但也在加密市場中引發了關於去中心化、審查以及區塊鏈驗證者在緊急時刻可以行使的權力的更深層次討論。
CETUS 代幣在安全漏洞後 24 小時內崩跌 40%,隨後回升
CETUS 代幣市場表現 | 來源:BingX2025年5月22日,Cetus 協議遭受黑客攻擊,引發了 Sui 生態系統及整體 DeFi 市場的震盪。遭受攻擊後,Cetus 協議的原生代幣 CETUS 僅在 24 小時內 從 0.26 美元暴跌至 0.15 美元,跌幅超過 40%。同樣,支撐 Sui 區塊鏈的 SUI 代幣也損失了近 14%,從 4.19 美元跌至 3.62 美元,市場擔心系統性風險及鏈上安全信心下降。
然而,在事件發生後的幾天內,兩個代幣顯示出回升的跡象。截至目前,SUI 的價格約為 3.64 美元,而 CETUS 的價格穩定在 0.13 美元左右,儘管在事發初期價格一度下跌至更低水平。雖然尚未完全回升至黑客攻擊前的水平,但這一反彈表明投資者情緒正在緩慢改善,部分得益於協議的迅速回應和資金的部分回收。
在黑客攻擊當天,Cetus 的交易量從 3.2 億美元激增至超過 29 億美元,這一波交易潮是由攻擊交易和恐慌性提款所驅動的。這一事件的影響範圍廣泛。在 Cetus 上上市的小型代幣,如 LBTC、AXOLcoin 和 SLOVE,其價格損失範圍從 50% 到接近 99% 不等。由於資金流動性撤出和池子不平衡,某些資產一度幾乎失去了所有價值。
此次漏洞還導致了 USDC 臨時脫鉤,暴露了 Cetus 智能合約邏輯中的漏洞,並導致 Sui 區塊鏈的 總鎖倉價值(TVL)下降超過 2 億美元。儘管 1.62 億美元的被盜資產已成功被 Sui 驗證者凍結,但在來自攻擊者相關的 Sui 錢包的交易被封鎖後,對驗證者權力和去中心化的擔憂開始出現。
同時,Cetus 團隊已經啟動了雙軌恢復計劃,向黑客提供 600 萬美元懸賞金,並啟動 社群投票以授權資金返還協議,旨在恢復用戶信任並保護協議的完整性。隨著恢復工作繼續進行,CETUS 和 SUI 不僅被視為投資資產,也成為了觀察新興 DeFi 生態系統在高風險攻擊下韌性的指標。
Cetus 攻擊爭議:去中心化 vs. 緊急干預
圍繞 Cetus 攻擊的最大爭議之一不僅是攻擊本身,而是對此事件的應對。具體來說,Sui 驗證者凍結了 1.62 億美元的被盜資金,引發了對去中心化實際運作方式的激烈辯論。
一方面,許多人讚揚了迅速的應對行動。通過協作,Cetus 團隊、Sui 基金會和驗證者能夠在幾小時內追蹤並鎖定大部分被盜資產。這有助於保護用戶並為協議提供了恢復的機會。支持者認為,這是去中心化在現實世界中發揮作用的範例,並且是由社群主導的防禦系統。
但並非所有人都同意。
Cetus 協議攻擊後的緊急干預利弊批評者指出,即使是與黑客相關的錢包地址被凍結,也引發了嚴重的集中化問題。如果驗證者可以單方面阻止交易或扣押資產,那麼用戶是否真的控制自己的資金?如果區塊鏈能在危機中覆蓋智能合約行為,那麼與傳統金融系統有何區別呢?
一些人將 Sui 比作“企業區塊鏈”,認為其驗證者結構使少數人掌握了過多的控制權。另一些人則認為,去中心化不意味著無所作為;而是意味著負責任的治理,特別是在用戶資金面臨風險時。
這一事件迫使加密社群面對一個艱難的問題:一個網絡能否既去中心化又在緊急情況下進行干預?還是任何形式的控制都會背離無許可、無法停止的代碼的初衷?
目前尚未有明確答案。但 Cetus 攻擊使這一討論無法忽視。
學到的教訓與未來的預防措施
Cetus 協議的黑客攻擊清楚地提醒我們 安全性必須是去中心化金融(DeFi)的首要優先事項。即使是設計良好的平台,如果有一個漏洞未被發現,也可能會遭受重大損失。在這起事件中,流動性數學的缺陷導致了 2.6 億美元的漏洞,這是 2025 年其中一起最大的黑客事件之一。那麼,DeFi 建設者和用戶未來如何能更好地保護自己呢?
對於 DeFi 開發者:如何建立更安全的協議
• 進行多次智能合約審計,與獨立且經驗豐富的公司合作。
• 對關鍵計算進行正式驗證,特別是在自動化做市商(AMM)和流動性邏輯中。
• 實施熔斷機制,在異常交易或交易量激增時暫停活動。
• 依賴經過測試的預言機,避免在關鍵功能中使用僅內部的定價機制。
對於 DeFi 用戶:如何保持安全
• 查看審計報告,並了解協議如何處理過去的問題。
• 避免過度集中風險,通過在多個平台間分散風險來減少暴露。
• 使用安全的錢包,並在可能的情況下啟用雙重身份驗證(2FA)。
• 保持信息更新,了解你所使用的協議,包括閱讀更新和社區反饋。
在 Web3 中,減少風險的最佳方法之一是保持信息更新並積極應對。無論你是開發者還是參與者,對安全性的意識對於負責任地導航 DeFi 生態系統至關重要。
結論
Cetus 協議的黑客攻擊導致超過 2.6 億美元的損失,暴露了該平台流動性邏輯中的關鍵漏洞。儘管大部分被盜資金通過協調努力迅速凍結,但這一事件對市場信心產生了重大影響,並引發了關於 DeFi 協議安全性的更廣泛擔憂。
隨著去中心化金融的發展變得越來越複雜,風險也在增長。這一事件強調了智能合約審計、治理透明度和應急反應策略持續改進的重要性。開發者和用戶都有責任——通過在建設中考慮安全性,並保持對協議如何運作及管理潛在威脅的了解。