Sui 區塊鏈生態系統發生嚴重安全漏洞,攻擊者從該網絡最大去中心化交易所 Cetus 的流動性池中盜取約 2 億美元資產。
這次攻擊 導致 Sui 網絡上數十種代幣普遍損失,大幅增加了外界對新興 Layer 1 平台、基於預言機價格機制的 DeFi 安全憂慮。
此次攻擊引發多款 Sui 生態代幣大跌。包括 Lofi (LOFI)、Sudeng (HIPPO)、Squirtle (SQUIRT) 這類 meme 幣短短一小時內幾乎歸零,跌幅高達 76% 至 97%。Cetus 自家代幣亦下跌 53%。根據 DEX Screener 的鏈上數據,事件發生後 24 小時內,共有 46 隻 Sui 代幣錄得雙位數跌幅。
儘管多數代幣暴跌而基礎設施顯示出明顯弱點,SUI 原生代幣卻逆勢上漲 2.2%,可能受惠於抄底買盤或整體市況支撐。
區塊鏈安全公司 Cyvers 指出,攻擊者利用複雜的預言機操控手法,藉 Cetus 智能合約漏洞,鑄造虛假代幣並誤導流動性池的資金儲備及價格反饋。
Cyvers 行政總裁 Deddy Lavid 表示:「該漏洞利用假代幣,在 DEX 自動化做市商(AMM)池內創造失實價格數據,讓攻擊者多次從多個流動性池提取 SUI、USDC 真資產。」
事件突顯 DeFi 普遍風險:依賴鏈上預言機提供報價。今次攻擊者能繞過像 Chainlink 這類傳統數據預言機,只靠內部價格曲線操縱,反映底層架構潛在弱點。
跨鏈轉移:清洗所得
攻擊後,攻擊者開始轉移被盜資金。鏈上數據顯示,約 6,150 萬美元 USDC 極速橋接到以太坊,尚有 1.64 億美元仍由 Sui 錢包控制。截至發稿前,未有資產被追回,鏈上追查者仍在密切監控這些資金流動。
事件中,選擇將被盜資產兌換為 USDC,再次顯示穩定幣對於資金清洗的重要性,同時亦引發外界對 Circle、Tether 等發行方在凍結非法資產時反應遲緩的批評。
穩定幣發行商被詬病
監管觀察者如 ZachXBT 及 Cyvers 均質疑 USDC 發行商 Circle 的回應速度。2 月時,Circle 曾花逾 5 小時處理與 Bybit 攻擊相關資金的凍結,專家認為這讓黑客有時間逃脫。Tether 亦因延遲凍結涉案帳戶而受抨擊。
Lavid 表示:「我們針對大量駭客攻擊都有即時通報,包括今次,但發行方經常回應過慢,變相讓 post-mortem 反應失效。」
越來越多批評促使社群討論去中心化穩定幣及自動化凍結機制,有望減少緊急時人為延遲。
協議反應與調查
Cetus 發現攻擊迅速暫停智能合約,並在社交媒體公開承認「事件」,又表示內部團隊正進行深度鑑證。
Cetus Discord 滲漏消息稱漏洞根源或為預言機邏輯錯誤,但社交平台有聲音質疑,認為 AMM 場外邏輯及池子架構缺陷常被誤當成預言機問題。
一名不願具名 DeFi 開發者表示:「傳統而言這並不算預言機漏洞,本質是有些 DEX 處理流動性薄的代幣內部報價時存在系統性風險。」
Sui 生態系統的影響
Sui 作為由前 Meta 工程師開發的 Layer 1 區塊鏈,主打高效能、Move 語言及並行交易模型,吸引大批開發者。
然而這次事故令人質疑其 DeFi 堆疊的成熟度。雖然 Sui 基礎協議無受牽連,但事件突顯如 DEX 這類重要應用漏洞,足以為年輕鏈帶來系統性風險。
代幣暴跌亦反映流動性有限及散戶比例高,這是不成熟生態的典型特徵。未來能否復原,有賴 Cetus 及其他參與者能否快速重建信心及增強流動性。
社群及業界反應
幣安前行政總裁趙長鵬(CZ)於社交媒體回應事件,稱團隊「正在協助 Sui」。雖細節未明,但顯示幣安或正參與監控或協助復原工作。
更廣泛的行業迴響,則聚焦加速成長但缺乏相應安全投入的 DeFi 協議風險。分析人士認為,為趕吸納流動性與用戶,項目常未經完整審計即推上主網。
有業界高管稱:「這不只是 Sui 或 Cetus 的問題。每一波 Layer 1 及 DeFi 熱潮的宿命,永遠都是創新超越安全,最終由用戶埋單。」
監管與長遠影響
今次事件極可能令跨鏈橋、DeFi 協議以及穩定幣運作再度受到監管關注。全球多國仍在擬定加密監管政策,這類高調事件為收緊監管鋪路。
事件同時引發 DeFi 項目責任、補償與鏈上保險的討論。受害用戶未有明確追討途徑,未來協議或需考慮納入鏈上保險或設立去中心化救濟基金。
有分析認為,這類風波將加速 appchain 和更縱向整合 DeFi 架構的興起,讓安全與預言機基建得以更好受控。
DeFi 的老問題
預言機操控是 DeFi 最常見攻擊手法之一。過去於 Ethereum、BNB Chain、Avalanche、Solana 等協議皆曾屢現同類事件。方法雖各有不同,原理始終一致:篡改價格機制以取利。
事件突顯亟需更完善的預言機設計,包括結合鏈上、鏈下資訊的混合型方案,限制操控速度的機制,以及能於發現價格異常時自動暫停操作的保險絲系統。
最後思考
對 Sui 而言,未來數周尤為關鍵。Cetus 及主要生態參與者能否回復信心,將決定 Sui 能否重拾開發者與用戶支持。若流動性持續低迷、大型項目暫停開發,該鏈易於被其他 Layer 1 競爭者超越。
同時,今次 DeFi 社群再次得到教訓:去中心化系統不只要創新,更要講求紀律,尤其在智能合約設計、預言機安全及事件回應層面。
Sui 事件未必會是 2025 年最後一宗預言機相關攻擊,但若業界真心追求可持續擴展,安全必須成為設計核心,而非事後補救。