Sui 區塊鏈生態系爆發重大資安漏洞,攻擊者自網路最大去中心化交易所 Cetus 的流動性池中盜走約 2 億美元資產。
此次攻擊 造成 Sui 網路上數十種代幣出現大規模損失,引發對新興 Layer 1 平台預言機價格機制安全性的高度關切。
攻擊引發多種 Sui 代幣出現劇烈拋售,包括 Lofi (LOFI)、Sudeng (HIPPO) 及 Squirtle (SQUIRT) 等迷因幣,價值幾乎歸零,1 小時內跌幅高達 76% 至 97%。Cetus 代幣單日下跌 53%。根據 DEX Screener 內鏈分析,事件發生後 24 小時內有 46 種 Sui 代幣出現雙位數跌幅。
儘管多數代幣暴跌、基礎設施顯示嚴重脆弱,但 SUI 原生代幣展現韌性,在同期上漲 2.2%,可能受逢低買盤或大盤支撐所推動。
區塊鏈安全公司 Cyvers 指出,駭客採用複雜預言機操縱手法,利用 Cetus 智能合約漏洞,鑄造偽代幣,錯誤反映流動性池存底、扭曲價格資訊。
Cyvers 執行長 Deddy Lavid 表示:「這次攻擊利用偽造代幣,在 AMM 池中創造誤導性價格數據,使攻擊者得以從多個流動性池提取 SUI、USDC 等真實資產。」
此案凸顯去中心化金融(DeFi)長期風險 —— 對鏈上預言機作為價格依據的依賴。駭客可直接操控內部價格曲線,無需依賴如 Chainlink 般的傳統價格預言機,顯示設計層面的重大漏洞。
跨鏈轉移:贓款清洗
攻擊後,駭客開始轉移盜得資產。區塊鏈數據顯示,大約 6,150 萬美元 USDC 被迅速跨鏈橋接至以太坊,另有 1 億 6,400 萬美元仍存於 Sui 錢包。截至截稿尚無任何資產被追回,鏈上社群持續追蹤資金流向。
盜資洗成 USDC 說明穩定幣在非法資金流動中的關鍵作用,也再次引起社會對 Circle、Tether 等穩定幣發行商對凍結贓款反應遲緩的批評。
穩定幣發行商遭質疑
包括 ZachXBT 與 Cyvers 在內的產業監督者批評 USDC 發行商 Circle 動作遲緩。二月時 Circle 冻結 Bybit 漏洞資金耗時逾五小時,專家認為為駭客提供了充足逃脫時機。Tether 也因類似問題遭外界詬病。
Lavid 表示:「我們針對多起駭客事件發出即時警示,包含本事件,但發行商往往延遲處理,留給駭客可乘之機,使事後措施形同虛設。」
檢討聲浪促使業界開始討論去中心化穩定幣方案,以及自動化資金凍結機制,以減少緊急情況下的人為延遲。
協議反應與調查
發現攻擊後,Cetus 迅速暫停智能合約,並透過社群媒體公開承認事故,啟動內部取證調查。
另有 Cetus Discord 群內部訊息外流,指此次漏洞源自預言機邏輯程式錯誤。不過,社群觀察者抱持懷疑,認為 AMM 和流動性池設計漏洞時常被誤認為預言機問題。
一名匿名 DeFi 開發者表示:「這其實不算是傳統預言機漏洞,更像是某些 DEX 在低流動池內計算內部價格的系統性缺陷。」
對 Sui 生態的衝擊
Sui 由前 Meta 工程師主導開發,自定位為高效能以太坊替代方案。憑藉 Move 語言與平行處理交易吸引不少開發者。
此次漏洞雖未觸及 Sui 協議本身,卻凸顯 DeFi 核心應用如 DEX 等關鍵設施若有漏洞,將對新興公鏈產生系統性風險。
代幣價格劇烈下跌亦顯示流動性稀缺與高散戶參與,這些特徵反映生態尚不成熟。未來重建信心與流動性,將取決於 Cetus 與其他生態系參與者回應速度。
社群與產業回應
幣安前 CEO 趙長鵬(CZ)在社群媒體承認本次攻擊,稱其團隊正提供協助,雖未透露細節,暗示幣安可能協助監控或資產追回。
產業普遍認為,DeFi 盲目擴張而忽略資安問題風險極高。分析指出,許多協議為攬用戶流動性,頻繁上線未經或低度審計的合約。
一位產業高層評論:「這不只發生在 Sui、Cetus,每波公鏈 DeFi 都重演同樣劇本——創新總是跑得比資安快,遭殃的還是用戶。」
監管與長遠影響
此次攻擊勢必讓跨鏈橋、DeFi 協議與穩定幣業者再遭監管機構關注。隨各國制定加密監管規範,高調資安事件為提升監管力度提供了依據。
事件也再度凸顯 DeFi 中保險與使用者保障機制的缺位。用戶受害而無明確救濟途徑,未來可能促使協議推動鏈上保險、分散式復原基金。
有分析師認為,類似事故恐促使產業加快發展 appchain 與垂直整合型 DeFi 生態,讓協議安全與預言機設施更易把控。
DeFi 熟悉的攻擊模式
預言機操縱依舊是 DeFi 常見的攻擊向量。類似手法曾於 Ethereum、BNB Chain、Avalanche 與 Solana 等協議造成重大損失。具體方式不同,本質皆為操控價格機制榨取價值。
本次攻擊再次提醒必須建立更穩固的預言機機制,包括融合鏈上與鏈下數據的混合方案、設置速率限制防操縱,以及採用價格異常自動暫停(circuit breaker)等功能。
最後思考
未來幾周對 Sui 至關重要,Cetus 與多個重要生態參與者的回應,將攸關開發者及用戶信心重建與否。若流動性無法迅速回升,或生態大項目暫停開發,Sui 勢必於公鏈競爭中失去動能。
對 DeFi 產業來說,這次事件再度提醒大家,無需許可的開放系統既需創新、也需紀律,尤其在智能合約設計、預言機防禦及應急協調更須嚴謹規劃。
Sui 的這起攻擊恐難成 2025 年最後一起預言機相關駭客。如果產業真心想要安全擴展,絕不能再將資安當事後補救,而必須從設計源頭將安全視為核心原則。