С точки зрения события Cetus, борьба за базовые верования в индустрии Блокчейн

Обзор событий

22 мая 2025 года крупнейший DEX в экосистеме Sui, Cetus, стал жертвой хакерской атаки, что привело к обрушению цен на несколько торговых пар и потере более 220 миллионов долларов. После инцидента стороны предприняли ряд мер для реагирования:

• 22 мая: Cetus приостановил контракт, хакер вывел около 60 миллионов долларов через кросс-чейн, оставшиеся 162 миллиона долларов все еще находятся в цепочке Sui. Узлы проверки быстро добавили адрес хакера в "черный список для отказа в обслуживании", заморозив средства.
• 23-24 мая: Cetus начинает исправление уязвимостей и обновление контракта. Открытый PR Sui, объясняющий, как будет осуществляться возврат средств через механизм псевдонимов и белый список.
• 26-29 мая: Sui запускает голосование по управлению на блокчейне, более 2/3 веса верификационных узлов поддерживают выполнение обновления протокола, переводя активы хакеров на адрес хранения.
• 30 мая - начало июня: вступление в силу обновления протокола, выполнение заданного хэш-транзакции, активы хакера были "законно переведены".

Анализ принципа атаки

Атакующий использует Flash Loan для заимствования большого количества haSUI, что приводит к резкому падению цен в торговом пуле. Затем создается ликвидностная позиция в очень узком ценовом диапазоне, что усиливает влияние вычислительных ошибок.

Атака заключается в том, что в функции get_delta_a Cetus существует уязвимость переполнения целого числа. Нападающий заявляет о добавлении огромной ликвидности, но на самом деле вносит только 1 токен. Из-за ошибки в условии проверки переполнения checked_shlw система серьезно недооценивает необходимое количество haSUI, позволяя атакующему получить огромную ликвидность с минимальными затратами.

Меры, принятые Sui

Sui принял меры в два этапа: "заморозка" и "возврат".

1. Этап заморозки: использование механизма Deny List и консенсуса узлов для завершения заморозки средств.

2. Этап возврата: обход черного списка через обновление протокола на Блокчейне, голосование сообщества и выполнение определенных сделок.

Sui внедрила механизм адресных псевдонимов, который позволяет определенным транзакциям обходить проверки безопасности, осуществляя перевод средств без подписи хакера. Этот подход подрывает традиционный консенсус о неизменности Блокчейн.

Влияние на отрасль и размышления

1. Вызов основным убеждениям

Событие Cetus разрушило традиционное согласие блокчейна о "неизменности". Подход Sui отличается от прежних методов жесткого форка, он реализует целенаправленное "спасение" непосредственно через обновление протокола, что означает, что концепция "Не ваши ключи, не ваши монеты" была разрушена на цепи Sui.

2. Решение о правах на управление цепочкой и справедливости

Действия Sui вызвали споры о праве на принятие решений в блокчейне. В будущем может ли появиться "легитимное голосование для отмывания" на основе веса токенов? Приведет ли эта модель к появлению общества "конечных производителей"?

3. Баланс между регулированием и децентрализацией

Отрасль Блокчейн сталкивается с вызовом, как достичь баланса между удовлетворением требований регулирования и сохранением децентрализованной сущности. Чрезмерная ориентация на регулирование может привести к тому, что Блокчейн станет "еще одной, менее удобной финансовой системой".

4. Направление развития отрасли

Ценность Блокчейн заключается не в том, может ли он замораживать активы, а в том, что даже если он способен это сделать, он выбирает этого не делать. Будущее любого Блокчейн проекта будет определяться теми верованиями, которые он решит защищать.

В стремлении к эффективности и безопасности блокчейн-отрасль должна осторожно учитывать долгосрочные последствия каждого нарушения границ. Только придерживаясь основных ценностей, блокчейн сможет действительно реализовать свой революционный потенциал, а не стать копией традиционной финансовой системы.