Что произошло с Cetus Protocol: почему Sui лишилась 223 млн долларов из-за уязвимостей в смарт-контрактах?

Уязвимости смарт-контрактов: атака на $223 млн на протокол Cetus с использованием flash loan и повторного вызова функций

Взлом протокола Cetus на сумму $223 млн произошёл из-за сочетания уязвимости переполнения арифметики и атаки с повторным вызовом функций в механизмах расчёта ликвидности смарт-контракта. Уязвимость находилась в защите от переполнения протокола, а именно в функции checked_shlw, которая предназначалась для предотвращения переполнения целых чисел при битовых сдвигах. Уязвимость позволяла обойти проверки безопасности, защищающие расчёты пулов ликвидности.

Злоумышленники использовали эту уязвимость через сложный механизм flash loan, внося минимальные объёмы токенов — вплоть до одной единицы — и создавая огромные объёмы долей пулов ликвидности. Ошибка переполнения приводила к некорректной проверке входных параметров, усечению значений и искажённым расчётам изменения токенов. Благодаря многократным повторным вызовам функций злоумышленник систематически выводил реальные активы SUI и USDC из нескольких пулов ликвидности без предоставления соответствующего обеспечения.

Атака была реализована с исключительной скоростью — за менее чем 15 минут были полностью выведены средства на сумму около $223 млн. Злоумышленник успел вывести примерно $62 млн в USDC, обменяв их на ETH до того, как валидаторы Sui заморозили оставшиеся активы. Этот инцидент показал, что одна ошибка проверки переполнения в открытой библиотеке может привести к катастрофическим потерям, выявив фундаментальные слабости архитектуры безопасности смарт-контракта и критические пробелы в защите пулов ликвидности от сложных атак с применением flash loan.

Манипуляция оракулом и управление ценами: как злоумышленники использовали AMM-архитектуру Cetus в 12 пулах ликвидности

Взлом протокола Cetus был основан на эксплуатации уязвимостей механизма ценообразования на основе оракула в архитектуре AMM. Злоумышленники использовали поддельные токены для манипуляции внутренними ценовыми кривыми, на которые Cetus опирался при определении обменных курсов в пулах ликвидности. Вместо последовательной атаки на отдельные пулы злоумышленники провели скоординированную атаку на двенадцать пулов одновременно, используя механику автоматизированного маркет-мейкера для увеличения преимущества.

Манипулируя оракулом, злоумышленники искусственно завышали или занижали цены активов внутри расчётной системы протокола. Так как модель AMM Cetus полагалась на эти ценовые сигналы для исполнения сделок и поддержания баланса пулов, искажённые данные оракула создавали возможности для арбитража. Злоумышленники многократно использовали этот механизм, систематически выводя резервы из затронутых пулов, поскольку искажённые данные приводили к исполнению сделок AMM по искусственно выгодным для них курсам.

Двенадцать атакованных пулов ликвидности представляли собой основные торговые пары в блокчейне Sui. Манипулируя ценовыми кривыми в этой сети взаимосвязанных пулов, злоумышленники создавали каскадные эффекты, усиливавшие эффективность вывода средств. Такая системная эксплуатация выявила критические архитектурные уязвимости в интеграции оракульных данных с AMM-операциями Cetus и показала, что единая точка отказа в инфраструктуре ценообразования может поставить под угрозу всю экосистему ликвидности на новых блокчейнах первого уровня.

Риски централизации: экстренная заморозка активов Sui Foundation и парадокс децентрализации

Когда Sui Foundation скоординировала валидаторов для заморозки $162 млн похищенных активов после взлома Cetus Protocol 22 мая, это обнажило ключевое противоречие в модели управления сетью. Несмотря на заявления Sui о том, что ни Foundation, ни Mysten Labs не контролируют валидаторов и не могут диктовать их действия, экстренная заморозка активов противоречит этим заявлениям и ставит под сомнение реальные риски централизации блокчейна.

Механизм заморозки показывает скрытую структуру влияния, которая подрывает нарративы децентрализации. Для участия в сети валидаторы должны внести 30 млн SUI в качестве залога, что создаёт огромный финансовый стимул — по сути, рычаг в $114 млн — для Foundation влиять на их решения без прямых указаний. Когда Foundation предложила заблокировать кошелёк злоумышленника, валидаторы оказались под серьёзным давлением, что сделало координацию неизбежной даже без формального принуждения.

Этот случай выявил уязвимости DeFi не только с точки зрения безопасности, но и в управлении. Взлом Cetus Protocol продемонстрировал, что механизмы экстренного реагирования в сети Sui основаны на централизованной координации, а не на полностью децентрализованных протоколах. Замороженные активы, несмотря на цель защитить пользователей, одновременно показали, что заявления о децентрализации требуют переосмысления. Критики считают, что Foundation фактически контролирует сеть, сторонники отмечают, что участие валидаторов технически остаётся необязательным.

Парадокс становится очевидным: может ли блокчейн претендовать на децентрализацию, если реагирование на кризис требует координации ограниченного круга участников с совпадающими финансовыми интересами?

FAQ

Как возникла уязвимость Cetus Protocol? Почему она привела к потере $223 млн?

Cetus Protocol подвергся эксплойту смарт-контракта, в результате которого были опустошены пулы ликвидности и понесены убытки на $223 млн. Злоумышленники воспользовались неустранёнными уязвимостями контракта, что позволило им несанкционированно вывести средства из ключевых механизмов протокола.

Как уязвимость Cetus Protocol в блокчейне Sui повлияла на другие DeFi‑проекты и безопасность средств пользователей?

Взлом Cetus на $223 млн выявил критические уязвимости DeFi-экосистемы, что привело к проведению срочных проверок безопасности во многих проектах. Это повысило осторожность пользователей и ускорило внедрение углублённых аудитов и защитных мер для смарт-контрактов во всей отрасли.

Как инвесторы и пользователи могут выявлять и предотвращать риски уязвимости смарт-контрактов?

Проверяйте аудиты кода от авторитетных компаний, анализируйте прозрачность проекта и историю разработки, следите за обсуждениями сообщества о выявленных уязвимостях и используйте только проверенные протоколы с подтверждённой безопасностью перед размещением средств.

Какие меры и компенсационные планы реализовал Cetus Protocol после обнаружения уязвимости?

Cetus Protocol устранил уязвимость и реализовал комплексный план компенсаций с использованием доходов протокола и выпуска токенов для возмещения пострадавшим пользователям, чтобы восстановить доверие сообщества после инцидента.

Есть ли недостатки в механизме аудита безопасности блокчейна Sui? Как усилить безопасность смарт-контрактов в будущем?

Аудиты безопасности Sui требуют совершенствования с помощью многосторонней проверки и формальных методов верификации. В перспективе будут внедряться более строгие ревью кода, продвинутые тестовые фреймворки и постоянные аудиты сообществом для предотвращения уязвимостей.

Какие проблемы управления рисками есть у Cetus Protocol по сравнению с другими DeFi‑протоколами?

Cetus Protocol подвержен высокой волатильности рынка и рискам манипуляций ценами. Протокол сталкивается с регуляторной неопределённостью, техническими уязвимостями в смарт-контрактах и рисками неудачных обновлений, которые превышают стандартные меры защиты других DeFi‑протоколов.

FAQ

Что такое SUI coin и для чего он используется?

SUI — нативный токен блокчейна Sui. Он применяется для стейкинга в механизме консенсуса proof-of-stake, оплаты комиссий за транзакции (gas fees) и служит ликвидным активом, поддерживающим экономику Sui.

Где можно купить SUI?

SUI доступен на ведущих криптовалютных биржах по всему миру. Приобрести SUI можно на крупнейших платформах, поддерживающих эти торговые пары. Проверьте официальные сайты бирж для получения актуальной информации о доступности, торговых парах и ценах в реальном времени.

Каковы преимущества блокчейна SUI по сравнению с Ethereum и Solana?

SUI обеспечивает высокую скорость транзакций и масштабируемость благодаря уникальному языку Move и новой архитектуре. Это позволяет обрабатывать операции более эффективно и демонстрировать лучшие показатели производительности для масштабных приложений, чем у Ethereum и Solana.

Каков общий объём эмиссии SUI и сколько монет находится в обращении?

Общий объём эмиссии SUI составляет 10 млрд монет. В обращении находится примерно 3,74 млрд SUI, что составляет около 37% от общего предложения.

Какие риски связаны с покупкой и хранением SUI?

SUI отличается высоким инвестиционным риском и значительной волатильностью, зависящей от рыночных условий. Как альткоин, он подвержен сильным ценовым колебаниям. Инвесторам рекомендуется проявлять осторожность, избегать покупки на максимумах и использовать продуманную стратегию управления рисками.

Для чего применяется SUI и каковы основные сценарии его использования?

SUI используется для оплаты комиссий за транзакции, выполнения смарт-контрактов и стейкинга на платформе. Токен обеспечивает работу DeFi, NFT и децентрализованных приложений в экосистеме блокчейна SUI.

Каковы перспективы развития и прогнозы стоимости SUI coin?

SUI показывает высокий рыночный потенциал: прогнозируется достижение стоимости $5,81 на пике к 2025 году и дальнейший рост вплоть до 2040 года. Расширение экосистемы и рост объёмов транзакций подтверждают фундаментальную устойчивость и долгосрочные перспективы роста стоимости.