Каковы ключевые уязвимости смарт-контрактов и сетевые риски в экосистеме Sui после атаки на Cetus DeFi на $223 млн?

Атака на Cetus на 223 млн долларов: манипуляция оракулом и эксплуатация flash loan в DeFi-инфраструктуре Sui

22 мая 2025 года злоумышленники провели сложную атаку на протокол Cetus и вывели около 223 млн долларов менее чем за 15 минут. Это была многоуровневая атака, в которой объединились манипуляция оракулом и flash loan для системного взлома крупнейшей децентрализованной биржи в сети Sui. Злоумышленники нашли уязвимость в библиотеке с открытым исходным кодом, которая встроена в смарт-контракты пулов ликвидности Cetus, и это стало основой их стратегии. С помощью манипуляции оракулом они искусственно изменили ценовые сигналы, на которые опираются эти пулы при расчёте стоимости токенов, что позволило создавать выгодные для себя курсы обмена. Параллельно они использовали технологию flash loan для привлечения крупного капитала без залога, совершая быстрые последовательные транзакции для эксплуатации изменённых цен. Злоумышленники добавляли практически нулевую ликвидность, чтобы исказить внутреннее состояние пула, затем многократно выводили реальные активы, включая SUI и USDC, без соответствующих депозитов. Этот цикл повторялся несколько раз за считанные минуты, каждый раз выводя всё больше резервов из DeFi-инфраструктуры. Сложность атаки — комбинация манипуляции ценой и flash loan — позволила злоумышленникам обойти обычные механизмы защиты от однонаправленных атак и выявила критические пробелы в системе проверки целостности транзакций в смарт-контрактах экосистемы DeFi Sui.

Уязвимости смарт-контрактов на Move: от переполнения целых чисел до рисков реентерабельности в экосистеме Sui

Язык Move был разработан с упором на безопасность и нацелен на устранение уязвимостей, свойственных ранним платформам смарт-контрактов. В отличие от традиционных сред, Move на Sui автоматически отменяет транзакции при переполнении или недополнении целых чисел при арифметических операциях, эффективно предотвращая один из наиболее распространённых векторов атак в DeFi. Этот механизм гарантирует, что арифметические операции не могут незаметно завершиться ошибкой или привести к некорректным результатам, которыми могут воспользоваться злоумышленники.

Однако разработчики должны быть особенно внимательны к побитовым операциям, которые не проходят аналогичных проверок переполнения, как стандартная арифметика. Такой пробел формирует отдельный вектор уязвимости в экосистеме Sui и требует тщательного аудита кода. По поводу рисков реентерабельности архитектура Move значительно снижает вероятность таких атак, которые ранее приводили к крупным потерям в протоколах на базе Ethereum. Особенности языка делают классические атаки реентерабельности намного сложнее по сравнению с контрактами на Solidity.

Исследования показывают, что пять из десяти критических уязвимостей по рейтингу OWASP невозможно реализовать на Move, а три уязвимости частично устраняются. Этот многоуровневый подход к безопасности доказывает, что базовый дизайн Move предотвращает целые классы угроз. В сочетании с параллельным исполнением и гарантированной финальностью транзакций в Sui, Move является надёжной основой для более безопасных децентрализованных приложений. При этом разработчикам по-прежнему необходимо применять корректные шаблоны валидации бизнес-логики для предотвращения прикладных уязвимостей.

Централизация против децентрализации: как блокировка активов Sui Foundation вызвала дискуссию о контроле валидаторов и управлении на блокчейне

Когда Sui Foundation организовала заморозку активов, контролируемых хакерами после атаки на Cetus, это спровоцировало базовую дискуссию о децентрализации блокчейна. Данное действие показало, что несмотря на архитектуру Delegated Proof-of-Stake, Foundation сохраняет значительное влияние на работу сети, что вызвало вопросы о различии между теоретической и реальной децентрализацией. Валидаторы, которые формируют основу механизма консенсуса Sui, обладают значительными полномочиями в обработке транзакций и управлении сетью. Однако случай с блокировкой активов выявил возможные противоречия между самостоятельностью валидаторов и институциональным контролем. Хотя модель управления Sui формально распределяет права голоса между валидаторами в зависимости от объёма стейка, возможность Foundation координировать блокировку показала, что решения в сети могут приниматься под централизованным управлением. Это вызвало пристальное внимание сообщества к вопросу: действительно ли контроль валидаторов означает децентрализованное принятие решений или лишь скрывает власть Foundation. Оценка последствий действия показала смешанную реакцию: одни считали это необходимым и реализованным через правильные каналы, другие полагали, что это подрывает базовые принципы децентрализации. Инцидент подтолкнул Sui к укреплению транспарентности процессов управления и уточнению границ полномочий Foundation, в результате чего механизмы управления на блокчейне и независимость валидаторов стали сильнее, чтобы снизить риски централизации сети.

FAQ

Каковы конкретные механизмы атаки на Cetus DeFi на сумму 223 млн долларов в сети Sui и какие уязвимости смарт-контрактов были использованы?

В атаке на Cetus DeFi были использованы арифметические уязвимости в смарт-контрактах CLMM. Злоумышленники использовали ошибку в функции checked_shlw в библиотеке с открытым исходным кодом протокола Cetus, что позволило им манипулировать логикой контрактов и вывести около 223 млн долларов ликвидности из протокола.

Каковы преимущества и недостатки блокчейна Sui по сравнению с Ethereum в области безопасности смарт-контрактов?

Sui выделяется эффективным консенсусом Proof-of-Stake и параллельной обработкой, что снижает уязвимость к атакам, связанным с оптимизацией газа. При этом Ethereum предлагает зрелые инструменты, большое количество аудитов и проверенную историю безопасности. Sui уступает по зрелости экосистемы, но обеспечивает лучшую финальность транзакций и снижает поверхность атаки благодаря объектно-ориентированной архитектуре.

Как пользователям DeFi оценивать риски безопасности проектов экосистемы Sui? Какие метрики следует отслеживать?

Пользователям следует анализировать аудиты смарт-контрактов, уровень активности сообщества и стабильность пулов ликвидности. Эти показатели напрямую отражают надёжность проекта и потенциальные уязвимости в экосистеме Sui.

Каковы ключевые уязвимости смарт-контрактов и сетевые риски Sui после атаки на Cetus DeFi на 223 млн долларов?

Экосистема Sui подвержена уязвимостям манипуляции оракулом, реентерабельности и рискам централизованного управления. Серьёзную угрозу представляют атаки flash loan в сочетании с манипуляцией ценовыми оракулами. Для снижения рисков требуется повысить децентрализацию валидаторов и стандарты аудита смарт-контрактов.

Могут ли аудиты смарт-контрактов и формальная верификация эффективно предотвратить масштабные атаки на DeFi, подобные инциденту с Cetus на 223 млн долларов?

Аудиты смарт-контрактов и формальная верификация существенно снижают риски атак на DeFi, но не способны полностью устранить все уязвимости. Жёсткая верификация в сочетании с динамическими механизмами защиты, такими как time lock и лимиты транзакций, значительно повышает уровень безопасности, однако опытные злоумышленники всё равно могут находить новые векторы атак.

Какие меры предприняли Sui Foundation и сообщество разработчиков для повышения безопасности экосистемы?

Sui Foundation совместно с Blockaid внедрила современные криптографические протоколы, что повысило безопасность экосистемы и снизило риски атак на сеть. Сообщество также усилило аудит смарт-контрактов и стандарты безопасности для предотвращения уязвимостей.

FAQ

Что такое токен SUI и для чего он используется?

SUI — нативный токен блокчейна Sui, используемый для оплаты транзакционных комиссий, стейкинга и голосования в управлении. Он обеспечивает ключевые функции сети и позволяет участвовать в экосистеме.

Какие преимущества имеет SUI по сравнению с другими блокчейнами первого уровня, такими как Solana и Aptos?

SUI обеспечивает высокую пропускную способность и очень низкие комиссии за транзакции. Уникальный механизм консенсуса обеспечивает высокую скорость и эффективность, что делает его оптимальным для высоконагруженных приложений и массового внедрения.

Как купить и хранить токены SUI?

Приобретайте SUI через Ledger Live, выбрав стороннего поставщика услуг. Для максимальной безопасности и контроля храните SUI на аппаратном кошельке Ledger.

Какие основные DApp и проекты существуют в экосистеме Sui?

В экосистеме Sui основными DApp являются Turbos Finance (DEX), Cetus (DEX), Suilend (кредитование), Wave (инфраструктура), FanTV (социальные медиа), DeepBook (CLOB-движок). Большинство проектов сосредоточены на DeFi, а экосистема находится на ранней стадии развития.

Какой механизм консенсуса у SUI? Каковы скорость и издержки транзакций?

SUI использует эффективный механизм консенсуса с очень высокой скоростью транзакций и низкими издержками. Система минимизирует задержки консенсуса при высокой пропускной способности и низкой вычислительной нагрузке, что обеспечивает быстрое проведение транзакций внутри протокола.

Каков общий объём выпуска токена SUI и как построена его токеномика?

Общий объём выпуска SUI составляет 10 млрд токенов, инфляционный механизм отсутствует. Около 86% направлено на развитие экосистемы: стимулирование разработчиков, финансирование DApp и поощрение сообщества. Оставшиеся 14% распределены между командой, советниками и ранними инвесторами с графиком вестинга для долгосрочной мотивации.

Какие риски и аспекты безопасности нужно учитывать в отношении SUI?

SUI обеспечивает высокую степень безопасности благодаря консенсусу Proof of Stake. Основные риски связаны с уязвимостями централизованных бирж, смарт-контрактов и ошибками пользователей. Для эффективного снижения рисков используйте децентрализованные кошельки, холодное хранение и проверяйте безопасность dApp.