Які ключові вразливості смартконтрактів і мережеві ризики виникли в мережі Sui після атаки на Cetus DeFi із завданими збитками $223 мільйони?

Атака на Cetus на $223 мільйони: маніпуляції з оракулом і використання flash loan в DeFi-інфраструктурі Sui

22 травня 2025 року зловмисники здійснили складну атаку на Cetus Protocol, вивівши приблизно $223 мільйони менш ніж за 15 хвилин. Це була багаторівнева атака із поєднанням маніпуляцій оракулом і використання flash loan, що дозволило системно зламати найбільшу децентралізовану біржу мережі Sui. Зловмисники виявили уразливість у бібліотеці з відкритим кодом, вбудованій у смартконтракти пулів ліквідності Cetus. Це стало базою їхньої стратегії. Вони штучно змінювали цінові сигнали через маніпуляції оракулом, на яких базувались розрахунки вартості токенів у пулах, і створили вигідні для себе курси обміну. Одночасно використовували flash loan для отримання великого обсягу капіталу без застави, проводячи швидкі послідовні транзакції за маніпульованими цінами. Зловмисники додавали мінімальну ліквідність, щоб викривити стан пулу, а потім неодноразово виводили справжні активи — токени SUI та USDC — без відповідного внесення. Цей цикл повторювався протягом кількох хвилин, і з кожною ітерацією резерви DeFi-інфраструктури скорочувались. Завдяки поєднанню маніпуляцій цінами і механік flash loan зловмисники обійшли звичайні захисні механізми, які зазвичай протидіють атакам одного типу, і виявили критичні прогалини у перевірці транзакцій у смартконтрактній інфраструктурі DeFi-екосистеми Sui.

Уразливості смартконтрактів на Move: від переповнення чисел до ризиків реентрантності в екосистемі Sui

Мова Move створювалась із акцентом на безпеку, враховуючи проблеми попередніх платформ смартконтрактів. На відміну від інших середовищ, Move у Sui автоматично скасовує транзакції при переповненні або недоповненні цілих чисел у математичних операціях. Це ефективно блокує один із найпоширеніших векторів атак у децентралізованих фінансах. Такий захист гарантує, що арифметичні операції не завершаться некоректно і це не можна буде використати для атаки.

Однак розробники мають бути уважними щодо побітових операцій, які не проходять перевірку на переповнення так, як звичайна арифметика. Це відкриває окремий вектор уразливості в Sui, що потребує детального аудиту коду. Щодо реентрантності, архітектура Move значно зменшує ризики таких атак, які були фатальними для протоколів на Ethereum. Конструкція мови ускладнює виконання класичних реентрантних атак порівняно із контрактами на Solidity.

Дослідження свідчать, що п’ять із десяти основних уразливостей OWASP для смартконтрактів неможливо реалізувати на Move, а три послаблені частково. Такий підхід до безпеки показує, як базова архітектура Move блокує цілі класи загроз. Разом із паралельною обробкою транзакцій і гарантією фінальності в Sui, Move створює надійну основу для захищених децентралізованих застосунків, хоча розробникам і надалі потрібно впроваджувати коректні валідаційні перевірки бізнес-логіки.

Централізація проти децентралізації: як замороження активів Sui Foundation спричинило дискусію щодо контролю валідаторів та ончейн-управління

Замороження активів, які контролювали хакери після атаки на Cetus, ініційоване Sui Foundation, стало поштовхом для обговорення децентралізації блокчейну. Цей крок показав, що попри архітектуру Delegated Proof-of-Stake у Sui, Фундація має значний вплив на роботу мережі. Це підняло питання про розбіжність між теоретичною і реальною децентралізацією. Валідатори є базою консенсусу Sui, контролюючи обробку транзакцій і управління мережею. Однак випадок із замороженням активів показав потенційний конфлікт між незалежністю валідаторів і контролем з боку інституції. Хоча модель управління Sui розподіляє голоси згідно зі стейками валідаторів, здатність Фундації координувати замороження активів свідчить про можливість централізованого впливу на рішення ончейн-управління. Це викликало дискусії щодо того, чи дійсно контроль валідаторів означає децентралізоване прийняття рішень, чи це лише видимість. Після інциденту думки розділилися: одні вважали дії необхідними і проведеними через належні канали, інші — такими, що суперечать принципам децентралізації. Подія спонукала Sui до підвищення прозорості в управлінні й чіткого визначення меж повноважень Фундації, щоб посилити ончейн-управління і незалежність валідаторів та зменшити ризики централізації.

FAQ

Які механізми були використані під час атаки на Cetus DeFi на $223 мільйони у Sui і які уразливості смартконтрактів було використано?

Атака на Cetus DeFi використала арифметичні уразливості у смартконтрактах CLMM. Зловмисники використали помилку у функції checked_shlw у бібліотеці з відкритим кодом Cetus Protocol, що дозволило їм змінити логіку контракту і вивести близько $223 мільйони ліквідності з протоколу.

Як Sui blockchain відрізняється від Ethereum за безпекою смартконтрактів? Які переваги та недоліки?

Sui вирізняється ефективним консенсусом Proof-of-Stake і паралельною обробкою, що знижує ризики атак через gas-оптимізацію. Ethereum має розвинуті інструменти, масштабні аудити та перевірену історію безпеки. Sui поступається зрілістю екосистеми, але забезпечує кращу фінальність транзакцій і меншу площину атак завдяки об’єктно-орієнтованому дизайну.

Як користувачам DeFi оцінювати безпекові ризики проєктів екосистеми Sui? Які показники варто відслідковувати?

Користувачам слід звертати увагу на аудити смартконтрактів, рівень залучення спільноти і стабільність пулів ліквідності. Ці показники безпосередньо відображають надійність проєктів і потенційні уразливості екосистеми Sui.

Які основні уразливості смартконтрактів і мережеві ризики залишились у Sui після атаки на Cetus DeFi на $223 мільйони?

В екосистемі Sui залишаються ризики маніпуляцій оракулом, експлойтів реентрантності та централізованого управління. Атаки із застосуванням flash loan у поєднанні з маніпуляціями цінами через оракул становлять значну загрозу. Для захисту потрібна більша децентралізація валідаторів і підвищення стандартів аудиту смартконтрактів.

Чи можуть аудити смартконтрактів і формальна верифікація ефективно запобігати масштабним атакам на DeFi, подібним до інциденту з Cetus на $223 мільйони?

Аудити смартконтрактів і формальна верифікація суттєво знижують ризики атак у DeFi, проте не усувають усіх уразливостей. Глибока перевірка у поєднанні з динамічними захисними механізмами, такими як time lock і ліміти транзакцій, значно підвищує безпеку, хоча досвідчені атакувальники можуть знаходити нові вектори експлуатації.

Які заходи вжили Sui Foundation і спільнота розробників для посилення безпеки екосистеми?

Sui Foundation співпрацює з Blockaid з метою впровадження сучасних криптографічних протоколів, що підвищує захист екосистеми і зменшує ризики атак на мережу. Також спільнота підвищила стандарти аудиту смартконтрактів і безпеки для запобігання уразливостям.

FAQ

Що таке SUI coin і для чого він потрібен?

SUI coin — це нативний токен блокчейну Sui, який використовується для оплати комісій, стейкінгу та голосування в управлінні. Він забезпечує основні функції мережі й дає змогу брати участь в екосистемі.

Які переваги має SUI порівняно з іншими Layer 1 блокчейнами, такими як Solana і Aptos?

SUI пропонує високу пропускну здатність і значно нижчі комісії за транзакції. Його унікальний механізм консенсусу забезпечує виняткову швидкість та ефективність, що робить його оптимальним для масштабних і продуктивних застосунків.

Як купити і зберігати SUI coins?

Придбайте SUI через Ledger Live, обравши стороннього провайдера. Зберігайте токени SUI у апаратному гаманці Ledger для максимальної безпеки і контролю над активами.

Які основні DApp та проєкти існують в екосистемі Sui?

Основні DApp екосистеми Sui: Turbos Finance (DEX), Cetus (DEX), Suilend (кредитування), Wave (інфраструктура), FanTV (соціальні медіа) і DeepBook (CLOB-торговий рушій). Більшість проєктів — у сфері DeFi, екосистема перебуває на ранній стадії розвитку.

Який консенсусний механізм у SUI? Які швидкість і вартість транзакцій?

SUI використовує ефективний консенсусний механізм із надшвидкою обробкою та низькими витратами. Це зменшує затримки консенсусу, забезпечуючи високу пропускну здатність і низьке навантаження, що дає змогу проводити транзакції швидко й ефективно.

Яка загальна емісія SUI coin і як влаштована його токеноміка?

SUI має фіксовану емісію — 10 мільярдів токенів без інфляції. Приблизно 86% виділено для розвитку екосистеми: це стимулювання розробників, фінансування DApp і винагороди спільноті. Решта 14% розподіляється між командою, радниками та ранніми інвесторами з вестингом для довгострокової мотивації.

Які основні ризики та аспекти безпеки слід враховувати щодо SUI?

SUI забезпечує надійний захист блокчейну завдяки Proof of Stake. Основні ризики — уразливості централізованих бірж, ризики смартконтрактів і помилки користувачів. Для зниження ризику використовуйте децентралізовані гаманці, холодне зберігання і переконайтеся у безпеці dApp перед використанням.