Sui公链生态面临挑战：Cetus遭黑客攻击引发深层思考

前言

近期发生的事件引发了对行业发展方向的反思。一方面是资本的胜利，另一方面却可能是用户权益的倒退。比特币和Sui的发展路径形成了鲜明对比，每当出现动摇去中心化的举动时，人们对比特币的信仰就会愈发强烈。

世界不仅需要更优秀的全球金融基础设施，更需要为追求自由的群体保留空间。回顾历史，联盟链曾一度风光无限，正是因为迎合了当时的监管需求。如今联盟链的式微也说明，单纯迎合监管而忽视用户实际需求的做法难以长久。

1. 事件始末

2025年5月22日，Sui公链生态中最大的去中心化交易所Cetus遭遇黑客入侵，导致流动性急剧下降，多个交易对价格崩溃，损失超过2.2亿美元。事件发生后，相关方采取了一系列应对措施：

• 5月22日上午：黑客攻击Cetus并套现2.3亿美元，Cetus紧急暂停合约并发布公告
• 5月22日下午：黑客跨链转出约6000万美元，剩余1.62亿美元仍在Sui链上
• 5月22日晚：某平台验证节点迅速将黑客地址列入"拒绝服务黑名单"，冻结资金
• 5月23日：Cetus开始修复漏洞并更新合约
• 5月24日：某平台公开源代码，解释将通过别名机制和白名单进行资金回收
• 5月26日：某平台启动链上治理投票，就是否执行协议升级、将黑客资产转至托管地址征求意见
• 5月29日：投票结果公布，超过2/3验证节点权重支持该提案
• 5月30日-6月初：协议升级生效，指定交易哈希被执行，黑客资产被转移

2. 攻击原理

攻击者首先利用闪电贷借出大量haSUI，导致交易池价格暴跌99.90%。随后，攻击者在Cetus上创建了一个极窄区间的流动性头寸，放大了后续计算误差对所需代币数量的影响。

攻击核心在于Cetus用于计算所需代币数量的get_delta_a函数存在整数溢出漏洞。攻击者声称要添加巨额流动性，但实际只投入1个代币。由于checked_shlw的溢出检测条件错误，合约在左移计算时发生高位截断，导致系统严重低估了所需的haSUI数量，使攻击者以极低成本获取了大量流动性。

技术层面上，此漏洞源于Cetus在Move智能合约中使用了错误的掩码和判断条件，导致任何小于特定值的数都能绕过检测。左移64位后高位数据被截断，系统只收取极少代币就认为获得了巨额流动性。

3. 某平台的资金冻结机制

某平台内置了特殊的拒绝列表机制，实现了对黑客资金的冻结。此外，该平台的代币标准还包含"受监管代币"模式，具有内置冻结功能。

本次应急冻结利用了这一特性：验证者节点在本地配置文件中快速添加了被盗资金相关地址。理论上每个节点运营者都可以自行修改TransactionDenyConfig更新黑名单，但为确保网络一致性，平台基金会作为最初的配置发布方进行了集中协调。

为了从冻结资金中解救受害者，该平台团队推出了白名单机制补丁。这允许将特定交易预先加入"免检名单"，即便该资金地址在黑名单上，也能强制执行。新特性transaction_allow_list_skip_all_checks允许特定交易跳过所有安全检查，包括签名、权限、黑名单等。

需要注意的是，白名单补丁并不能直接转移黑客资产；它只是赋予某些交易绕开冻结的能力，真正的资产转移仍需合法签名或额外系统权限模块来完成。

4. 某平台的"转账式回收"实现原理

该平台不仅冻结了黑客资产，还计划通过链上升级"转移回收"被盗资金。5月27日，Cetus提出社区投票方案，要求对协议进行升级，将被冻结的资金发送到多重签名托管钱包中。平台基金会随即发起链上治理投票。

5月29日，公布投票结果，约90.9%权重的验证者支持该方案。官方宣布，一旦提案通过，"所有在两个黑客账户中被冻结的资金将无需黑客签名而被一并收回到一个多签钱包"。

从官方GitHub PR可知，协议引入了地址别名机制。升级内容包括：在ProtocolConfig中预先指定别名规则，使得某些允许的交易可以将合法签名视作来自黑客账户发送。

具体来说，将要执行的救援交易哈希列表与目标地址（即黑客地址）绑定，任何签署并发布这些固定交易摘要的执行者都被视为有效的黑客地址拥有者发起了交易。对这些特定交易，验证者节点系统会绕过拒绝列表检查。

5. 观点

1.6亿美元，挑战行业底层信仰

Cetus事件虽可能很快平息，但其采用的处理模式将长期影响行业。它颠覆了区块链不可篡改的传统共识，打破了"合约即法律，代码即裁判"的理念。这次事件中，代码失效，治理干预，权力凌驾，形成了"投票行为裁决代码结果"的模式。

静默的"共识篡改"

与以太坊DAO事件和比特币价值溢出漏洞相比，某平台没有选择分裂链条，而是通过协议升级加配置别名的方式精准针对本次事件。这种做法保持了链的连续性和大部分共识规则不变，但同时也表明底层协议可以被用来实施针对性的"救援行动"。

问题在于，历史上的"分叉式回滚"允许用户选择信仰，而某平台的"协议式修正"是由链替用户做了决定。

挑战"Not Your Key, Not Your Coin"理念

这意味着"Not your keys, not your coins"的理念在某平台上被瓦解：即便用户私钥完整，网络仍可通过集体协议变更来阻止资产流动并重定向资产。如果这成为未来区块链应对大型安全事件的先例，甚至被认为是可以再次遵守的惯例，将引发深远影响。

潜在风险

虽然此次行动针对的是黑客，但这种做法可能为未来滥用权力开创先例。未来可能出现基于不同理由、在道德模糊地带进行的操作。这种做法引发了一系列问题：谁有权决定资金流向？基于什么标准？如何防止权力滥用？

监管与创新的平衡

行业正面临合规压力，但过度迎合监管可能压缩区块链的创新空间。区块链的价值不在于能否冻结资金，而在于即便有能力这样做，也选择遵守既定规则。一条链的未来，不仅由技术架构决定，更取决于它选择守护的那套信仰。