Square
Accueil
Plus récents
Populaire
Perspectives
En direct
Tout
Analyse du marché
Sujets d'actualité
Blockchain
Autres
Discussion
Calendrier Crypto
Actualités
Gate Blog
Plus
Le guide pour les débutants
Accueil
Plus récents
Populaire
Perspectives
Publication

Résilience de l'écosystème SUI : Analyse des mécanismes de sécurité et du potentiel de croissance à long terme après l'événement Cetus

BridgeNomadvip

Foi inébranlable après une crise de sécurité : pourquoi SUI continue-t-il de posséder un potentiel de hausse à long terme ?

TL;DR

  1. La vulnérabilité de Cetus provient de l'implémentation du contrat et non de SUI ou du langage Move lui-même :

Cette attaque repose essentiellement sur l'absence de vérification des limites des fonctions arithmétiques dans le protocole Cetus ------ une vulnérabilité logique causée par un masque trop large et un débordement de décalage, sans lien avec le modèle de sécurité des ressources de la chaîne SUI ou du langage Move. La vulnérabilité peut être corrigée par "une vérification des limites en une ligne" et n'affecte pas la sécurité fondamentale de l'écosystème.

  1. La "centralisation raisonnable" dans le mécanisme SUI révèle sa valeur en période de crise :

Bien que SUI présente une légère tendance à la centralisation avec des fonctionnalités telles que le tour des validateurs DPoS et le gel sur liste noire, cela a justement été utile lors de la réponse à l'événement CETUS : les validateurs ont rapidement synchronisé les adresses malveillantes sur la Deny List, refusant de regrouper les transactions connexes, ce qui a permis le gel instantané de plus de 160 millions de dollars de fonds. C'est essentiellement une forme de "keynésianisme en chaîne" qui a eu un effet positif sur le système économique grâce à une régulation macroéconomique efficace.

  1. Réflexion et suggestions sur la sécurité technique :

Mathématiques et vérification des limites : introduction d'assertions de bornes supérieures et inférieures pour toutes les opérations arithmétiques clés (comme le décalage, la multiplication et la division), ainsi que le fuzzing des valeurs extrêmes et la vérification formelle. De plus, il est nécessaire d'améliorer l'audit et la surveillance : en plus de l'audit de code général, constituer une équipe d'audit mathématique spécialisée et mettre en place une détection en temps réel des comportements de transaction sur la chaîne, afin de détecter rapidement les anomalies liées aux divisions ou aux emprunts flash de grande ampleur.

  1. Résumé et suggestions sur le mécanisme de garantie des fonds :

Lors de l'événement Cetus, SUI a collaboré efficacement avec les équipes du projet, réussissant à geler plus de 160 millions de dollars de fonds et à promouvoir un plan d'indemnisation à 100 %, démontrant ainsi une forte capacité d'adaptation sur chaîne et un sens aigu des responsabilités écologiques. La fondation SUI a également ajouté 10 millions de dollars de fonds d'audit pour renforcer la ligne de défense en matière de sécurité. À l'avenir, il sera possible de promouvoir davantage de systèmes de suivi sur chaîne, des outils de sécurité co-construits par la communauté, des assurances décentralisées et d'autres mécanismes pour améliorer le système de protection des fonds.

  1. Expansion multiple de l'écosystème SUI

SUI a rapidement réalisé, en moins de deux ans, une transition de "nouvelle chaîne" à "écosystème fort", construisant une carte écologique diversifiée couvrant plusieurs pistes telles que les stablecoins, DEX, infrastructures, DePIN, et jeux. La taille totale des stablecoins a franchi le cap de 1 milliard de dollars, fournissant une base de liquidité solide pour le module DeFi ; le TVL est classé 8ème au niveau mondial, l'activité de trading est 5ème au niveau mondial, et 3ème parmi les réseaux non EVM (juste derrière Bitcoin et Solana), montrant une forte participation des utilisateurs et une capacité de dépôt d'actifs.

1.Une réaction en chaîne déclenchée par une attaque

Le 22 mai 2025, le principal protocole AMM Cetus déployé sur le réseau SUI a été victime d'une attaque de hacker. L'attaquant a exploité une vulnérabilité logique liée à un "problème de débordement d'entier" pour lancer une manipulation précise, entraînant une perte de plus de 200 millions de dollars d'actifs. Cet incident est non seulement l'un des plus grands accidents de sécurité dans le domaine DeFi cette année, mais il constitue également la plus dévastatrice attaque de hacker depuis le lancement de la mainnet SUI.

Selon les données de DefiLlama, le TVL total sur la chaîne SUI a chuté de plus de 330 millions de dollars le jour de l'attaque, et le montant verrouillé du protocole Cetus a même disparu instantanément de 84%, tombant à 38 millions de dollars. En conséquence, plusieurs jetons populaires sur SUI (y compris Lofi, Sudeng, Squirtle, etc.) ont chuté de 76% à 97% en seulement une heure, suscitant une large préoccupation du marché concernant la sécurité de SUI et la stabilité de son écosystème.

Mais après cette onde de choc, l'écosystème SUI a montré une grande résilience et capacité de récupération. Bien que l'événement Cetus ait entraîné des fluctuations de confiance à court terme, les fonds sur la chaîne et l'activité des utilisateurs n'ont pas subi de déclin durable, mais ont plutôt incité l'ensemble de l'écosystème à accorder une attention significative à la sécurité, à la construction d'infrastructures et à la qualité des projets.

Klein Labs va examiner les raisons de cet incident d'attaque, le mécanisme de consensus des nœuds de SUI, la sécurité du langage MOVE et le développement écosystémique de SUI, en clarifiant le paysage écologique actuel de cette blockchain qui est encore au stade précoce de son développement, et en discutant de son potentiel de développement futur.

Croyance ferme après la crise de sécurité : Pourquoi SUI a-t-il toujours un potentiel de hausse à long terme ?

2. Analyse des causes de l'attaque de l'événement Cetus

2.1 Processus de réalisation de l'attaque

Selon l'analyse technique de l'incident d'attaque de Cetus par l'équipe Slow Mist, les hackers ont réussi à exploiter une vulnérabilité de débordement arithmétique critique dans le protocole, en utilisant des prêts flash, une manipulation précise des prix et des défauts de contrat, pour voler plus de 200 millions de dollars d'actifs numériques en peu de temps. Le chemin de l'attaque peut être globalement divisé en trois phases :

①Lancer un prêt éclair, manipuler les prix

Les hackers ont d'abord utilisé un arbitrage à glissement maximal pour un prêt flash de 10 milliards de haSUI, empruntant d'importants fonds pour manipuler les prix.

Le prêt flash permet aux utilisateurs d'emprunter et de rembourser des fonds dans une seule transaction, ne nécessitant que le paiement de frais, avec des caractéristiques de levier élevé, de faible risque et de faible coût. Les hackers ont utilisé ce mécanisme pour faire chuter le prix du marché en peu de temps et l'ont contrôlé avec précision dans une fourchette très étroite.

Ensuite, l'attaquant se prépare à créer une position de liquidité extrêmement étroite, en fixant l'intervalle de prix précisément entre le prix le plus bas de 300,000 et le prix le plus élevé de 300,200, avec une largeur de prix de seulement 1.00496621 %.

Grâce à la méthode ci-dessus, les hackers ont réussi à manipuler le prix de haSUI en utilisant une quantité suffisante de tokens et une énorme liquidité. Ensuite, ils ont ciblé plusieurs tokens sans valeur réelle pour les manipuler.

②Ajouter de la liquidité

L'attaquant crée des positions de liquidité étroites, déclare ajouter de la liquidité, mais en raison d'une vulnérabilité dans la fonction checked_shlw, il ne reçoit finalement qu'un seul jeton.

C'est essentiellement dû à deux raisons :

  1. Paramètres de masque trop larges : équivalent à une limite d'ajout de liquidité très élevée, rendant la vérification des entrées utilisateur dans le contrat inutile. Les hackers contournent la détection de débordement en définissant des paramètres anormaux, construisant des entrées qui sont toujours inférieures à cette limite.

  2. Dépassement de données tronqué : lors de l'exécution de l'opération de décalage n << 64 sur la valeur n, un dépassement de bits a eu lieu en raison du déplacement dépassant la largeur effective de bits du type de données uint256 (256 bits). La partie haute du débordement a été automatiquement abandonnée, entraînant un résultat de calcul bien inférieur aux attentes, ce qui a conduit le système à sous-estimer la quantité de haSUI nécessaire pour l'échange. Le résultat final du calcul est d'environ inférieur à 1, mais comme il est arrondi à l'unité supérieure, le résultat final est égal à 1, ce qui signifie que le hacker n'a besoin d'ajouter qu'un seul jeton pour obtenir une énorme liquidité.

③Retrait de liquidités

Effectuer le remboursement d'un prêt éclair, tout en conservant d'énormes profits. Finalement, retirer des actifs de jetons d'une valeur totale de plusieurs centaines de millions de dollars de plusieurs pools de liquidité.

La situation des pertes financières est grave, l'attaque a entraîné le vol des actifs suivants :

  • 12,9 millions de SUI (environ 5,4 millions de dollars)

  • 6000万美元 USDC

  • 490 000 $ Haedal Staked SUI

  • 19,50 millions de dollars TOILET

  • D'autres tokens comme HIPPO et LOFI ont chuté de 75 à 80 %, la liquidité est épuisée.

Croyance ferme après la crise de sécurité : pourquoi SUI a-t-il encore un potentiel de hausse à long terme ?

2.2 Causes et caractéristiques de la vulnérabilité

La vulnérabilité de Cetus présente trois caractéristiques :

  1. Coût de correction extrêmement faible : d'une part, la cause fondamentale de l'incident Cetus est une négligence dans la bibliothèque mathématique Cetus, et non une erreur dans le mécanisme de prix du protocole ou une erreur dans l'architecture sous-jacente. D'autre part, la vulnérabilité est limitée à Cetus lui-même et n'a rien à voir avec le code de SUI. La racine de la vulnérabilité réside dans une condition de limite, il suffit de modifier deux lignes de code pour éliminer complètement le risque ; une fois la correction effectuée, elle peut être immédiatement déployée sur le réseau principal, garantissant que la logique des contrats ultérieurs est complète et éliminant cette vulnérabilité.

  2. Haute confidentialité : Le contrat a fonctionné de manière stable sans aucune défaillance pendant deux ans, le Cetus Protocol a effectué plusieurs audits, mais aucune vulnérabilité n'a été trouvée, principalement parce que la bibliothèque Integer_Mate utilisée pour les calculs mathématiques n'a pas été incluse dans le périmètre de l'audit.

Les hackers utilisent des valeurs extrêmes pour construire précisément des intervalles de transaction, créant des scénarios extrêmement rares avec une liquidité très élevée, ce qui déclenche une logique anormale, indiquant que ce type de problème est difficile à détecter par des tests ordinaires. Ces problèmes se situent souvent dans des zones d'ombre de la perception des gens, c'est pourquoi ils restent latents pendant longtemps avant d'être découverts.

  1. Pas un problème unique à Move :

Move est supérieur à plusieurs langages de contrats intelligents en matière de sécurité des ressources et de vérification des types, intégrant une détection native des problèmes de débordement d'entier dans des situations courantes. Ce débordement s'est produit parce que lors de l'ajout de liquidités, un nombre incorrect a d'abord été utilisé pour vérifier la limite, et une opération de décalage a été utilisée à la place d'une multiplication normale. Si des opérations d'addition, de soustraction, de multiplication ou de division normales étaient effectuées, Move vérifierait automatiquement les situations de débordement, évitant ainsi ce problème de troncature de bits supérieurs.

Des vulnérabilités similaires ont également été observées dans d'autres langages (comme Solidity, Rust), et elles sont même plus susceptibles d'être exploitées en raison de leur manque de protection contre les débordements d'entiers ; avant la mise à jour de la version de Solidity, la vérification des débordements était très faible. Dans le passé, il y a eu des débordements d'addition, de soustraction, de multiplication, etc., dont la cause directe était que le résultat des calculs dépassait la plage autorisée. Par exemple, les vulnérabilités des contrats intelligents BEC et SMT en langage Solidity ont toutes deux contourné les instructions de vérification dans le contrat grâce à des paramètres soigneusement construits, permettant ainsi des attaques par des transferts excessifs.

Croyance ferme après une crise de sécurité : pourquoi SUI possède-t-il encore un potentiel de hausse à long terme ?

3. Mécanisme de consensus de SUI

3.1 Introduction au mécanisme de consensus SUI

Aperçu :

SUI adopte un cadre de preuve d'enjeu déléguée (DeleGated Proof of Stake, abrégé DPoS). Bien que le mécanisme DPoS puisse améliorer le taux de traitement des transactions, il ne peut pas offrir un niveau de décentralisation aussi élevé que PoW (preuve de travail). Par conséquent, le niveau de décentralisation de SUI est relativement bas, le seuil de gouvernance est relativement élevé, et les utilisateurs ordinaires ont du mal à influencer directement la gouvernance du réseau.

  • Nombre moyen de validateurs : 106

  • Durée moyenne de l'Epoch : 24 heures

Mécanisme de processus :

  • Délégation des droits : Les utilisateurs ordinaires n'ont pas besoin de faire fonctionner un nœud eux-mêmes, il leur suffit de staker SUI et de le déléguer à des validateurs candidats pour participer à la garantie de la sécurité du réseau et à la distribution des récompenses. Ce mécanisme peut abaisser le seuil de participation pour les utilisateurs ordinaires, leur permettant de participer au consensus du réseau en "employant" des validateurs de confiance. C'est également un grand avantage du DPoS par rapport au PoS traditionnel.

  • Représente le tour de création de blocs : un petit nombre de validateurs sélectionnés produisent des blocs dans un ordre fixe ou aléatoire, ce qui améliore la vitesse de confirmation et augmente le TPS.

  • Élection dynamique : à la fin de chaque cycle de vote, en fonction du poids des voix, une rotation dynamique est effectuée pour réélire l'ensemble des Validateurs, garantissant la vitalité des nœuds, la cohérence des intérêts et la décentralisation.

Avantages de DPoS :

  • Haute efficacité : Grâce à un nombre contrôlable de nœuds de validation, le réseau peut accomplir une confirmation en millisecondes, répondant ainsi à une demande élevée de TPS.

  • Coût faible : Moins de nœuds participent au consensus, ce qui réduit considérablement la bande passante réseau et les ressources de calcul nécessaires pour la synchronisation des informations et l'agrégation des signatures. Cela entraîne une baisse des coûts matériels et de maintenance, ainsi qu'une demande réduite en puissance de calcul, ce qui réduit les coûts. Cela permet finalement de réaliser des frais d'utilisateur plus bas.

  • Haute sécurité : le mécanisme de staking et de délégation amplifie les coûts et les risques d'attaque ; combiné avec le mécanisme de confiscation on-chain, il réprime efficacement les comportements malveillants.

En même temps, dans le mécanisme de consensus de SUI, un algorithme basé sur le BFT (tolérance aux pannes byzantines) est utilisé, exigeant qu'une majorité de plus des deux tiers des votes des validateurs s'accorde pour confirmer une transaction. Ce mécanisme garantit que même si un petit nombre de nœuds agit de manière malveillante, le réseau peut rester sécurisé et fonctionner efficacement. Toute mise à niveau ou décision majeure nécessite également une majorité de plus des deux tiers des votes pour être mise en œuvre.

En essence, le DPoS est en réalité une solution de compromis pour le triangle impossible, qui réalise un compromis entre décentralisation et efficacité. Le DPoS choisit de réduire le nombre de nœuds de production actifs afin d'obtenir de meilleures performances dans le "triangle impossible" de la sécurité, de la décentralisation et de l'évolutivité.

Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
  • Récompense
  • 5
  • Partager
Commentaire
0/400
Rugman_Walkingvip
· 07-19 04:16
C'est la blockchain qu'il faut blâmer quand le code a des bugs ? Ne mettez pas la faute au mauvais endroit, s'il vous plaît.
Voir l'originalRépondre0
DuckFluffvip
· 07-19 04:14
Zut, ce bug est déjà réparé, je continue à bosser.
Voir l'originalRépondre0
DefiEngineerJackvip
· 07-19 04:09
*soupir* techniquement, un contrôle des limites aurait pu éviter cela. amateurs.
Voir l'originalRépondre0
TokenTherapistvip
· 07-19 04:00
Ne me fais pas peur, la base de SUI est très stable.
Voir l'originalRépondre0
ImaginaryWhalevip
· 07-19 03:55
Regardez la tendance, je joue toujours à Sui. S'il y a quoi que ce soit, laissez tomber.
Voir l'originalRépondre0
  • Épingler
plan du site
Trader les cryptos partout et à tout moment
qrCode
Scan pour télécharger Gate app
Communauté
Français (Afrique)
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)
    • À propos de nousCarrièresNewsroomPartenairesConsulter les clauses contractuellesAvertissement Consulter les clauses contractuelles et notre Politique de confidentialitéPolitique des cookiesKit médiaPreuve de réserve à 100%LicenseSécuritéGateToken (GT)Gate ChainGate EventsApplication de la loiSommetsGate Ventures
    AcheterVendreSpot TradingTrading FuturesMargeTokens à effet de levierNFTGate PayGate LifeGift CardGate OTCGate CharityBoutique Gate
    Avantages VIPInstitutionnelCommentaires des utilisateursAnnoncesFraisAideEnvoyer une demandeListingVérifiez la sécurité d'un smart contractDéveloppeursRecherche de vérificationApplication pour les marchands P2PApplication Blue V P2PProgramme d'affiliationCalendrier CryptoSolution Cross-Chain de
    Gate LearnCours cryptoGlossaire des cryptomonnaiesCours des cryptomonnaiesBig DataHalving du BitcoinCrypto Wiki
    Gate © 2013-2025.