從Cetus事件看區塊鏈行業的底層信仰之爭

事件回顧

2025年5月22日，Sui公鏈生態最大DEX Cetus遭遇黑客攻擊，導致多種交易對價格崩塌，損失超過2.2億美元。事件發生後，相關方採取了一系列應對措施：

• 5月22日：Cetus暫停合約，黑客跨鏈轉出約6000萬美元，剩餘1.62億美元仍在Sui鏈上。驗證節點迅速將黑客地址加入"拒絕服務黑名單"，凍結資金。
• 5月23日-24日：Cetus開始修復漏洞並更新合約。Sui開源PR，解釋將通過別名機制與白名單進行資金回收。
• 5月26日-29日：Sui啓動鏈上治理投票，超過2/3驗證節點權重支持執行協議升級，將黑客資產轉至托管地址。
• 5月30日-6月初：協議升級生效，指定交易哈希被執行，黑客資產被"合法轉走"。

攻擊原理分析

攻擊者利用閃電貸借出大量haSUI，使交易池價格急劇下跌。隨後在極窄的價格區間創建流動性頭寸，放大了計算誤差的影響。

攻擊核心在於Cetus的get_delta_a函數存在整數溢出漏洞。攻擊者聲明添加巨額流動性，但實際只投入1個代幣。由於checked_shlw的溢出檢測條件錯誤，系統嚴重低估了所需的haSUI數量，使攻擊者以極小成本獲取巨量流動性。

Sui的應對措施

Sui採取了"凍結"和"追回"兩個階段的措施：

1. 凍結階段：利用Deny List機制和節點共識完成資金凍結。

2. 追回階段：通過鏈上協議升級、社區投票和指定交易執行繞過黑名單。

Sui引入了地址別名機制，允許特定交易繞過安全檢查，實現無需黑客籤名的資金轉移。這種做法顛覆了傳統的區塊鏈不可篡改共識。

行業影響與思考

1. 底層信仰的挑戰

Cetus事件打破了區塊鏈"不可篡改"的傳統共識。Sui的做法與以往的硬分叉處理方式不同，直接通過協議升級實現針對性"救援"，這意味着"Not your keys, not your coins"理念在Sui鏈上被瓦解。

2. 鏈的決策權與公平性

Sui的做法引發了關於鏈上決策權的爭議。未來，是否會出現基於token權重的"合法投票洗白"？這種模式是否會導致"終產者"社會的出現？

3. 監管與去中心化的平衡

區塊鏈行業面臨着如何在滿足監管需求和保持去中心化本質之間取得平衡的挑戰。過度傾向監管可能導致區塊鏈淪爲"另一套更不好用的金融系統"。

4. 行業發展方向

區塊鏈的價值不在於能否凍結資產，而在於即使有能力這麼做，也選擇不這麼做。一個區塊鏈項目的未來，將由它選擇守護的那套信仰來決定。

在追求效率和安全的同時，區塊鏈行業需要謹慎考慮每一次突破底線的行爲可能帶來的長遠影響。只有堅守核心價值觀，區塊鏈才能真正實現其革命性潛力，而不是淪爲傳統金融體系的翻版。