القصة الكاملة وراء خرق 260 مليون دولار
ما الذي أدى إلى اختراق بروتوكول Cetus البالغ 260 مليون دولار ، وكيف انتشر استغلال SUI في أزمة على مستوى السلسلة؟
يقوم اختراق بروتوكول Cetus بمسح 260 مليون دولار في أحدث استغلال SUI
في 22 مايو ، شهد بروتوكول CETUS (CETUS) ، وهو مزود التبادل والسيولة اللامركزي الأساسي على blockchain SUI (SUI) ، خرقًا أمنيًا كبيرًا. استغل استغلال ما يقدر بنحو 223 مليون دولار ، مما أدى إلى اضطراب فوري في نشاط DEFI عبر النظام البيئي SUI.
منذ إطلاقها لعام 2023 ، أصبحت Cetus جزءًا أساسيًا من البنية التحتية لـ SUI ، مما يتيح مقايضات الرمز المميز وإعطاء الزراعة لأكثر من 62000 مستخدم نشط وتوليد أكثر من 7.15 مليون دولار من رسوم التداول اليومية.
تراجعت Sui ، الرمز الأصلي لـ Sui Blockchain ، بشكل حاد من 4.19 دولار إلى 3.62 دولارًا حتى كتابة هذه السابعة من مايو ، بانخفاض بنسبة 14 ٪ تقريبًا في غضون يوم واحد.
انخفض Cetus ، الرمز المميز الأصلي للبروتوكول المصاب ، من 0.26 دولار إلى 0.15 دولار خلال أعقاب الاختراق المباشر. سعره الحالي البالغ 0.17 دولار يمثل فقط الانتعاش الجزئي.
كان رد فعل الرموز عبر النظام الإيكولوجي الأوسع مع تقلبات مماثلة. شهدت Memecoins الأصلية لـ Sui ، بما في ذلك Lofi و Hippo و Squirt و Slove و Memefi خسائر تتراوح بين 51 ٪ إلى 97 ٪. على الرغم من أن الأسعار قد استقرت منذ ذلك الحين ، إلا أن ثقة المستثمر تظل هشة.
من بين أفضل 15 من الأصول المدرجة في Cetus ، تم مسح أكثر من 75 ٪ من القيمة الإجمالية. شهدت بعض الرموز ، مثل LBTC و Axolcoin ، انهيار أسعارها إلى ما يقرب من الصفر.
ذهب التأثير الأوسع إلى أبعد من أسعار الرمز المميز. انخفضت القيمة الإجمالية لـ SUI من 2.13 مليار دولار إلى 1.92 مليار دولار في وقت كتابة هذا التقرير ، مما يعكس انكماش في غضون ساعات.
دعونا نفهم كيف تم تنفيذ الاستغلال ، وما هي العيوب الهيكلية التي تعرضها ، وكيف يقوم المجتمع بإعداد رده.
Sui Hacker يؤدي إلى استنزاف السيولة على بروتوكول Cetus
بدأ الانتهاك الذي يستهدف بروتوكول CETUS في الساعات الأولى من 22 مايو. في الساعة 3:52 صباحًا (11:52 UTC) ، اكتشفت مراقبات blockchain حركات غير منتظمة في مجموعة سيولة SUI/USDC ، في البداية على أنها مبلغ محتمل 11 مليون دولار.
سرعان ما وسع التحقيق المستمر النطاق ، وكشف أن إجمالي الخسائر عبر تجمعات متعددة قد تكون قد تراوحت حوالي 260 مليون دولار.
ركز الهجوم على الضعف في نظام العقود الذكية وراء آلية تسعير Cetus.
في Core كان تصميم Oracle Design للبروتوكول ، المسؤول عن تغذية بيانات السعر في الوقت الفعلي في النظام الأساسي لتمكين التداول العادل عبر أزواج رمزية. في هذه الحالة ، كانت Oracle بمثابة نقطة دخول للاستغلال.
تم نشر عنوان المحفظة المعنية ، والتي تم تحديدها باسم “0xE28B50” ، الرموز المحاكاة الساخرة مثل Bulla لمعالجة منحنيات التسعير وتوازنات الاحتياطي.
على الرغم من أن هذه الرموز تحمل القليل من السيولة الحقيقية ، إلا أنها كانت تستخدم لتشويه مقاييس البلياردو الداخلية ، مما يجعل الأصول القيمة مثل SUI و USDC تبدو خفية. بعد زعزعة استقرار منطق التسعير ، قام المهاجم باستخراج الرموز الحقيقية من المجمعات دون المساهمة بالقيمة النسبية.
تتبع المحللون على السلسلة المهاجم يتحرك حوالي 63 مليون دولار في USDC من SUI إلى Ethereum (ETH) في الساعات التالية للاستغلال.
🚨 Cetus Protocol Exploit
As @d0rsky shared, @CetusProtocol liquidity pools were likely drained using a spoof token and near-zero liquidity inputs, exploiting potential miscalculations in pool math.
$63M has already been bridged to Ethereum:https://t.co/sIi1pqlPNl https://t.co/umjoczpsxB pic.twitter.com/HR6YMP7qgj
— Hacken🇺🇦 (@hackenclub) May 22, 2025
أظهرت بيانات التحويل أن 58.3 مليون دولار تم تبديلها مقابل 21،938 ETH بمعدل متوسط قدره 2،658 دولارًا للعملة المعدنية. وأشارت وتيرة التنفيذ ، التي تقدر بنحو مليون دولار في الدقيقة ، إلى عملية منسقة ومخطط لها مسبقًا.
أشار Cetus في البداية إلى القضية باعتبارها “Oracle Bug” ، وهو المصطلح الذي قام بالتدقيق الفوري من المطورين وخبراء الأمن. أثار حجم ودقة الشكوك حول هذا الإطار.
عملة Cetus مكشوفة في SUI Exploit
لم يكن جذر خرق Cetus خطًا واحدًا من التعليمات البرمجية الضارة ، ولكن عيبًا هيكليًا في كيفية إدارة البروتوكول ومنطق البلياردو.
استخدم Cetus نظام Oracle الداخلي يعتمد على بيانات تجمع السيولة المركزة لإنشاء خلاصات أسعار في الوقت الفعلي. كان القصد من ذلك هو الحد من الاعتماد على oracles الخارجية والحد من الضعف على التلاعب الخارجي. في القيام بذلك ، أدت الآلية إلى مخاطر جديدة.
تركزت الثغرة الأمنية على “AddLiquide” و “الإزالة” و “المبادلة” في العقود الذكية. تم بناء هذه الوظائف لحساب نسب الرمز المميز وقيم البلياردو ، لكنها فشلت في التحقق من صحة المدخلات بشكل صحيح عند التفاعل مع الأصول التي تحمل قيمة اقتصادية قليلة أو معدومة.
استغل المهاجم هذه الفجوة من خلال إدخال الرموز المحاكاة الساخرة مثل الفتوح ، والتي خصصت هيكل الأصول المشروعة ولكن ليس لديها سيولة حقيقية أو تاريخ التسعير.
قام إدخال هذه الرموز في المجمع بتشويه الحسابات الآلية التي تحكم مقدار القيمة التي يمكن إضافتها أو إزالتها ، مما يسمح بفعالية بالتلاعب بالمحاسبة الداخلية للبروتوكول.
باستخدام هذه الأصول المخادعة ، لم يوفر المهاجم أي سيولة حقيقية تقريبًا أثناء استخراج كميات كبيرة من SUI و USDC بمعدلات مواتية بشكل مصطنع.
صنفت شركات الأمن السيبراني الحادث كمثال للكتاب المدرسي على معالجة Oracle ، حيث أصبح التصميم الداخلي للبروتوكول ثغرة أمنية خاصة به.
انعكس مقياس الضرر في أحجام المعاملات. ارتفع النشاط على السلسلة على CETUS من 320 مليون دولار في 21 مايو إلى 2.9 مليار دولار في 22 مايو ، مما يدل على مدى سرعة نقل الأموال وتبديلها بمجرد بدء استغلال.
Move ، لغة البرمجة المستخدمة للبناء على SUI ، تشمل الحماية الأمنية التي تحرس التهديدات منخفضة المستوى مثل إعادة الدخول. في هذه الحالة ، حدث الفشل فوق طبقة اللغة.
لم يكن تنفيذ العقد الذكي هو القضية. تم تنفيذ العقود التي تم تنفيذها تمامًا كما تم توجيهها – المشكلة الحقيقية هي أنه تم السماح بتلك التعليمات على الإطلاق.
لم يكن لدى Cetus أي مرشحات أو خطوات التحقق لضمان فقط الرموز ذات السيولة الفعلية التي يمكن أن تؤثر على الأسعار. كان يفتقر إلى ضمانات لرفض الأصول دون التحقق من صحة السوق.
لم يتم فرض أي قبعات على انحراف الأسعار أثناء النوافذ القصيرة ، ولم تكن هناك قواطع دائرة لإيقاف نشاط غير طبيعي بمجرد بدء أحجام المجلدات.
بمجرد أن تدخل الرموز المحاكاة الساخرة ومحرك التسعير ، تتبع بقية النظام من خلال بالضبط كما تم تصميمها – في النهاية تمكين الاستغلال من دون مقاومة.
تجميد Sui Hack يثير الشكوك اللامركزية
انتقل Cetus بسرعة لاحتواء الضرر بمجرد تحديد استغلال. تم إيقاف عمليات العقود الذكية في حوالي الساعة 4:00 صباحًا في 22 مايو لمنع تدفقات خارجية من البروتوكول.
اتبع بيان عام بعد فترة وجيزة من حساب X الرسمي للمشروع ، معترفًا بالحادث والتعهد بإجراء تحقيق كامل. اعتبارًا من 23 مايو ، لم يتم إصدار أي وقت ما بعد الوفاة.
استجابة أوسع تكشفت عبر النظام البيئي SUI. أدرجت مؤسسة SUI ، بالتنسيق مع المدققين والشركاء الرئيسيين ، عناوين المهاجم ، وتجمدت ما يقرب من 162 مليون دولار من الأصول المسروقة على شبكة SUI.
🚨ANNOUNCEMENT
As of earlier today, we have confirmed that an attacker has stolen approximately $223M from Cetus Protocol. We have took immediate action to lock our contract preventing further theft of funds.
$162M of the compromised funds have been successfully paused. We are…
— Cetus🐳 (@CetusProtocol) May 22, 2025
واجهت الجهود المبذولة لاسترداد الأموال المتبقية ، التي تقدر ما بين 60 مليون دولار و 98 مليون دولار ، تحديات. ما يقرب من 60 مليون دولار إلى 63 مليون دولار في USDC تم سدها من SUI وتحويلها إلى 21،938 ETH بعد فترة وجيزة من استغلال.
لتشجيع عودة الأموال ، مددت Cetus عرضًا بقيمة 6 ملايين دولار. استهدف الاقتراح ETH المحول وتضمن شرطًا ثابتًا: أي محاولة لغسل الأصول أو خارجها ستؤدي إلى إبطال العرض. لم يتم نشر أي رد من المهاجم على الملأ حتى الآن.
شملت جهود التتبع العديد من شركات الأمن السيبراني والهيئات التنظيمية. تقود Inca Digital عملية التفاوض ، بدعم من Hacken و Peckshield.
كما تنسيق مؤسسة SUI مع وكالات بما في ذلك Fincen ووزارة الدفاع الأمريكية لاستكشاف عمليات الاسترداد والخيارات القانونية الإضافية.
تم خلط دعم التبادل. أعرب مؤسس Binance Changpeng Zhao عن تضامنه على X وأكد أن Binance تساعد في تنسيق الاسترداد ، على الرغم من عدم تأكيد أي تدخلات تقنية أو تجميد حساب.
We are doing what we can to help SUI. Not a pleasant situation. Hope everyone stay SAFU!
— CZ 🔶 BNB (@cz_binance) May 22, 2025
أثار تجميد المحفظة مناقشة أوسع حول اللامركزية. أبرز العديد من المستخدمين على X أن صحة SUI تنسق لمنع المعاملات من عناوين المهاجم ، وتجميد أكثر من 160 مليون دولار من الأصول.
على الرغم من فعاليتها في هذه الحالة ، أثارت هذه الخطوة مخاوف بشأن مقدار ما يمكن لمقدين التحكم ممارسة على سلوك الشبكة.
يجادل النقاد بأن هذا التنسيق يتحدى مبدأ اللامركزية ويقترح الرقابة التي يحركها المدقق ، مما يثير الشكوك حول ما إذا كانت شبكات مثل SUI غير مركزية حقًا أو تدعي أنها فقط.
الإفصاح: هذا المقال لا يمثل نصيحة الاستثمار. المحتوى والمواد الواردة في هذه الصفحة هي لأغراض تعليمية فقط.
