Cetus 駭客事件深度解析：Sui 鏈上最大危機與治理考驗

Cetus Protocol 是 Sui 區塊鏈上的旗艦級 DEX，採用集中式流動性設計（類似 Uniswap v3），是許多 Sui 生態專案的主要交易池。2025 年 5 月 22 日，Cetus 遭遇有史以來最嚴重的合約攻擊之一，總損失高達 2.2 億美元，震撼整個 L1 公鏈圈。

駭客僅以 1 枚代幣入場，就盜走了整池的資產，事件的技術複雜度、治理爭議與資金損失都屬極端等級。

駭客透過閃電貸操作 haSUI 價格，瞬間將交易對價格砸到接近零，誤導合約認定「該幣已無價值」。

駭客在極低價區設定一個狹窄流動性範圍，開設頭寸（LP position），準備接收整池流動性。

Cetus 智能合約在運算所需抵押時出現溢位錯誤，本來應需抵押大量 haSUI，卻因變數上限溢出，讓駭客只用 1 顆代幣就成功入場，並獲得幾乎整池份額。

駭客一旦獲得 LP 憑證，即刻提領真資產（USDC、SUI），完成攻擊。

駭客盜取資產後試圖將其橋接出鏈

Sui 驗證者在 8 分鐘內聯合凍結地址，鎖定 1.6 億美元資產

其餘資金部分已被跨鏈轉移或透過 Tornado Cash 清洗

Sui 社群讚賞反應快速，也開始質疑其過度中心化

這是區塊鏈歷史上罕見的「驗證者級緊急凍結」案例，也成為後續治理爭議的焦點。

SUI 幣價：24 小時內從 $4.19 跌至 $3.62，跌幅約 13.6%

Cetus TVL：從 7500 萬美元瞬間暴跌至 1200 萬以下，跌幅高達 84%

Sui 鏈總 TVL：從 5 億美元縮水至 2.9 億美元，24 小時內下跌 42%

這起事件動搖了投資者信心，也導致多家即將部署在 Sui 的項目延後上線計畫，生態整體陷入信任危機。

為解決這場災難，Cetus 團隊與 Sui 社群迅速提出三大對策：

社群提出用協議升級方式，強制將凍結地址上的資金還給原受害者地址，由驗證者投票決定。

設立 600 萬美元白帽懸賞，若駭客歸還資金則不追究法律責任，但至今未有回應。

Cetus 承諾將用協議收入、基金會預備金等補償剩餘未追回部分，並開放用戶自行提出損失證明。

這起事件不只是一場「代幣被盜」，它揭示了 DeFi 協議中幾個核心議題：

合約審計再多仍會有極端邊界漏洞，特別是極值處理與乘法溢位

價格預言機與 AMM 定價機制仍可被操控，尤其在低流動性時段

L1 驗證者介入治理是雙面刃：保護用戶但可能損及去中心化信任

Cetus 事件是對 Sui 區塊鏈的第一次極限測試：
它暴露漏洞，也展示了社群快速反應、治理機制的可行性與侷限。

對所有加密用戶來說，這是一場關於「鏈上風險」、「代幣控制」、「去中心化治理實務」的實戰教學。

事件過後，Sui 是否能重新建立信任、讓開發者重返，還有待時間驗證。但我們能肯定一件事：去中心化世界的安全，不只是代碼，還包含反應速度與社群的決策智慧。