Setelah serangan terhadap Cetus di SUI, mari kita buat pemahaman yang komprehensif tentang SUI. Artikel ini diterbitkan bersama oleh Aquarius Capital dan Klein Labs, terutama berkat Protokol NAVI, Protokol Bucket dan proyek ekologi lainnya dan Comma3 Ventures atas bimbingan teknis dan dukungan mereka dalam proses penelitian. Bagaimana Yayasan Sui akan melepaskan $ 160 juta yang dibekukan dari peretas? (Latar belakang ditambahkan: Apa yang dipikirkan para korban peretasan Cetus?) Tim Sui menuntut komitmen untuk "pembayaran penuh" dengan dua syarat utama (TL); Kerentanan Cetus berasal dari implementasi kontrak, bukan dari bahasa SUI atau Move itu sendiri: Akar penyebab serangan ini terletak pada hilangnya pemeriksaan batas fungsi aritmatika dalam protokol Cetus - kerentanan logika yang disebabkan oleh topeng yang terlalu lebar dan luapan perpindahan, yang tidak ada hubungannya dengan rantai SUI atau model keamanan sumber daya bahasa Move. Kerentanan dapat diperbaiki dengan "pemeriksaan batas satu baris" tanpa memengaruhi keamanan inti seluruh ekosistem. 2. "Sentralisasi rasional" dalam mekanisme SUI menunjukkan nilai dalam krisis: Meskipun SUI memiliki sedikit kecenderungan untuk memusatkan fitur seperti putaran validator DPoS dan pembekuan daftar hitam, ini berguna dalam respons insiden CETUS: validator dengan cepat menyinkronkan alamat berbahaya ke Daftar Tolak, menolak untuk mengemas transaksi terkait, dan mencapai pembekuan instan lebih dari $160 juta dana. Ini pada dasarnya adalah "Keynesianisme on-chain" yang positif, dan kontrol makro yang efektif telah memainkan peran positif dalam sistem ekonomi. 3. Refleksi dan saran tentang keselamatan teknis: Matematika dan verifikasi batas: Perkenalkan pernyataan batas atas dan bawah untuk semua operasi aritmatika utama (seperti perpindahan, perkalian, dan pembagian), dan lakukan fuzzing nilai ekstrim dan verifikasi formal. Selain itu, perlu untuk meningkatkan audit dan pemantauan: selain audit kode umum, tambahkan tim audit matematika profesional dan deteksi perilaku transaksi on-chain waktu nyata untuk menangkap split abnormal atau pinjaman kilat besar sedini mungkin; 4. Ringkasan dan saran mekanisme jaminan pendanaan: Dalam insiden Cetus, SUI dan tim proyek berkolaborasi secara efisien untuk berhasil membekukan dana lebih dari US$160 juta dan mempromosikan rencana kompensasi 100%, yang mencerminkan ketahanan on-chain yang kuat dan tanggung jawab ekologis. Yayasan SUI juga menyediakan tambahan $10 juta dalam pendanaan audit untuk memperkuat jalur keamanan. Di masa depan, kami dapat lebih mempromosikan mekanisme seperti sistem pelacakan on-chain, alat keamanan buatan komunitas, dan asuransi terdesentralisasi, dan meningkatkan sistem perlindungan dana. 5. Perluasan ekosistem SUI yang beragam SUI dengan cepat mewujudkan transisi dari "rantai baru" ke "ekologi yang kuat" dalam waktu kurang dari dua tahun, dan telah membangun wilayah ekologi yang beragam yang mencakup stablecoin, DEX, infrastruktur, DePIN, game, dan jalur lainnya. Ukuran total stablecoin melebihi $1 miliar, memberikan fondasi likuiditas yang kuat untuk modul DeFi; TVL menempati peringkat ke-8 di dunia, ke-5 dalam aktivitas perdagangan, dan ke-3 dalam jaringan non-EVM (di belakang Bitcoin dan Solana), menunjukkan keterlibatan pengguna yang kuat dan pencelupan aset. 1. Efek riak dari serangan Pada 22 Mei 2025, Cetus, kepala protokol AMM yang digunakan di jaringan SUI, diretas, mengeksploitasi kerentanan logika yang terkait dengan "masalah luapan bilangan bulat" untuk meluncurkan manipulasi yang tepat, mengakibatkan hilangnya aset lebih dari $200 juta. Insiden ini bukan hanya salah satu insiden keamanan terbesar di ruang DeFi sepanjang tahun ini, tetapi juga peretasan paling destruktif sejak peluncuran mainnet SUI. Menurut data DefiLlama, TVL rantai penuh SUI anjlok lebih dari $330 juta pada hari serangan, dan jumlah penguncian protokol Cetus sendiri langsung menguap sebesar 84% menjadi $38 juta. Dipengaruhi oleh kaskade, token populer di beberapa SUI (termasuk Lofi, Sudeng, Squirtle, dll.) anjlok 76% menjadi 97% hanya dalam satu jam, memicu kekhawatiran luas tentang keamanan dan stabilitas ekologis SUI. Namun setelah gelombang kejut ini, ekosistem SUI telah menunjukkan ketahanan dan ketahanan yang kuat. Meskipun insiden Cetus telah membawa fluktuasi kepercayaan dalam jangka pendek, dana on-chain dan aktivitas pengguna tidak mengalami penurunan yang berkelanjutan, tetapi telah mempromosikan seluruh ekosistem untuk memperhatikan keselamatan, konstruksi infrastruktur, dan kualitas proyek. Klein Labs akan fokus pada penyebab serangan ini, mekanisme konsensus simpul SUI, keamanan bahasa MOVE dan pengembangan ekologis SUI, memilah pola ekologis saat ini dari rantai publik ini yang masih dalam tahap awal pengembangan, dan mengeksplorasi potensi pengembangannya di masa depan. 2. Analisis penyebab insiden Cetus 2.1 Proses implementasi serangan Menurut analisis teknis serangan Cetus oleh tim Slow Mist, para peretas berhasil mengeksploitasi kerentanan limpahan aritmatika utama dalam protokol dan mencuri lebih dari $200 juta aset digital dalam waktu singkat dengan bantuan pinjaman kilat, manipulasi harga yang tepat, dan cacat kontrak. Jalur serangan secara kasar dapat dibagi menjadi tiga tahap berikut: (1) Luncurkan flash loan dan manipulasi harga Peretas pertama-tama menggunakan slippage flash exchange maksimum 10 miliar haSUI flash loan untuk meminjamkan uang dalam jumlah besar dan melakukan manipulasi harga. Pinjaman kilat memungkinkan pengguna untuk meminjam dan mengembalikan dana dalam transaksi yang sama hanya dengan biaya, dengan leverage tinggi, risiko rendah, dan biaya rendah. Peretas menggunakan mekanisme ini untuk menurunkan harga pasar dalam waktu singkat dan dengan tepat mengendalikannya dalam kisaran yang sangat sempit. Penyerang kemudian bersiap untuk membuat posisi likuiditas yang sangat sempit, menetapkan kisaran harga tepat antara harga terendah 300.000 (dan harga maksimum 300.200) dengan lebar harga hanya 1,00496621%. Melalui metode di atas, peretas berhasil memanipulasi harga haSUI dengan menggunakan token dalam jumlah yang cukup besar dan likuiditas yang besar. Selanjutnya, mereka memanipulasi beberapa token tanpa nilai nyata. (2) Tambahkan likuiditas Penyerang menciptakan posisi likuiditas yang sempit, menyatakan untuk menambahkan likuiditas, tetapi karena kerentanan fungsi yang _shlw diperiksa, hanya 1 token yang dibebankan pada akhirnya. Ini pada dasarnya karena dua alasan: Topeng diatur terlalu luas: setara dengan batas atas likuiditas yang sangat besar, sehingga verifikasi masukan pengguna dalam kontrak menjadi tidak berguna. Peretas melewati deteksi luapan dengan mengatur parameter pengecualian sehingga input selalu di bawah batas atas tersebut. Data overflow terpotong: Saat melakukan operasi shift pada nilai n << 64, pemotongan data terjadi karena shift melebihi lebar bit efektif (256 bit) dari tipe data uint256. Luapan tinggi secara otomatis dibuang, menghasilkan hasil yang jauh lebih rendah dari yang diharapkan, menyebabkan sistem meremehkan jumlah haSUI yang diperlukan untuk konversi. Hasil perhitungan akhir sekitar kurang dari 1, tetapi karena dibulatkan ke atas, perhitungan akhir sama dengan 1, yaitu, peretas hanya perlu menambahkan 1 token untuk ditukar dengan likuiditas yang sangat besar. (3) Tarik likuiditas Lakukan pembayaran pinjaman kilat dan pertahankan keuntungan besar. Akhirnya, aset token senilai ratusan juta dolar disedot dari beberapa kumpulan likuiditas. Kehilangan dana sangat parah, dan serangan tersebut mengakibatkan pencurian aset berikut: 12.9 juta SUI (sekitar $54 juta) $60 juta USDC $4.9 juta Haedal Mempertaruhkan SUI $19.5 juta TOILET Generasi lain...
Konten ini hanya untuk referensi, bukan ajakan atau tawaran. Tidak ada nasihat investasi, pajak, atau hukum yang diberikan. Lihat Penafian untuk pengungkapan risiko lebih lanjut.
Sumber keyakinan setelah diretas: Mengapa SUI tetap memiliki potensi pertumbuhan jangka panjang?
Setelah serangan terhadap Cetus di SUI, mari kita buat pemahaman yang komprehensif tentang SUI. Artikel ini diterbitkan bersama oleh Aquarius Capital dan Klein Labs, terutama berkat Protokol NAVI, Protokol Bucket dan proyek ekologi lainnya dan Comma3 Ventures atas bimbingan teknis dan dukungan mereka dalam proses penelitian. Bagaimana Yayasan Sui akan melepaskan $ 160 juta yang dibekukan dari peretas? (Latar belakang ditambahkan: Apa yang dipikirkan para korban peretasan Cetus?) Tim Sui menuntut komitmen untuk "pembayaran penuh" dengan dua syarat utama (TL); Kerentanan Cetus berasal dari implementasi kontrak, bukan dari bahasa SUI atau Move itu sendiri: Akar penyebab serangan ini terletak pada hilangnya pemeriksaan batas fungsi aritmatika dalam protokol Cetus - kerentanan logika yang disebabkan oleh topeng yang terlalu lebar dan luapan perpindahan, yang tidak ada hubungannya dengan rantai SUI atau model keamanan sumber daya bahasa Move. Kerentanan dapat diperbaiki dengan "pemeriksaan batas satu baris" tanpa memengaruhi keamanan inti seluruh ekosistem. 2. "Sentralisasi rasional" dalam mekanisme SUI menunjukkan nilai dalam krisis: Meskipun SUI memiliki sedikit kecenderungan untuk memusatkan fitur seperti putaran validator DPoS dan pembekuan daftar hitam, ini berguna dalam respons insiden CETUS: validator dengan cepat menyinkronkan alamat berbahaya ke Daftar Tolak, menolak untuk mengemas transaksi terkait, dan mencapai pembekuan instan lebih dari $160 juta dana. Ini pada dasarnya adalah "Keynesianisme on-chain" yang positif, dan kontrol makro yang efektif telah memainkan peran positif dalam sistem ekonomi. 3. Refleksi dan saran tentang keselamatan teknis: Matematika dan verifikasi batas: Perkenalkan pernyataan batas atas dan bawah untuk semua operasi aritmatika utama (seperti perpindahan, perkalian, dan pembagian), dan lakukan fuzzing nilai ekstrim dan verifikasi formal. Selain itu, perlu untuk meningkatkan audit dan pemantauan: selain audit kode umum, tambahkan tim audit matematika profesional dan deteksi perilaku transaksi on-chain waktu nyata untuk menangkap split abnormal atau pinjaman kilat besar sedini mungkin; 4. Ringkasan dan saran mekanisme jaminan pendanaan: Dalam insiden Cetus, SUI dan tim proyek berkolaborasi secara efisien untuk berhasil membekukan dana lebih dari US$160 juta dan mempromosikan rencana kompensasi 100%, yang mencerminkan ketahanan on-chain yang kuat dan tanggung jawab ekologis. Yayasan SUI juga menyediakan tambahan $10 juta dalam pendanaan audit untuk memperkuat jalur keamanan. Di masa depan, kami dapat lebih mempromosikan mekanisme seperti sistem pelacakan on-chain, alat keamanan buatan komunitas, dan asuransi terdesentralisasi, dan meningkatkan sistem perlindungan dana. 5. Perluasan ekosistem SUI yang beragam SUI dengan cepat mewujudkan transisi dari "rantai baru" ke "ekologi yang kuat" dalam waktu kurang dari dua tahun, dan telah membangun wilayah ekologi yang beragam yang mencakup stablecoin, DEX, infrastruktur, DePIN, game, dan jalur lainnya. Ukuran total stablecoin melebihi $1 miliar, memberikan fondasi likuiditas yang kuat untuk modul DeFi; TVL menempati peringkat ke-8 di dunia, ke-5 dalam aktivitas perdagangan, dan ke-3 dalam jaringan non-EVM (di belakang Bitcoin dan Solana), menunjukkan keterlibatan pengguna yang kuat dan pencelupan aset. 1. Efek riak dari serangan Pada 22 Mei 2025, Cetus, kepala protokol AMM yang digunakan di jaringan SUI, diretas, mengeksploitasi kerentanan logika yang terkait dengan "masalah luapan bilangan bulat" untuk meluncurkan manipulasi yang tepat, mengakibatkan hilangnya aset lebih dari $200 juta. Insiden ini bukan hanya salah satu insiden keamanan terbesar di ruang DeFi sepanjang tahun ini, tetapi juga peretasan paling destruktif sejak peluncuran mainnet SUI. Menurut data DefiLlama, TVL rantai penuh SUI anjlok lebih dari $330 juta pada hari serangan, dan jumlah penguncian protokol Cetus sendiri langsung menguap sebesar 84% menjadi $38 juta. Dipengaruhi oleh kaskade, token populer di beberapa SUI (termasuk Lofi, Sudeng, Squirtle, dll.) anjlok 76% menjadi 97% hanya dalam satu jam, memicu kekhawatiran luas tentang keamanan dan stabilitas ekologis SUI. Namun setelah gelombang kejut ini, ekosistem SUI telah menunjukkan ketahanan dan ketahanan yang kuat. Meskipun insiden Cetus telah membawa fluktuasi kepercayaan dalam jangka pendek, dana on-chain dan aktivitas pengguna tidak mengalami penurunan yang berkelanjutan, tetapi telah mempromosikan seluruh ekosistem untuk memperhatikan keselamatan, konstruksi infrastruktur, dan kualitas proyek. Klein Labs akan fokus pada penyebab serangan ini, mekanisme konsensus simpul SUI, keamanan bahasa MOVE dan pengembangan ekologis SUI, memilah pola ekologis saat ini dari rantai publik ini yang masih dalam tahap awal pengembangan, dan mengeksplorasi potensi pengembangannya di masa depan. 2. Analisis penyebab insiden Cetus 2.1 Proses implementasi serangan Menurut analisis teknis serangan Cetus oleh tim Slow Mist, para peretas berhasil mengeksploitasi kerentanan limpahan aritmatika utama dalam protokol dan mencuri lebih dari $200 juta aset digital dalam waktu singkat dengan bantuan pinjaman kilat, manipulasi harga yang tepat, dan cacat kontrak. Jalur serangan secara kasar dapat dibagi menjadi tiga tahap berikut: (1) Luncurkan flash loan dan manipulasi harga Peretas pertama-tama menggunakan slippage flash exchange maksimum 10 miliar haSUI flash loan untuk meminjamkan uang dalam jumlah besar dan melakukan manipulasi harga. Pinjaman kilat memungkinkan pengguna untuk meminjam dan mengembalikan dana dalam transaksi yang sama hanya dengan biaya, dengan leverage tinggi, risiko rendah, dan biaya rendah. Peretas menggunakan mekanisme ini untuk menurunkan harga pasar dalam waktu singkat dan dengan tepat mengendalikannya dalam kisaran yang sangat sempit. Penyerang kemudian bersiap untuk membuat posisi likuiditas yang sangat sempit, menetapkan kisaran harga tepat antara harga terendah 300.000 (dan harga maksimum 300.200) dengan lebar harga hanya 1,00496621%. Melalui metode di atas, peretas berhasil memanipulasi harga haSUI dengan menggunakan token dalam jumlah yang cukup besar dan likuiditas yang besar. Selanjutnya, mereka memanipulasi beberapa token tanpa nilai nyata. (2) Tambahkan likuiditas Penyerang menciptakan posisi likuiditas yang sempit, menyatakan untuk menambahkan likuiditas, tetapi karena kerentanan fungsi yang _shlw diperiksa, hanya 1 token yang dibebankan pada akhirnya. Ini pada dasarnya karena dua alasan: Topeng diatur terlalu luas: setara dengan batas atas likuiditas yang sangat besar, sehingga verifikasi masukan pengguna dalam kontrak menjadi tidak berguna. Peretas melewati deteksi luapan dengan mengatur parameter pengecualian sehingga input selalu di bawah batas atas tersebut. Data overflow terpotong: Saat melakukan operasi shift pada nilai n << 64, pemotongan data terjadi karena shift melebihi lebar bit efektif (256 bit) dari tipe data uint256. Luapan tinggi secara otomatis dibuang, menghasilkan hasil yang jauh lebih rendah dari yang diharapkan, menyebabkan sistem meremehkan jumlah haSUI yang diperlukan untuk konversi. Hasil perhitungan akhir sekitar kurang dari 1, tetapi karena dibulatkan ke atas, perhitungan akhir sama dengan 1, yaitu, peretas hanya perlu menambahkan 1 token untuk ditukar dengan likuiditas yang sangat besar. (3) Tarik likuiditas Lakukan pembayaran pinjaman kilat dan pertahankan keuntungan besar. Akhirnya, aset token senilai ratusan juta dolar disedot dari beberapa kumpulan likuiditas. Kehilangan dana sangat parah, dan serangan tersebut mengakibatkan pencurian aset berikut: 12.9 juta SUI (sekitar $54 juta) $60 juta USDC $4.9 juta Haedal Mempertaruhkan SUI $19.5 juta TOILET Generasi lain...