Cetus被黑真相：SUI基金会冻结被盗资产，去中心化信仰崩了？

2025年5月29日，137Labs邀请了多位行业领袖和资深专家——ALERT的会所、加密韦馱、链研社、Pepper花椒、Hedda和Yueya，联合参与了一场关于「Cetus被黑真相：SUI基金会冻结被盗资产，去中心化信仰崩了？」的深度讨论。此次事件震动了整个加密社区，SUI生态下的Cetus遭遇黑客攻击，数千万美元资产被盗，而SUI基金会的介入引发了去中心化与安全保障之间的激烈辩论。

在本次X Space活动中，嘉宾们不仅全面解读了Cetus黑客事件的发生经过和SUI基金会的应急反应，还深入探讨了去中心化网络中安全机制与透明度之间的平衡。嘉宾们从不同视角展开讨论，既分析了去中心化信仰的崩塌风险，也对如何在保障用户安全的同时维护去中心化的原则提供了深刻见解。本次讨论将为用户理解区块链项目中安全与治理机制的关系，以及如何规避类似风险提供宝贵的参考。

Q1

Cetus 被攻击到底怎么回事？是 Cetus 自己的锅？还是 Sui 或者 Move 语言的锅？

会所哥指出，这次攻击的本质实际上是一个常见的攻击方式，并不是MOVE语言本身的设计漏洞，而是通过整数溢出漏洞实现的攻击。黑客利用了Cetus前端与MOVE语言交互时的一个缺陷——整数区的设置不当，导致整数溢出。这种问题类似于历史上的缓冲区溢出攻击，如Windows上的漏洞。具体而言，当进行运算时，如果计算结果超出了整数区的范围，前端未能进行适当的溢出检查，导致这个错误没有被及时发现并修正。

黑客发现了这个漏洞后，通过铸造大量Sui代币，将这些代币投入到流动性池中。由于池中流动性过高，黑客能够借出大量Sui或其他代币，甚至使用闪电贷等手段借入更多的资金。通过这些手段，黑客能够在流动性池中制造暴跌，从而在短时间内将借来的代币转移到其他链上清洗。这些转移的过程因为跨链桥的限制无法快速完成，黑客在转移资金时的操作受到了限制。

当Cetus团队发现这一情况后，立即停止了智能合约的运行，防止了更多的代币被铸造或转移。然而，部分资金已被转移到以太坊等链上，这些资金仍然无法被立即追回。为了进一步解决这一问题，Cetus与Sui基金会紧急协调，暂停了所有相关交易，要求各个参与节点一起停止认证这些恶意交易，阻止了更多损失的发生。

随后，Sui基金会提供了定向贷款，允许Cetus借款补偿用户损失。这一举措旨在恢复项目的信誉并确保用户不会因为此次攻击而失去资产。Cetus计划通过其未来的收入逐步偿还这些补偿款项。

Q2

这次攻击有没有可能在其他项目上复现？

会所哥指出，是否其他项目也会出现类似的攻击，这个问题很难回答，因为每个项目的设计和安全性各不相同。不过，他强调“安全无小事”的重要性，认为安全不仅仅是审计和表面的检查，更是一个常态化的机制。项目方需要进行长期的测试和调试，执行极限操作来检测潜在的漏洞。

他提到，安全机制需要动态监测，比如通过实时监测异常池子和数据，及时发现潜在的风险。一旦问题发生，应当有应急预案，可以迅速采取措施解决问题。此外，安全保障不仅仅依赖于单一的团队，还需要项目方的技术力量和其他支持团队共同协作。在这种情况下，Sui基金会就提供了强大的技术支持，确保了项目安全。

会所哥还强调，项目的安全性需要一个完整的保障机制，包括预防、应急响应、代码审计、持续的测试等，只有做到这些，才能确保系统的安全。他总结到，去中心化和安全发展观是相辅相成的，所有生态都需要有这种安全机制，以避免类似的攻击事件重演。

Q3

Sui 生态是否存在系统性风险？

会所哥指出，出现问题的并不代表整个生态不安全，类似的情况也并不意味着 Sui 不安全，或者 MOVE 语言本身存在严重问题。他解释说，出现问题是不可避免的，正如一个项目中的头部 DEX 出现问题时，整个生态也会受到关注。但关键是，问题并不意味着生态本身存在根本性的缺陷。

会所哥提到，Sui 生态中的头部项目出现问题后，其他项目如 Momentum 和 Bluefin 很快做出了有效反应，并显示出强大的适应能力。这表明，Sui 生态并没有因为一个项目的失误而动摇，反而展现了其他项目的强大恢复能力。他强调，一个头部项目可能失败，但整个生态并不会因此崩溃，因为有新的技术和项目可以迅速顶上，恢复生态的活力。

链研社指出，这次黑客攻击主要是通过溢出攻击导致的，黑客利用这一漏洞赎回了本不属于自己的 LP 资产，然后将其解锁后在市场上出售。这种攻击机制并不是 MOVE 语言本身的问题，而是由于程序的漏洞，导致黑客能够获取大量的代币并造成市场暴跌。尽管如此，链研社强调，这并不意味着整个 Sui 生态或 MOVE 语言存在根本性的问题，类似的攻击在其他生态中也时常发生。

关于如何防止类似事件再次发生，链研社提到，Sui 在这次事件中的反应是非常及时和有效的。Sui基金会迅速采取措施，冻结了被盗资产，并通过社区投票决定如何处理这些资金，以确保用户的资金得到补偿，保障项目的信任度。链研社还特别提到，Sui通过这次事件显著提升了其安全性，进一步完善了安全机制，并在之后实施了更严格的合约审计。

此外，链研社认为，这样的安全事件并不会让整个Sui生态崩溃，毕竟其他链也曾经历过类似的安全挑战，但最终都能恢复。通过这次事件，Sui不仅解决了安全问题，还增强了其项目的可信度，未来的恢复过程需要时间，但从长远来看，Sui仍然有信心继续发展。他还指出，随着多个 DEX 的竞争，包括 Momentum 和 Bluefin的加入，未来竞争将更加激烈，这对整个 Sui 生态的发展也是一种积极的推动。

Q4

Cetus事件发生后，Sui 基金会做了哪些事？

Hedda指出，Sui基金会在Cetus事件发生后做出了快速而有效的响应。由于Sui使用的是委托权益证明（DPoS）共识机制，相当于一个法庭系统，其中100多个验证者（类似法官）负责决定交易是否能够被上链。在事件发生后的当天晚上，Sui立刻启用了白名单功能，并开始忽略来自某些验证者的交易，从而防止了进一步的资金损失。此外，Sui还迅速通过社区投票机制处理被盗资金问题，决定如何恢复用户损失。

Hedda认为，Sui生态在面对这一黑客攻击时的响应速度非常快，并且展现了较强的团结性。Sui基金会不仅采取了迅速的行动，还提供了1000万美元的支持帮助Cetus渡过难关，进一步增强了对生态安全的重视。她指出，在其他链上，类似的安全事件可能需要更长时间才能解决，而Sui的迅速应对给了生态成员很大的信心。

总的来说，Hedda对Sui的应急响应表示赞赏，认为尽管这种安全问题是项目或链早期发展过程中常见的，但Sui的快速处理和对安全性的重视让她对Sui生态更加放心。

Q5

如果链上资产说冻就冻，这还叫“去中心化”吗？

花椒指出，去中心化和中心化的界限并不是绝对的，实际上这是一个复杂且多层次的议题。他提到，从不同的角度来看，去中心化和中心化各有其优缺点，具体是否去中心化，也要看具体的项目和生态系统。

花椒进一步提到，以太坊虽然在技术架构上是去中心化的，但它在某些方面依然存在中心化的表现。例如，公共RPC节点大多数通过Infra提供，且约70%的节点由大型机构控制。此外，背后的基础设施，比如AWS的使用，也显示出一定的中心化特征。相对而言，比特币链由于矿工和矿池的集中的现象，也有一定的中心化趋势。相比之下，虽然去中心化能够提供更多的去信任机制，但在实际操作中，资金追踪和追回的效率往往较低。

总的来说，花椒认为，去中心化和中心化并非完全对立，而是根据不同的情况需要找到平衡。虽然去中心化有其优势，但在某些情况下，少数中心化节点的介入可能更有助于资金的追回和项目的恢复。他认为，从资金追回的角度来看，中心化的手段在某些情况下反而更具效率。

Yueya补充道，她非常赞同花椒老师的看法，并且作为用户，她更倾向于希望在项目被黑时有人站出来保护用户的资金。她指出，Sui基金会在此次事件中做出了及时响应，确实展现了值得认可的行动。然而，Yueya也提出了一个重要的用户担忧：如果链上的资产随时都可能被冻结，用户是否还能真正掌握自己的资产？如果某个误判导致资产被锁定，这会给用户带来很大的不安。

她强调，用户并不反对安全机制，但希望链上规则能够更加透明、明确和稳定。尤其是关于何时可以动手冻结资产、如何制定标准以及由谁来决定这些标准，必须有清晰的规范和透明的流程。她认为，安全和自由并非对立，关键在于为用户提供明确的边界感，这样才能让用户在享受去中心化的自由时，依然有安全保障。

链研社指出，这次的冻结事件并非简单的冻结行为，而是基于Sui网络的共识机制和应急预案。首先，Sui的系统使用委托权益证明（DPoS）共识机制，节点在处理交易时需要达成共识。在黑客事件发生后，黑客的地址被加入黑名单，节点无法将涉及黑客的交易打包上链，导致这些资金被冻结。具体来说，基金会通过启用白名单功能，允许救援交易进行，这样的操作使得资金在被冻结的状态下，无法进一步转移。

链研社解释道，这并非简单的冻结，而是通过节点共识来实施的，且涉及到一个更复杂的多签机制。此次事件中的资产被冻结后，经过社区的投票，大部分节点同意将这些资产移至多签地址进行保管，确保资产不被滥用或转移。基金会通过借贷支持的方式帮助补充了部分资金，确保用户的LP资产得到弥补，防止了用户的损失。

此外，链研社也提到，这种机制并不意味着Sui或去中心化的核心理念出现问题，而是强调了去中心化生态中，如何平衡安全和去中心化的关系。虽然与以太坊等链相比，Sui的“冻结”行动可能让一些用户不适应，但这也表明其在保护用户资产方面的执行力。

Q6

坚定看好 Sui 的理由和分享？

Yueya指出，尽管Sui的冻结资产操作引发了争议，但从链上用户的角度来看，Sui在安全处理上的应对是有担当和能力的。用户需要的并非绝对自由，而是在出现问题时能有可靠的保障和明确的规则。Sui快速响应并采取有效措施，使得用户在面对风险时有信心，尤其是在资金安全和处理机制方面展现了强大的执行力。Yueya认为，这种安全性保障和快速反应是Sui的一个重要优势，并且强调，只有通过清晰的规则和透明的机制，用户才会放心将资金投入其中，从而为生态的长期发展奠定信任基础。

Hedda指出，最近有很多用户在使用Google邮件登录Sui时遭遇盗窃事件，因此她提醒大家要保持警觉，尤其是保护好自己的邮件账号，以防被利用进行非法操作。她还分享了Scallop团队在Cetus被盗事件后如何进行安全会议和协作的经历。团队开了四个多小时的会议，讨论如何协助Cetus并确保客户资金的安全。通过持续的跟进和防范措施，Hedda认为Sui生态在安全处理上表现出了强大的应对能力，并表示对Sui生态的前景非常看好。

会所哥指出，他看好Sui的原因有几个方面。首先，他看好整个Move生态系统，尤其是在Sui和Aptos这两个项目的发展过程中，他从16个月前便开始投资这两个项目。尽管Aptos的表现一直不尽人意，Sui的表现则使他非常满意。其次，他强调了“去中心化”的真正含义，并认为去中心化并不等于放任不管，而是要确保安全，特别是在真正的风险出现时，项目方和基金会的适当干预非常关键。他指出，Sui基金会在面对安全事件时采取了积极的措施，显示了其应对风险的能力，这也是他看好Sui的重要原因之一。最后，他认为Sui生态的项目如Momentum和Bluefin，尤其是Momentum在未来的发展潜力巨大，技术力量和资金保障也让他对Sui的前景充满信心。

花椒指出，他对Sui的看法是基于对Sui背后资本推动的信任和对其未来潜力的认可。尽管Sui和Aptos经历了内斗和风波，但他认为Sui背后的推动力与资本不同于其他项目，这使他对其未来充满信心。他也表示，尽管Sui目前尚未找出独特的核心竞争点或者标签，但他相信随着资本的助推，Sui有机会在未来找到并凸显出自己独特的竞争优势，尤其是超越Solana的可能性。虽然Defi和Cetus事件影响了信心，但他依然看好Sui，并认为那些优秀和成功的人们对Sui的看法不会错，因此他仍然保持信心。

链研社指出，Sui在区块链领域的发展潜力非常大，特别是在生态建设方面的表现令人印象深刻。Sui的技术力量被认为是目前区块链行业中最强的，并且它背后的资本推动和资源背景也无可比拟。特别是在Sui生态中的一些子项目，如Walrus和Deepbook，分别解决了去中心化存储和链上订单簿的问题，这使得Sui在多个领域的落地应用都非常具有竞争力。

链研社强调，Sui的整个生态系统是通过“母币拉动子币”的方式，形成了一个螺旋上升的效应，这对于Sui生态的长远发展是非常有利的。Walrus的目标是通过去中心化存储解决传统存储问题，而Deepbook则专注于提升链上交易体验，提供与中心化交易所相似的交易深度和订单体验。Sui通过这些实际的落地项目展现出它不仅仅是一个区块链技术平台，更是在解决Web3应用中的具体问题。

此外，链研社还提到，Sui的资源和技术背景使得它能够独立于交易所运作，这一点非常重要。Sui并不依赖于交易所的支持，而是通过内生的项目和生态扩展来推动发展，形成一个自给自足的区块链网络。这种独立性意味着，Sui不需要向交易所交出大量的代币或筹码来获得支持，而是通过社区空投和子项目的方式来获得动力，形成一个更加稳定和去中心化的生态系统。

链研社还指出，尽管Sui的表现非常好，但它尚未经历过熊市，因此在投资时需要保持谨慎。尽管Sui在多个领域展现出巨大的发展潜力，并且其技术和资本背景都非常强大，但考虑到市场的不确定性，链研社建议用户在投资Sui时应采用分批购买的策略，以更好地把握价格波动带来的机会。同时，Sui的未来表现值得期待，但仍需经历更多市场周期的考验。

结尾

在本次 X Space 活动中，嘉宾们围绕Cetus黑客事件及SUI基金会的应对措施展开了深度讨论，重点分析了去中心化与安全机制之间的博弈。从会所哥、加密韦馱到链研社、花椒、Hedda与Yueya，嘉宾们不仅详细解读了黑客攻击的技术原理及SUI基金会如何迅速冻结被盗资产，还深入探讨了去中心化信仰的脆弱性与链上安全保障的现实挑战。尽管去中心化的理想遭遇了考验，但嘉宾们一致认为，在面对安全问题时，项目方和生态的快速响应能力与应急机制至关重要。通过本次事件的反思，SUI生态在处理危机时展现出了强大的执行力与责任感，进一步加强了用户的信任基础。希望本次讨论为用户和投资者提供了深入的思考，帮助大家在未来面对类似风险时，能够更加理性地评估项目的安全性与治理机制，做出明智的决策。

文章仅作分享交流，不构成投资建议。