作者:Klein Labs、 Aquarius Capital

TL;DR

1. Cetus 漏洞源于合约实现,而非 SUI 或 Move 语言本身:

本次攻击根本在于 Cetus 协议中算术函数的边界校验缺失——掩码过宽与位移溢出导致的逻辑漏洞,与 SUI 链或 Move 语言的资源安全模型无关。漏洞可用「一行边界检查」修复,且不影响整个生态的核心安全。

2. SUI 机制中的「合理中心化」在危机中显现价值:

虽然 SUI 采用 DPoS 验证者轮次和黑名单冻结等功能存有轻度中心化倾向,但这恰恰在 CETUS 事件响应中派上用场:验证者快速将恶意地址同步至 Deny List、拒绝打包相关交易,实现了逾 1.6 亿美元资金的即时冻结。这本质上一种积极的「链上凯恩斯主义」,有效的宏观调控对经济系统起到了正面作用。

3. 技术安全的反思与建议:

数学与边界校验:对所有关键算术运算(如位移、乘除)引入上下限断言,并进行极端值 fuzzing 和形式化验证。此外,需要增强审计与监控:在一般代码审计之外,增加专业数学审计团队和实时链上交易行为检测,及早捕捉异常拆分或大额闪电贷;

4. 资金保障机制的总结与建议:

在 Cetus 事件中,SUI 与项目方高效协同,成功冻结超 1.6 亿美元资金,并推动 100% 赔付方案,体现出强大的链上应变力与生态责任感。SUI 基金会也追加 1000 万美元审计资金,强化安全防线。未来可进一步推进链上追踪系统、社区共建安全工具、去中心化保险等机制,完善资金保障体系。

5. SUI 生态的多元扩张

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。