Cetus黑客事件后续：治理提案高票通过，协议恢复进入执行阶段

5 月 22 日，Sui 生态去中心化交易协议 Cetus 遭遇重大安全事件，部分资金池资产被盗，并有一部分资金被冻结在攻击者地址中。事件发生后，如何处理被冻结资金成为社区关注的焦点。

在 Cetus 提交协议升级提案并获得社区广泛响应后，Sui 官方于 5 月 24 日发布声明，表示支持通过链上治理手段归还被冻结资产，并提出两项前提条件：Sui 团队将放弃投票权、保持中立，并要求 Cetus 承诺动用全部财务资源，确保用户获得全额赔付。

5 月 28 日，Cetus 官方宣布已获得包括 Sui 基金会在内的关键财务支持，具备弥补链下被盗资金缺口的能力，前提是协议升级提案顺利通过，解锁被冻结资产。

随后，Cetus 发起由社区主导的链上投票，提议通过一次有条件的协议升级操作，在无需黑客签名的前提下，将被锁定在两个攻击者地址中的资产转移至一个由 Cetus、Sui Foundation 和 OtterSec 共同托管的多签钱包中，最终用于用户赔付。Sui Foundation 则协助推动 Sui 验证者网络完成此次表决，代表其背后质押者利益参与治理。

协议升级的具体细节如下：一个特定地址将被允许在仅限的两笔预定义交易中，分别代表两个黑客地址行事（每个地址对应一笔交易）。也就是说，我们将指定两个 (hacker_address, aliased_address, TransactionDigest) 元组。对于每个元组，aliased_address 仅被允许在特定交易中充当 hacker_address 的角色。该机制仅适用于这两笔恢复交易，不能用于任何其他目的。在恢复地址最终确定后，这两笔交易将被构造并公布。

最终，于北京时间 5 月 30 日 4 时提前通过，超过 90% 的验证者和质押者投下赞成票，提案高票通过，标志着 Cetus 恢复计划进入执行阶段。Cetus 团队表示将在一周内重启协议功能。

主要工作包括：

1、协议升级：Sui 验证者将实施协议升级，将被冻结资金转移至 Cetus 多签托管账户（由 Cetus、OtterSec 以及 Sui 基金会三方共同持有私钥）。

2、CLMM 合约升级：支持紧急资金池恢复的升级已完成，当前正处于审计阶段。

3、数据恢复：我们将恢复所有资金池数据，并为每个受攻击的资金池计算流动性损失。

4、资产转换与充值：由于攻击者在事件中执行了大量兑换操作，已追回的资产已与原始形态差异甚大。我们将根据最小影响原则，采用 Cetus 主动判断的方式进行必要的资产转换，避免大规模交易或滑点过大，确保资金池高效、公平地重新平衡。

5、赔付合约：专门的赔付合约正在开发中，并将在上线前通过第三方审计。

6、相关产品模块升级：我们正在升级外围产品模块，以确保其与新 CLMM 合约的全面兼容，保障重启流程顺利。

7、协议全面重启：所有核心产品功能将恢复。受影响资金池的 LP 将重新获得其追回的流动性，剩余损失可通过赔付合约进行申领。未受影响的资金池将继续正常运作。

8、Cetus 全面恢复上线。

以下为本文首发时版本：

5 月 22 日下午，Sui 链上龙头 DEX 流动性协议 Cetus Protocol 代币 CETUS 突然发生大幅下跌，价格几乎「脚斩」，而 Cetus 上多个代币交易对也出现了急剧下跌的情况。随后，不少 KOL 在 X 上发帖表示，Cetus 协议 LP 池遭到了黑客的攻击。

据链上监测显示，Cetus 攻击者似乎控制了所有以 SUI 计价的 LP 池，截至撰稿时窃取金额已超 2.6 亿美元。目前，黑客已开始将资金转换为 USDC 并跨链至以太坊主网兑换为 ETH，已有约 6000 万枚 USDC 完成跨链转移。

黑客链上地址为：0xe28b50cef1d633ea43d3296a3f6b67ff0312a5f1a99f0af753c85b8b5de8ff06。当前该地址中最主要资产仍以 SUI 和 USDT 为主，但 CETUS、WAL、DEEP 等 Sui 生态主流代币也包含其中，可见此次黑客攻击范围极广。

22 日晚，Cetus 团队一名成员在项目 Discord 群聊中表示，Cetus 协议并未被盗，而是出现了「预言机 Bug」。但链上数据不说谎，根据统计，Cetus 协议 LP 池的损失在被盗事件发生后 1 小时内就已超 2.6 亿美元，超过协议 TVL（2.4 亿美元）及市值（1.8 亿美元）。

23 日上午，Cetus 官方在社交媒体上发布其本次被盗事件的最新进展表示，该团队已找到了漏洞的根源并修复了相关软件包，并聘请了专业的反网络犯罪组织来支持我们的资金追踪以及有关资金安全返还的谈判。目前正在与执法部门交涉，并正在安排进一步的援助。

值得注意的是，官方表示其已确认今日早些时候攻击事件的黑客所控制的以太坊钱包地址，并已就返还客户资金事宜与其进行协商。已提出以白帽黑客的名义支付未偿余额，但时间有限。如果黑客接受条款，将不再采取进一步的法律行动。

社区舆论指出团队「被盗前科」

有意思的是，在 Cetus 引发 SUI 生态暴跌之际，有不少社区成员也在推特上指出，Cetus 与此前 Solana 生态 DeFi 协议 Crema Finance 为同一团队开发，而 Crema 就曾发生过被盗事件。

2022 年 7 月 3 日，Crema Finance 同样因遭黑客使用 Solend 闪电贷攻击，LP 资金池被抽干，损失超 800 万美元。随后在 7 月 7 日，黑客在与团队协商后归还价值 760 万美元的被盗加密货币。根据双方谈判协议，黑客被允许保留 45, 455 SOL（165 万美元）作为赏金。

回看 Cetus 此次被盗事件，协议也是因攻击者控制了 LP 池而遭受损失，同时团队也是提出以白帽黑客的名义支付未偿余额的方式与黑客进行协商。目前暂无公开信息证明 Crema 与 Cetus 确为同一团队开发，但就目前看，无论是从被盗原因还是后续处理方式来看，二者的确是一致的。

Sui 官方出面冻结黑客交易，「链上审查」行为引中心化质疑

根据 DeFiLlama 数据，Cetus 此前一直是 Sui 生态的龙头 DEX 和流动性聚集地交易量占整个生态的六成以上。此次「清仓式」攻击无疑直接破坏了生态的流动性中心，换做任意一条「二线公链」来说，这都是毁灭性打击。

自去年 3 月以来，Sui 生态链上交易量一直呈总体上涨趋势，CETUS、DEEP、WAL 等生态主流代币价格也一路高歌猛进，被社区普遍视为本轮周期最具回报率潜力的公链以及「下一个 Solana」。

然而有趣的是，根据 Dune 数据显示，Sui 链上一直存在大量刷量交易（Wash Trade），生态流动性毒性（Flow Toxicity）长期接近 50%，这也是社区反馈 Sui 生态「什么东西也没有，就是价格一直涨」的部分原因。

图释：下图中圆半径显示了单一地址的总交易量，可以看到交易量最大的钱包交易频率也很高，表明可能存在洗盘交易；数据来源：Dune Analytics

不过，Sui 的「强庄」人设已然在交易员的心目中设立了许久，在过去一个月的山寨回暖行情中，Sui 也是主流公链中表现最为亮眼的一个。面对此次重大生态被盗，基金会果然不负众望，迅速地给出了回应，再次强化了自己的「强庄人设」。

22 日晚间 11 时许，Sui 官方发布公告称，为「保护 Sui 生态」，大量 Sui 网络验证者用被盗的资金确定了黑客地址并忽视了这些地址的交易。而 CETUS 团队也正在积极探索收回这些资金并将其返回社区的道路，并将很快发布事件报告。

消息一出，社区便炸开锅，「公链审查交易」成为最大争议点。许多 X 用户认为 Sui 的应对措施是对其去中心化定位的破坏，让 Sui 从一个「公链」转变为「集中式许可数据库」。

根据 Sui 官方文档，Sui 网络上的交易被拆分为仅涉及「独占对象」或同时涉及「共享对象」两类，只有涉及共享对象的交易必须进入全网共识，而纯独占对象交易可以走「直接快速路径」(direct fast path)，无需全局排序即可执行。只要网络中大于 2/3 总质押的验证者诚实，网络理论上即可同时保证安全性（不会出现双花）与活性（有效交易最终会被执行）。

在 Sui 的委托 PoS + BFT 设计下，要想实现持续、无差别的交易审查，至少需要联合控制超过 1/3 的质押投票权，单个或少数节点的审查只能造成临时性延迟，而且还很容易被视为恶意行为，在下一 epoch 被质押人「投票下线」，这也是官方文档强调的「抗审查性与开放性」。显然，Sui 基金会在此次黑客事件中至少控制了整个网络 1/3 的质押投票权。

有关「中心化公链」的争议自上一轮周期的 Solana 就已开始，也有社区成员指出，「抗审查属性」并不是当前的加密投资者最在乎的属性。在一个仍以回报率为目标与核心的世界，或许「拉盘」就是正义。