突发!CetusProtocol官方确认发生安全事件
今天早上刷推特看到消息。CetusProtocol官方发推称遭遇安全漏洞。部分用户资金被转移。项目方确认正在调查。
我赶紧去看了他们的公告。CetusProtocol在Solana链上运行。主要做DEX和流动性协议。这次事件影响挺大。官方说"检测到异常交易"。但没具体说金额。
说实话这类事见多了。但每次看到还是揪心。毕竟自己也经历过钱包被黑的惨痛教训。用户资产安全永远是第一位啊。
目前掌握的情况梳理
根据官方公告和链上数据。异常交易发生在今天凌晨3点左右。涉及USDC和SOL等资产。CetusProtocol说自己正在联系交易所冻结相关地址。
有意思的是。BlockSec团队也发了分析。他们发现攻击者用了重入漏洞。这个在DeFi项目中太常见了。说白了就是智能合约有缺陷。
我看链上追踪显示。资金被分批转到多个地址。典型的"洗钱"操作。巨鲸们干这种事手法很熟练。先转OTC再混币最后变现。
令人担忧的是。很多用户在Discord群里问怎么办。客服回复很慢。这反应速度真让人着急。安全事件最怕拖。越快处理损失越小。
用户现在该怎么办
如果你在CetusProtocol有资产。立即撤出所有流动性。别等官方慢慢调查。这年头FUD满天飞。等确认损失就晚了。
我建议做三件事:第一。检查钱包授权。用Revoke.cash取消可疑授权。第二。别点任何"理赔"链接。现在骗子多得很。第三。保存交易记录。后续可能要申报损失。
说白了就是保护好剩余资产。别让骗子二次收割。之前有个项目出事。用户又被钓鱼链接骗走不少。这种事见多了真生气。
DeFi安全问题到底出在哪
在我看来。这次事件暴露了行业通病。很多项目急于上线。审计走个过场。代码安全测试不充分。重入攻击都出现多少次了。还是有人栽跟头。
有趣的是。不少KOL之前吹嘘CetusProtocol多安全。现在集体沉默。这种现象在币圈很常见。项目好时蹭热度。出事就跑路。
我觉得项目方应该:1. 公开完整审计报告。2. 建立漏洞赏金计划。3. 和Chainalysis这类公司合作追查。而不是光发个模糊声明。
后续观察重点
接下来几天很关键。看项目方能否追回部分资金。交易所会不会配合冻结。用户社区的反应也很重要。如果处理不好。基本就凉了。
我个人觉得。这次损失可能不小。Solana链上gas war期间更容易出问题。合约漏洞被利用的概率更高。
话说回来。投资DeFi一定要分散风险。别把所有资产放一个平台。我自己就吃过这个亏。冷钱包被误操作弄丢私钥。教训太深刻了。
最后提醒大家。现在市场不好。更要小心风险。遇到问题别慌。先保护资产安全。这类事件我经历过好几次。冷静处理才能把损失降到最低。
记住。币圈没有绝对安全。只有相对谨慎。看到异常赶紧跑。别指望项目方全赔。说白了。自己的钱自己最该上心。
Cetus协议资金被盗的具体原因是什么?
Cetus协议在5月22日遭遇黑客攻击。
攻击者利用了智能合约中的整数溢出漏洞。
具体来说是共享数学库的checked_shlw函数有缺陷。
黑客通过这个漏洞让单个代币显示为数百万美元。
你看这就相当于系统算错了价值。
所以攻击者能用1个代币成本获取巨额流动性。
这属于高难度的数学攻击。
安全公司SlowMist分析说黑客提前两天做了准备。
他们先部署攻击钱包还测试过早期版本。
话说回来这次攻击只影响了Sui链上的资金池。
Aptos网络那一侧其实没受影响。
被盗资金追回情况怎么样了?
被盗总额约2.23亿美元。
好消息是团队立刻行动冻结了1.62亿美元。
这些钱后来被验证节点返还给协议方。
Cetus还拿到Sui基金会3000万美元贷款。
加上协议自己的700万美元现金储备。
目前流动性池已恢复到原来的85%-99%。
剩余部分会在12个月内用CETUS代币补偿。
不过仍有部分资金在黑客手里。
黑客把一些资产转到了EVM地址。
他们还尝试用混币器洗钱。
Cetus团队说攻击者拒绝白帽和解提议。
话说回来他们有信心追回剩余资产。
协议重启后怎么保障用户资金安全?
Cetus重启后推出了一系列新措施。
首先进行全面安全审计。
其次升级了实时监控系统。
还推出了新版白帽悬赏计划。
团队调整了产品功能路线图。
重点加强价格预言机的安全防护。
流动性池也做了更多安全加固。
其实这些都是DeFi领域常见的安全隐患。
Cetus承诺通过社区投票实现100%用户补偿。
无论投票结果如何恢复工作都会立即启动。
话说回来这次事件给整个行业敲响了警钟。
安全问题确实不能掉以轻心。
