Square
Inicio
Más reciente
Destacados
Perspectivas
Trasmisión en vivo
Todo
Análisis de mercado
Temas de actualidad
Cadena de bloques
Otros
Chat
Calendario cripto
Noticias
Blog de Gate
Más
Guía para principiantes
Inicio
Más reciente
Destacados
Perspectivas
Publicar

Resiliencia del ecosistema SUI: Análisis de los mecanismos de seguridad y del potencial de crecimiento a largo plazo tras el evento Cetus

BridgeNomadvip

Creencia firme después de la crisis de seguridad: ¿Por qué SUI todavía tiene potencial de crecimiento a largo plazo?

TL;DR

  1. La vulnerabilidad de Cetus proviene de la implementación del contrato, y no del SUI o del lenguaje Move en sí:

El ataque se debe a la falta de verificación de límites en las funciones aritméticas del protocolo Cetus------una vulnerabilidad lógica causada por una máscara demasiado amplia y un desbordamiento de desplazamiento, que no está relacionada con el modelo de seguridad de recursos de la cadena SUI o el lenguaje Move. La vulnerabilidad se puede reparar con "una verificación de límites en una línea" y no afecta la seguridad central de todo el ecosistema.

  1. El valor de la "centralización razonable" en el mecanismo SUI se manifiesta en tiempos de crisis:

Aunque SUI tiene una ligera tendencia a la centralización con funciones como el ciclo de validadores DPoS y la congelación de listas negras, esto resultó ser útil en la respuesta al evento CETUS: los validadores sincronizaron rápidamente las direcciones maliciosas a la Deny List, rechazando empaquetar transacciones relacionadas, lo que resultó en la congelación inmediata de más de 160 millones de dólares en fondos. Esto es esencialmente una forma activa de "keynesianismo en la cadena", donde un control macroeconómico efectivo tiene un efecto positivo en el sistema económico.

  1. Reflexiones y recomendaciones sobre la seguridad técnica:

Matemáticas y verificación de límites: introducción de afirmaciones de límite superior e inferior para todas las operaciones aritméticas clave (como desplazamientos y multiplicaciones/divisiones), y realización de fuzzing de valores extremos y verificación formal. Además, es necesario mejorar la auditoría y la supervisión: además de la auditoría de código general, se debe agregar un equipo de auditoría matemática profesional y detección en tiempo real del comportamiento de transacciones en cadena, para detectar a tiempo divisiones anómalas o préstamos relámpago de gran cantidad;

  1. Resumen y recomendaciones del mecanismo de garantía de fondos:

En el evento de Cetus, SUI colaboró de manera eficiente con el equipo del proyecto, congelando con éxito más de 160 millones de dólares en fondos y promoviendo un plan de compensación del 100%, lo que refleja una fuerte capacidad de respuesta en la cadena y un sentido de responsabilidad ecológica. La Fundación SUI también añadió 10 millones de dólares en fondos de auditoría para fortalecer la línea de defensa de seguridad. En el futuro, se puede avanzar en el sistema de seguimiento en la cadena, herramientas de seguridad construidas en conjunto con la comunidad, seguros descentralizados y otros mecanismos para mejorar el sistema de garantía de fondos.

  1. La expansión diversificada del ecosistema SUI

SUI ha logrado una rápida transición de "nueva cadena" a "ecosistema fuerte" en menos de dos años, construyendo un mapa ecológico diversificado que abarca múltiples pistas como monedas estables, DEX, infraestructura, DePIN y juegos. La escala total de las monedas estables ha superado los 1,000 millones de dólares, proporcionando una sólida base de liquidez para los módulos DeFi; el TVL ocupa el octavo lugar a nivel mundial, la actividad de trading el quinto lugar a nivel mundial, y el tercero entre las redes que no son EVM (solo detrás de Bitcoin y Solana), lo que demuestra una fuerte participación de usuarios y capacidad de asentamiento de activos.

1. Una reacción en cadena provocada por un ataque.

El 22 de mayo de 2025, el principal protocolo AMM Cetus, desplegado en la red SUI, sufrió un ataque de hackers. Los atacantes aprovecharon una vulnerabilidad lógica relacionada con un "problema de desbordamiento de enteros" para llevar a cabo una manipulación precisa, lo que resultó en la pérdida de más de 200 millones de dólares en activos. Este incidente no solo es uno de los accidentes de seguridad más grandes en el ámbito DeFi hasta la fecha de este año, sino que también se ha convertido en el ataque hacker más destructivo desde el lanzamiento de la mainnet de SUI.

Según los datos de DefiLlama, el TVL total de SUI en la cadena cayó más de 330 millones de dólares el día del ataque, y la cantidad bloqueada en el protocolo Cetus se evaporó instantáneamente en un 84%, cayendo a 38 millones de dólares. Como consecuencia, varios tokens populares en SUI (incluidos Lofi, Sudeng, Squirtle, entre otros) cayeron entre un 76% y un 97% en solo una hora, lo que generó una amplia preocupación en el mercado sobre la seguridad de SUI y la estabilidad de su ecosistema.

Pero después de esta ola de impacto, el ecosistema de SUI ha mostrado una gran resiliencia y capacidad de recuperación. A pesar de que el incidente de Cetus provocó fluctuaciones en la confianza a corto plazo, los fondos en cadena y la actividad de los usuarios no han sufrido un deterioro continuo, sino que han impulsado un aumento significativo en la atención a la seguridad, la construcción de infraestructura y la calidad de los proyectos en todo el ecosistema.

Klein Labs analizará las razones detrás de este ataque, el mecanismo de consenso de nodos de SUI, la seguridad del lenguaje MOVE y el desarrollo ecológico de SUI, organizando el actual panorama ecológico de esta cadena de bloques que aún se encuentra en las primeras etapas de desarrollo, y explorará su potencial de desarrollo futuro.

Fe fe inquebrantable después de la crisis de seguridad: ¿por qué SUI todavía tiene potencial para un crecimiento a largo plazo?

2. Análisis de las causas del ataque del evento Cetus

2.1 Proceso de implementación del ataque

Según el análisis técnico del equipo de Slow Mist sobre el ataque a Cetus, los hackers aprovecharon con éxito una vulnerabilidad crítica de desbordamiento aritmético en el protocolo, utilizando préstamos relámpago, manipulación precisa de precios y defectos en el contrato, robando más de 200 millones de dólares en activos digitales en un corto período de tiempo. La ruta de ataque se puede dividir en las siguientes tres etapas:

①Iniciar un préstamo relámpago, manipular el precio

Los hackers primero utilizaron un intercambio relámpago con un deslizamiento máximo de 100 mil millones de haSUI, prestando una gran cantidad de fondos para manipular el precio.

El préstamo relámpago permite a los usuarios pedir prestado y devolver fondos en una sola transacción, solo pagando una tarifa, con características de alta apalancamiento, bajo riesgo y bajo costo. Los hackers aprovecharon este mecanismo para reducir el precio del mercado en un corto período de tiempo y lo controlaron con precisión en un rango muy estrecho.

Luego, el atacante se prepara para crear una posición de liquidez extremadamente estrecha, estableciendo el rango de precios con precisión entre la oferta más baja de 300,000 y el precio más alto de 300,200, con un ancho de precio de solo 1.00496621%.

A través de la forma anterior, los hackers utilizaron una cantidad suficiente de tokens y una gran liquidez para manipular con éxito el precio de haSUI. Luego, también manipularon varios tokens sin valor real.

②Agregar liquidez

El atacante crea posiciones de liquidez estrechas, declara que añade liquidez, pero debido a una vulnerabilidad en la función checked_shlw, finalmente solo recibe 1 token.

En esencia, se debe a dos razones:

  1. La configuración de la máscara es demasiado amplia: equivale a un límite de adición de liquidez extremadamente alto, lo que hace que la verificación de la entrada del usuario en el contrato sea prácticamente inútil. Los hackers establecen parámetros anómalos, construyendo entradas que siempre son menores que este límite, eludiendo así la detección de desbordamiento.

  2. Desbordamiento de datos truncado: Al realizar la operación de desplazamiento n << 64 en el valor numérico n, se produjo una truncación de datos debido a que el desplazamiento superó el ancho de bits efectivo del tipo de datos uint256 (256 bits). La parte de desbordamiento superior se descartó automáticamente, lo que llevó a que el resultado de la operación estuviera muy por debajo de lo esperado, lo que hizo que el sistema subestimara la cantidad de haSUI necesaria para el intercambio. El resultado final calculado es aproximadamente menor que 1, pero como se redondea hacia arriba, al final se obtiene igual a 1, es decir, el hacker solo necesita agregar 1 token para poder intercambiar una gran liquidez.

③Retirar liquidez

Realizar el reembolso de un préstamo relámpago, manteniendo enormes ganancias. Finalmente, retirar activos de tokens por un valor total de cientos de millones de dólares de múltiples pools de liquidez.

La situación de pérdida de fondos es grave, el ataque ha provocado el robo de los siguientes activos:

  • 12,9 millones de SUI (unos 54 millones de dólares)

  • 6000 millones de dólares USDC

  • 490万美元 Haedal Staked SUI

  • 19,500,000 dólares TOILET

  • Otros tokens como HIPPO y LOFI cayeron un 75--80%, con liquidez agotada

Fe de la firmeza después de la crisis de seguridad: ¿por qué SUI aún tiene potencial para un crecimiento a largo plazo?

2.2 Causas y características de la vulnerabilidad

La vulnerabilidad de Cetus tiene tres características:

  1. Costo de reparación extremadamente bajo: por un lado, la causa fundamental del evento Cetus fue un desliz en la biblioteca matemática de Cetus, y no un error en el mecanismo de precios del protocolo o en la arquitectura subyacente. Por otro lado, la vulnerabilidad se limita únicamente a Cetus y no tiene relación con el código de SUI. La raíz de la vulnerabilidad se encuentra en una condición de límite, y solo se necesitan modificar dos líneas de código para eliminar completamente el riesgo; una vez completada la reparación, se puede implementar de inmediato en la red principal, asegurando que la lógica de los contratos posteriores esté completa y evitando dicha vulnerabilidad.

  2. Alta ocultación: El contrato ha estado funcionando de manera estable y sin fallos durante dos años, el Cetus Protocol ha realizado múltiples auditorías, pero no se han encontrado vulnerabilidades, siendo la principal razón que la biblioteca Integer_Mate utilizada para cálculos matemáticos no fue incluida en el alcance de la auditoría.

Los hackers utilizan valores extremos para construir con precisión rangos de transacción, creando escenarios extremadamente raros de alta liquidez, lo que activa una lógica anómala, lo que indica que este tipo de problemas es difícil de detectar mediante pruebas normales. Este tipo de problemas a menudo se encuentra en áreas ciegas de la visión de las personas, por lo que ha estado latente durante mucho tiempo antes de ser descubierto.

  1. No es un problema exclusivo de Move:

Move es superior a varios lenguajes de contratos inteligentes en seguridad de recursos y verificación de tipos, e incorpora detección nativa del problema de desbordamiento de enteros en situaciones comunes. Este desbordamiento se debe a que al agregar liquidez se utilizó primero un valor incorrecto para la verificación del límite superior al calcular la cantidad de tokens requeridos, y se usó una operación de desplazamiento en lugar de la operación de multiplicación convencional. Sin embargo, si se realiza una operación convencional de suma, resta, multiplicación o división en Move, se comprobará automáticamente la situación de desbordamiento, y no se presentará este problema de truncamiento de bits altos.

Vulnerabilidades similares también han aparecido en otros lenguajes (como Solidity, Rust), e incluso son más fáciles de explotar debido a su falta de protección contra desbordamientos de enteros; antes de la actualización de la versión de Solidity, la verificación de desbordamiento era muy débil. Históricamente, han ocurrido desbordamientos de suma, desbordamientos de resta, desbordamientos de multiplicación, etc., y la causa directa es que el resultado de la operación excedió el rango. Por ejemplo, las vulnerabilidades en los contratos inteligentes BEC y SMT del lenguaje Solidity se llevaron a cabo mediante parámetros cuidadosamente construidos que eludieron las declaraciones de verificación en el contrato, logrando ataques mediante transferencias excesivas.

Fe fe firme después de la crisis de seguridad: ¿por qué SUI todavía tiene potencial de crecimiento a largo plazo?

3. El mecanismo de consenso de SUI

3.1 Introducción al mecanismo de consenso SUI

Resumen:

SUI adopta un marco de Prueba de Participación Delegada (DeleGated Proof of Stake, abreviado DPoS). Aunque el mecanismo DPoS puede aumentar la capacidad de transacción, no puede proporcionar un alto grado de descentralización como PoW (Prueba de Trabajo). Por lo tanto, el grado de descentralización de SUI es relativamente bajo y el umbral de gobernanza es relativamente alto, lo que dificulta que los usuarios comunes influyan directamente en la gobernanza de la red.

  • Número promedio de validadores: 106

  • Periodo promedio de Epoch: 24 horas

Mecanismo de flujo:

  • Delegación de derechos: los usuarios comunes no necesitan ejecutar nodos por su cuenta, solo necesitan apostar SUI y delegarlo a los validadores candidatos para participar en la garantía de seguridad de la red y en la distribución de recompensas. Este mecanismo puede reducir la barrera de entrada para los usuarios comunes, permitiéndoles participar en el consenso de la red a través de la "contratación" de validadores de confianza. Esta también es una gran ventaja del DPoS en comparación con el PoS tradicional.

  • Representa el ciclo de bloques: un pequeño número de validadores seleccionados producen bloques en un orden fijo o aleatorio, lo que mejora la velocidad de confirmación y aumenta el TPS.

  • Elección dinámica: Al final de cada período de conteo de votos, se realiza una rotación dinámica y se reelige el conjunto de Validadores según el peso del voto, garantizando la vitalidad de los nodos, la consistencia de intereses y la descentralización.

Ventajas de DPoS:

  • Alta eficiencia: Debido a que el número de nodos de bloque es controlable, la red puede completar la confirmación en milisegundos, satisfaciendo la alta demanda de TPS.

  • Bajo costo: Menos nodos participan en el consenso, lo que reduce significativamente el ancho de banda de red y los recursos computacionales necesarios para la sincronización de información y la agregación de firmas. Esto disminuye los costos de hardware y operación, así como la demanda de potencia de cálculo, lo que resulta en costos más bajos. Finalmente, se logra una tarifa de usuario más baja.

  • Alta seguridad: el mecanismo de staking y delegación amplifica los costos y riesgos de ataque; junto con el mecanismo de confiscación en cadena, se inhiben eficazmente los comportamientos maliciosos.

Al mismo tiempo, en el mecanismo de consenso de SUI, se utiliza un algoritmo basado en BFT (tolerancia a fallos bizantinos), que requiere que más de dos tercios de los votos de los validadores estén de acuerdo para confirmar una transacción. Este mecanismo asegura que, incluso si unos pocos nodos actúan de manera maliciosa, la red puede seguir funcionando de manera segura y eficiente. Cualquier actualización o decisión importante también requiere más de dos tercios de los votos para ser implementada.

En esencia, DPoS es una solución de compromiso para el triángulo imposible, que busca un equilibrio entre la descentralización y la eficiencia. DPoS elige reducir la cantidad de nodos de validación activos a cambio de un mayor rendimiento en el "triángulo imposible" de seguridad-descentralización-escalabilidad.

Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
  • Recompensa
  • 5
  • Compartir
Comentar
0/400
Rugman_Walkingvip
· 07-19 04:16
¿El código tiene errores y hay que culpar a la Cadena de bloques? No eches la culpa en el lugar equivocado.
Ver originalesResponder0
DuckFluffvip
· 07-19 04:14
Tsk, ya se ha arreglado este bug, yo seguiré trabajando.
Ver originalesResponder0
DefiEngineerJackvip
· 07-19 04:09
*suspiro* hablando técnicamente, una verificación de límites lo habría prevenido. aficionados.
Ver originalesResponder0
TokenTherapistvip
· 07-19 04:00
No me engañes, el fundamento de SUI es muy estable.
Ver originalesResponder0
ImaginaryWhalevip
· 07-19 03:55
He estado siguiendo la tendencia en Sui. Si hay algo, simplemente me rendiré.
Ver originalesResponder0
  • Anclado
Mapa del sitio
Opere con criptomonedas en cualquier momento y lugar
qrCode
Escanee para descargar la aplicación Gate
Comunidad
Español
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)
    • Acerca de nosotrosEmpleoNewsroomSociosAcuerdo de usuarioAdvertencia de riesgosPolítica de privacidadPolítica de cookiesKit de mediosPrueba de reservas del 100 %LicenciaSeguridadGateToken (GT)Gate ChainEventos de GateAplicación de la leyCumbresGate Ventures
    Comprar criptomonedasVender criptomonedasTrading de spotTrading de futurosMargenTokens apalancadosNFTGate PayGate LifeTarjeta de regaloGate OTCGate CharityTienda Gate
    Ventajas VIPInstitucionalComentarios de los usuariosAnuncioTarifasAyudaEnviar una solicitudListadoSeguridad de los contratos inteligentesDesarrolladoresBúsqueda de verificaciónSolicitud de comerciante P2PAplicación P2P cheque azulPrograma de afiliadosCalendario criptoSolución de interoperabilidad de
    Gate LearnCursos de criptomonedasGlosario sobre criptomonedasPrecios de criptomonedasMacrodatosReducción a la mitad del bitcoinCrypto Wiki
    Gate © 2013-2025.