Cetus Token koers

inleiding Deze gebeurtenis is een overwinning voor het kapitaal, niet voor de gebruikers, en het is een achteruitgang voor de ontwikkeling van de industrie. Bitcoin aan de linkerkant, Sui aan de rechterkant, en elke beweging in de industrie die de decentralisatie opschudt, brengt een sterker geloof in Bitcoin met zich mee. De wereld heeft niet alleen een betere wereldwijde financiële infrastructuur nodig, maar ook een groep mensen die altijd vrijheid nodig zullen hebben. Ooit was de alliantieketen welvarender dan de openbare keten, omdat deze voldeed aan de regelgevende behoeften van die tijd, en nu betekent de achteruitgang van de alliantie eigenlijk dat deze gewoon aan deze vraag voldoet, niet aan de behoeften van echte gebruikers. 1. Achtergrond van het evenement Op 22 mei 2025 werd Cetus, de grootste gedecentraliseerde beurs (DEX) in het Sui public chain-ecosysteem, aangevallen door hackers, wat een scherpe daling van de liquiditeit en de ineenstorting van meerdere handelsparen veroorzaakte, wat resulteerde in een verlies van meer dan $220 miljoen. Op het moment van schrijven is de tijdlijn als volgt: Op de ochtend van 22 mei vielen hackers Cetus aan om $ 230 miljoen te extraheren, en Cetus schortte het contract met spoed op en deed een aankondiging In de middag van 22 mei maakte de hacker ongeveer $ 60 miljoen over de hele keten, en de resterende $ 162 miljoen bevond zich nog steeds in het Sui on-chain-adres, en het Sui-validatorknooppunt ondernam snel actie om het hackeradres toe te voegen aan de "Deny List" en de fondsen te bevriezen Op de avond van 22 mei tweette Sui CPO @emanabio dat de fondsen zijn bevroren en binnenkort van start gaan Op 23 mei begon Cetus met het oplossen van bugs en het bijwerken van contracten Op 24 mei opende Sui een open source PR, waarin werd uitgelegd dat het geld zal worden teruggevorderd via aliasing en whitelist Op 26 mei startte Sui een on-chain governance-stemming waarin werd voorgesteld om een protocolupgrade uit te voeren en de activa van de hacker over te dragen naar een geblokkeerd adres Op 29 mei werden de stemresultaten bekendgemaakt en werd meer dan 2/3 van de validatorknooppunten gewogen om te ondersteunen; De protocolupgrade is klaar om te worden uitgevoerd Van 30 mei tot begin juni werd de protocolupgrade van kracht, werd de gespecificeerde transactiehash uitgevoerd en werden de gehackte activa "legaal overgedragen" 2. Aanvalsprincipe Het principe van gebeurtenissen is gerelateerd, en er zijn veel uitspraken gedaan in de branche, dus hier is slechts een overzicht van de kernprincipes: Vanuit het perspectief van de aanvalsstroom: De aanvaller gebruikte eerst een flitslening om ongeveer 10.024.321,28 haSUI uit te lenen, wat de prijs van de handelspool onmiddellijk verlaagde 99.90%。 Deze enorme verkooporder bracht de koersdoel pool omlaag van ongeveer 1,8956×10^19 naar 1,8425×10^19, bijna een dieptepunt. Vervolgens creëert de aanvaller een liquiditeitspositie op Cetus met een extreem smal bereik (vink de ondergrens van 300000 aan, de bovengrens van 300200 en de breedte van het interval is slechts 1,00496621%). Zo'n smal interval versterkt de impact van latere rekenfouten op het aantal benodigde tokens. Het kernprincipe van de aanval: Er is een kwetsbaarheid voor integer overflow in de get_delta_a functie die Cetus gebruikt om het vereiste aantal tokens te berekenen. De aanvaller verklaarde bewust dat hij een enorme hoeveelheid liquiditeit wilde toevoegen (ongeveer 10^37 eenheden), maar in feite stopte hij slechts 1 token in het contract. Door de verkeerde overflowdetectieconditie van de checked_shlw werd het contract tijdens de linkse verschuiving berekening op een hoog niveau afgekapt, waardoor het systeem de benodigde hoeveelheid haSUI ernstig onderschatte en zo een enorme hoeveelheid liquiditeit uitwisselde tegen zeer lage kosten. Technisch gezien komt de bovenstaande kwetsbaarheid voort uit het feit dat Cetus onjuiste maskers en beoordelingsvoorwaarden gebruikt in het Move smart contract, waardoor elke waarde kleiner dan 0xffffffffffffffff << 192 detectie kan omzeilen; Nadat 64 bits naar links zijn verplaatst, worden de gegevens op hoog niveau afgekapt en brengt het systeem slechts een zeer klein aantal tokens in rekening om te bedenken dat het veel liquiditeit heeft gewonnen. Na het incident werden 2 officiële operaties afgeleid: "Bevriezing" versus "Herstel", wat uit twee fasen bestaat: De bevriezingsfase wordt voltooid door Deny List + node consensus; In de terugvorderingsfase is een on-chain protocolupgrade + stemmen door de gemeenschap + uitvoering van aangewezen transacties vereist om de zwarte lijst te omzeilen. 3. Het bevriezingsmechanisme van Sui Er is een speciaal Deny List-mechanisme in de Sui-keten, dat de bevriezing van hacktegoeden realiseert. Niet alleen dat, maar de tokenstandaard van Sui heeft ook een "gereguleerd token"-model met een ingebouwde bevriezingsfunctie. Deze noodbevriezing maakt gebruik van deze functie: validatorknooppunten voegen snel adressen toe die verband houden met gestolen geld in hun lokale configuratiebestanden. Theoretisch kan elke node-operator de TransactionDenyConfig wijzigen om de zwarte lijst zelf bij te werken, maar om de consistentie van het netwerk te garanderen, heeft de Sui Foundation de coördinatie gecentraliseerd als de oorspronkelijke configuratie-uitgever. De Foundation heeft eerst officieel een configuratie-update uitgebracht met het adres van de hacker, en de validator trad synchroon in werking volgens de standaardconfiguratie, zodat het geld van de hacker tijdelijk werd "verzegeld" op de keten, die eigenlijk een hoge mate van centralisatie achter zich heeft Om de slachtoffers te redden van de bevroren tegoeden, lanceerde het Sui-team onmiddellijk een patch voor het Whitelist-mechanisme. Dit is voor latere terugboekingen van fondsen. Legitieme transacties kunnen van tevoren worden geconstrueerd en op de witte lijst worden geregistreerd, zelfs als het adres van het fonds nog op de zwarte lijst staat, kan dit worden afgedwongen. Met deze nieuwe functie kunnen transaction_allow_list_skip_all_checks specifieke transacties vooraf worden toegevoegd aan de "Censor Freelist", waardoor ze alle beveiligingscontroles kunnen overslaan, inclusief handtekeningen, machtigingen, zwarte lijsten en meer. Het is belangrijk op te merken dat patches op de witte lijst niet direct activa van hackers stelen; Het geeft alleen bepaalde transacties de mogelijkheid om de bevriezing te omzeilen, en de overdracht van echte activa moet nog steeds worden gedaan met een wettelijke handtekening of een extra systeemmachtigingsmodule. In feite vindt het reguliere bevriezingsschema in de industrie vaak plaats op het niveau van het tokencontract en wordt het gecontroleerd door de uitgever voor meerdere handtekeningen. Als we de USDT nemen die door Tether is uitgegeven als voorbeeld, heeft het contract een ingebouwde zwarte lijstfunctie en kan het uitgevende bedrijf het aanstootgevende adres bevriezen zodat het geen USDT kan overdragen. Deze regeling vereist dat multisig een bevriezingsverzoek op de keten initieert, en de multisig wordt overeengekomen voordat deze daadwerkelijk wordt uitgevoerd, dus er is een uitvoeringsvertraging. Hoewel het Tether-bevriezingsmechanisme effectief is, tonen statistieken aan dat er vaak een "vensterperiode" is in het multisig-proces, waardoor er kansen ontstaan voor criminelen. De bevriezing van Sui daarentegen vindt plaats op het niveau van het onderliggende protocol, wordt gezamenlijk beheerd door validatorknooppunten en wordt veel sneller uitgevoerd dan normale contractaanroepen. In dit model betekent het, om snel genoeg te zijn, dat het beheer van deze validator-nodes zelf zeer uniform is. 3. Sui's implementatieprincipe van "transfer recycling" Wat nog opvallender is, is dat Sui niet alleen de activa van de hack bevroor, maar ook van plan was om het gestolen geld "over te dragen en terug te krijgen" door middel van een on-chain upgrade. Op 27 mei stelde Cetus een stemming van de gemeenschap voor om het protocol te upgraden om bevroren geld naar een multisig-bewaarportemonnee te sturen. De Sui Foundation startte vervolgens een on-chain governance-stemming. Op 29 mei werden de resultaten van de stemming bekendgemaakt en ongeveer 90,9% van de validators steunde de regeling. Sui heeft officieel aangekondigd dat zodra het voorstel is goedgekeurd, "alle fondsen die op de twee hackeraccounts zijn bevroren, zullen worden teruggezet naar een multisig-portemonnee zonder de handtekening van de hacker". Het is niet nodig dat een hacker zich aanmeldt, wat zo'n verschil is dat er nog nooit zo'n oplossing is geweest in de blockchain-industrie. Zoals te zien is in Sui's officiële GitHub PR, introduceert het protocol een adresaliasingmechanisme. De upgrade omvat het vooraf specificeren van aliasregels in ProtocolConfig, zodat bepaalde toegestane transacties kunnen worden behandeld alsof de legitieme handtekening is verzonden vanaf een gehackt account. In het bijzonder is een hashlist van uit te voeren reddingstransacties gekoppeld aan een bestemmingsadres (d.w.z. een hackeradres), en elke uitvoerder die een samenvatting van deze vaste transacties ondertekent en publiceert, wordt geacht de transactie te hebben geïnitieerd als een geldige eigenaar van het hackeradres. Voor deze specifieke transacties omzeilt het validatorknooppuntsysteem de controle op de weigeringslijst. Op codeniveau voegt Sui het volgende oordeel toe aan de logica van de transactievalidatie: wanneer een transactie wordt geblokkeerd door de zwarte lijst, herhaalt het systeem via de ondertekenaar om te controleren of protocol_config.is_tx_allowed_via_aliasing (afzender, ondertekenaar, tx_digest) waar is. Zolang een ondertekenaar voldoet aan de aliasregel, dat wil zeggen dat de transactie mag worden doorgegeven, wordt de vorige onderscheppingsfout genegeerd en wordt de normale uitvoering van het pakket voortgezet. 4. Standpunt 160 miljoen, uit elkaar scheuren is het diepste onderliggende geloof in de industrie Vanuit het persoonlijke oogpunt van de auteur kan dit een storm zijn die snel voorbij zal gaan, maar dit model zal niet worden vergeten, omdat het de basis van de industrie ondermijnt en de traditionele consensus doorbreekt dat er niet met blockchain kan worden geknoeid onder dezelfde set grootboeken. Bij blockchain-ontwerp is het contract de wet en de code de scheidsrechter. Maar in dit geval faalde de code, het bestuur kwam tussenbeide en de macht overschreed het patroon en vormde een patroon van stemgedrag dat de resultaten van de code beheerste". Dit komt omdat Sui's directe toe-eigening van transacties heel anders is dan de omgang met hackers op reguliere blockchains. Dit is niet de eerste keer dat er met consensus wordt geknoeid, maar het is wel de meest stille keer geweest Historisch: Ethereum's 2016 Het DAO-incident gebruikte een hard fork om overdrachten terug te draaien om verliezen te dekken, maar deze beslissing leidde tot de splitsing tussen Ethereum en Ethereum Classic, die controversieel was, maar uiteindelijk vormden verschillende groepen verschillende consensusovertuigingen. De Bitcoin-gemeenschap heeft soortgelijke technische uitdagingen ondervonden: de kwetsbaarheid voor waardeoverloop in 2010 werd met spoed verholpen door ontwikkelaars en de consensusregels werden geüpgraded, waardoor zo'n 18,4 miljard illegaal gegenereerde bitcoins volledig werden gewist. Het is hetzelfde hard fork-model, waarbij het grootboek wordt teruggedraaid naar het punt waar het zich vóór het probleem bevond, en dan kan de gebruiker nog steeds beslissen welk grootboeksysteem hij onder het probleem wil blijven gebruiken. Vergeleken met de DAO hard fork koos Sui er niet voor om de keten te splitsen, maar richtte zich nauwkeurig op deze gebeurtenis door het protocol te upgraden en aliassen te configureren. Daarbij houdt Sui de ketencontinuïteit en het grootste deel van de consensusregels ongewijzigd, maar laat het ook zien dat het onderliggende protocol gebruikt kan worden om gerichte "reddingsoperaties" uit te voeren. Het probleem is dat historisch gezien de "gevorkte terugdraaiing" de keuze van overtuigingen van de gebruiker is; Sui's "protocolcorrectie" is dat de keten de beslissing voor je neemt. Niet uw sleutel, niet uw munt? Ik ben bang van niet meer. Op de lange termijn betekent dit dat het idee van "Niet uw sleutels, niet uw munten" wordt ontmanteld op de Sui-keten: zelfs als de privésleutel van de gebruiker intact is, kan het netwerk nog steeds de stroom van activa blokkeren en activa omleiden door middel van wijzigingen in de collectieve arbeidsovereenkomst. Als dit in de toekomst een precedent wordt voor blockchain om te reageren op grootschalige beveiligingsincidenten, wordt het zelfs beschouwd als een praktijk die opnieuw kan worden gevolgd. "Wanneer een keten regels voor gerechtigheid kan overtreden, heeft het een precedent voor het overtreden van regels." Als er eenmaal een succes is van "geldroof voor het algemeen welzijn", kan het de volgende keer een operatie zijn in de "morele ambiguïteitszone". Dus wat gebeurt er? De hacker heeft het geld van de gebruiker gestolen, dus kan de menigte hem van zijn geld beroven? Stemmen op basis van wiens geld meer (pos) of meer mensen is? Als degene met meer geld wint, dan zal de laatste producent van Liu Cixin snel komen, en als degene met meer mensen wint, dan zal het groepsgepeupel ook luidruchtig zijn. Onder het traditionele systeem is het heel normaal dat illegale winsten onbeschermd zijn, en bevriezing en overdracht zijn de routinematige operaties van traditionele banken. Maar het feit dat dit technisch niet mogelijk is, is niet de basis van de ontwikkeling van de blockchain-industrie. Nu blijft de stok van de naleving van de industrie gisten, vandaag kun je bevriezen voor hackers en het rekeningsaldo wijzigen, dan kun je morgen willekeurige wijzigingen aanbrengen voor geografische factoren en tegenstrijdige factoren. Als de keten onderdeel wordt van de regionale tool. De waarde van die industrie is sterk verminderd, en in het beste geval is het een moeilijker financieel systeem. Dit is ook de reden waarom de auteur stevig in de branche zit: "Blockchain is niet waardevol omdat het niet kan worden bevroren, maar omdat zelfs als je het haat, het niet voor je zal veranderen." ” Trends in de regelgeving, kan de keten zijn ziel behouden? Ooit was de alliantieketen welvarender dan de openbare keten, omdat deze voldeed aan de regelgevende behoeften van die tijd, en nu betekent de achteruitgang van de alliantie eigenlijk dat deze gewoon aan deze vraag voldoet, niet aan de behoeften van echte gebruikers. Vanuit het perspectief van de ontwikkeling van de industrie Efficiënte centralisatie", is het een noodzakelijke fase in de ontwikkeling van blockchain? Als het uiteindelijke doel van decentralisatie is om de belangen van gebruikers te beschermen, kunnen we centralisatie dan tolereren als een middel tot transitie? ” Het woord 'democratie', in de context van on-chain governance, is eigenlijk symbolisch gewogen. Dus als een hacker een grote hoeveelheid SUI heeft (of op een dag wordt de DAO gehackt en controleert de hacker de stemmen), kunnen ze dan ook "legaal stemmen om zichzelf wit te wassen"? Uiteindelijk is de waarde van blockchain niet of het kan worden bevroren, maar of de groep ervoor kiest om dit niet te doen, zelfs als het de mogelijkheid heeft om te bevriezen. De toekomst van een keten wordt niet bepaald door de technische architectuur, maar door de reeks overtuigingen die het kiest te beschermen.

Auteur: Veertien Jun   Deze gebeurtenis is een overwinning voor het kapitaal, niet voor de gebruikers, en het is een achteruitgang voor de ontwikkeling van de industrie. Bitcoin aan de linkerkant, Sui aan de rechterkant, en elke beweging in de industrie die de decentralisatie opschudt, brengt een sterker geloof in Bitcoin met zich mee. De wereld heeft niet alleen een betere wereldwijde financiële infrastructuur nodig, maar ook een groep mensen die altijd vrijheid nodig zullen hebben. Ooit was de alliantieketen welvarender dan de openbare keten, omdat deze voldeed aan de regelgevende behoeften van die tijd, en nu betekent de achteruitgang van de alliantie eigenlijk dat deze gewoon aan deze vraag voldoet, niet aan de behoeften van echte gebruikers. 1. Achtergrond van het evenement Op 22 mei 2025 werd Cetus, de grootste gedecentraliseerde beurs (DEX) in het Sui public chain-ecosysteem, aangevallen door hackers, wat een scherpe daling van de liquiditeit en de ineenstorting van meerdere handelsparen veroorzaakte, wat resulteerde in een verlies van meer dan $220 miljoen. Op het moment van schrijven is de tijdlijn als volgt: Op de ochtend van 22 mei vielen hackers Cetus aan om $ 230 miljoen te extraheren, en Cetus schortte het contract met spoed op en deed een aankondiging In de middag van 22 mei maakte de hacker ongeveer $ 60 miljoen over de hele keten, en de resterende $ 162 miljoen bevond zich nog steeds in het Sui on-chain-adres, en het Sui-validatorknooppunt ondernam snel actie om het adres van de hacker toe te voegen aan de "Deny List" en de fondsen te bevriezen Op de avond van 22 mei tweette Sui CPO @emanabio dat de fondsen zijn bevroren en dat de terugkeer binnenkort zal beginnen Op 23 mei begon Cetus met het oplossen van kwetsbaarheden en het bijwerken van contracten Op 24 mei opende Sui de PR en legde uit dat het op het punt stond geld te recyclen via aliasing en whitelist Op 26 mei startte Sui een on-chain governance-stemming waarin werd voorgesteld om een protocolupgrade uit te voeren en de gehackte activa over te dragen naar een geblokkeerd adres Op 29 mei werden de stemresultaten bekendgemaakt en werd meer dan 2/3 van de validatorknooppunten gewogen om te ondersteunen; De protocolupgrade is klaar om te worden uitgevoerd Van 30 mei tot begin juni werd de protocolupgrade van kracht, werd de gespecificeerde transactiehash uitgevoerd en werden de gehackte activa "legaal overgedragen" 2. Aanvalsprincipe Het principe van gebeurtenissen is gerelateerd, en er zijn veel uitspraken gedaan in de branche, dus hier is slechts een overzicht van de kernprincipes: Vanuit het perspectief van de aanvalsstroom: De aanvaller gebruikte eerst een flitslening om ongeveer 10.024.321,28 haSUI uit te lenen, wat de prijs van de handelspool onmiddellijk verlaagde 99.90%。 Deze enorme verkooporder bracht de koersdoel pool omlaag van ongeveer 1,8956×10^19 naar 1,8425×10^19, bijna een dieptepunt. Vervolgens creëert de aanvaller een liquiditeitspositie op Cetus met een extreem smal bereik (vink ondergrens van 300000 aan, bovengrens van 300200 en intervalbreedte van slechts 1.00496621%). Zo'n smal interval versterkt de impact van latere rekenfouten op het aantal benodigde tokens. Het kernprincipe van de aanval: Er is een kwetsbaarheid voor integer overflow in de get_delta_a functie die Cetus gebruikt om het vereiste aantal tokens te berekenen. De aanvaller verklaarde bewust dat hij een enorme hoeveelheid liquiditeit wilde toevoegen (ongeveer 10^37 eenheden), maar in feite stopte hij slechts 1 token in het contract. Door de verkeerde overflow-detectievoorwaarde van checked_shlw werd het contract tijdens de links-shift-berekening op een hoog niveau afgekapt, waardoor het systeem de benodigde hoeveelheid haSUI ernstig onderschatte, waardoor een enorme hoeveelheid liquiditeit werd uitgewisseld tegen zeer lage kosten. Technisch gezien komt de bovenstaande kwetsbaarheid voort uit het feit dat Cetus onjuiste maskers en beoordelingsvoorwaarden gebruikt in het Move smart contract, waardoor elke waarde kleiner dan 0xffffffffffffffff << 192 detectie kan omzeilen; Nadat 64 bits naar links zijn verplaatst, worden de gegevens op hoog niveau afgekapt en brengt het systeem slechts een zeer klein aantal tokens in rekening om te bedenken dat het veel liquiditeit heeft gewonnen. Na het incident werden 2 officiële operaties afgeleid: "Bevriezing" versus "Herstel", wat uit twee fasen bestaat: De bevriezingsfase wordt voltooid door Deny List + node consensus; In de terugvorderingsfase is een on-chain protocolupgrade + stemmen door de gemeenschap + uitvoering van aangewezen transacties vereist om de zwarte lijst te omzeilen. 3. Het bevriezingsmechanisme van Sui Er is een speciaal Deny List-mechanisme in de Sui-keten zelf, dat de bevriezing van hacktegoeden realiseert. Niet alleen dat, maar de tokenstandaard van Sui heeft ook een "gereguleerd token"-model met een ingebouwde bevriezingsfunctie. Deze noodbevriezing maakt gebruik van deze functie: validatorknooppunten voegen snel adressen toe die verband houden met gestolen geld in hun lokale configuratiebestanden. Theoretisch kan elke node-operator de TransactionDenyConfig wijzigen om de zwarte lijst zelf bij te werken, maar om de consistentie van het netwerk te garanderen, heeft de Sui Foundation de coördinatie gecentraliseerd als de oorspronkelijke configuratie-uitgever. De Foundation heeft eerst officieel een configuratie-update uitgebracht met het adres van de hacker, en de validator trad synchroon in werking volgens de standaardconfiguratie, zodat het geld van de hacker tijdelijk werd "verzegeld" op de keten, die eigenlijk een hoge mate van centralisatie achter zich heeft Om de slachtoffers te redden van de bevroren tegoeden, lanceerde het Sui-team onmiddellijk een patch voor het Whitelist-mechanisme. Dit is voor latere terugboekingen van fondsen. Legitieme transacties kunnen van tevoren worden geconstrueerd en op de witte lijst worden geregistreerd, zelfs als het adres van het fonds nog op de zwarte lijst staat, kan dit worden afgedwongen. Met deze nieuwe functie kunnen transaction_allow_list_skip_all_checks specifieke transacties vooraf worden toegevoegd aan de "checklist", waardoor ze alle veiligheidscontroles kunnen overslaan, inclusief handtekeningen, machtigingen, zwarte lijsten, enz. Het is belangrijk op te merken dat patches op de witte lijst niet direct activa van hackers stelen; Het geeft alleen bepaalde transacties de mogelijkheid om de bevriezing te omzeilen, en de overdracht van echte activa moet nog steeds worden gedaan met een wettelijke handtekening of een extra systeemmachtigingsmodule. In feite vindt het reguliere bevriezingsschema in de industrie vaak plaats op het niveau van het tokencontract en wordt het gecontroleerd door de uitgever voor meerdere handtekeningen. Als we de USDT nemen die door Tether is uitgegeven als voorbeeld, heeft het contract een ingebouwde zwarte lijstfunctie en kan het uitgevende bedrijf het aanstootgevende adres bevriezen zodat het geen USDT kan overdragen. Deze regeling vereist dat multisig een bevriezingsverzoek op de keten initieert, en de multisig wordt overeengekomen voordat deze daadwerkelijk wordt uitgevoerd, dus er is een uitvoeringsvertraging. Hoewel het Tether-bevriezingsmechanisme effectief is, tonen statistieken aan dat er vaak een "vensterperiode" is in het proces met meerdere handtekeningen, waardoor criminelen kansen hebben om hiervan te profiteren. De bevriezing van Sui daarentegen vindt plaats op het niveau van het onderliggende protocol, wordt gezamenlijk beheerd door validatorknooppunten en wordt veel sneller uitgevoerd dan normale contractaanroepen. In dit model betekent het, om snel genoeg te zijn, dat het beheer van deze validator-nodes zelf zeer uniform is. 3. Sui's implementatieprincipe van "transfer recycling" Wat nog verbazingwekkender is, is dat Sui niet alleen de activa van de hacker bevroor, maar ook van plan was om het gestolen geld "over te dragen en terug te krijgen" door middel van on-chain upgrades. Op 27 mei stelde Cetus een stemming van de gemeenschap voor om het protocol te upgraden om bevroren geld naar een multisig-bewaarportemonnee te sturen. De Sui Foundation startte vervolgens een on-chain governance-stemming. Op 29 mei werden de resultaten van de stemming bekendgemaakt en ongeveer 90,9% van de validators steunde de regeling. Sui heeft officieel aangekondigd dat zodra het voorstel is goedgekeurd, "alle fondsen die op de twee hackeraccounts zijn bevroren, zullen worden teruggezet naar een multisig-portemonnee zonder de handtekening van de hacker". Het is niet nodig dat een hacker zich aanmeldt, wat zo'n verschil is dat er nog nooit zo'n oplossing is geweest in de blockchain-industrie. Zoals te zien is in Sui's officiële GitHub PR, introduceert het protocol een adresaliasingmechanisme. De upgrade omvat het vooraf specificeren van aliasregels in ProtocolConfig, zodat bepaalde toegestane transacties kunnen worden behandeld alsof de legitieme handtekening is verzonden vanaf een gehackt account. In het bijzonder is een hashlist van uit te voeren reddingstransacties gekoppeld aan een bestemmingsadres (d.w.z. een hackeradres), en elke uitvoerder die een samenvatting van deze vaste transacties ondertekent en publiceert, wordt geacht de transactie te hebben geïnitieerd als een geldige eigenaar van het hackeradres. Voor deze specifieke transacties omzeilt het validatorknooppuntsysteem de controle op de weigeringslijst. Op codeniveau voegt Sui het volgende oordeel toe aan de logica van de transactievalidatie: wanneer een transactie wordt geblokkeerd door de zwarte lijst, herhaalt het systeem via de ondertekenaar om te controleren of protocol_config.is_tx_allowed_via_aliasing (afzender, ondertekenaar, tx_digest) waar is. Zolang een ondertekenaar voldoet aan de aliasregel, dat wil zeggen dat de transactie mag worden doorgegeven, wordt de vorige onderscheppingsfout genegeerd en wordt de normale uitvoering van het pakket voortgezet. 4. Standpunt 160 miljoen, uit elkaar scheuren is het diepste onderliggende geloof in de industrie Vanuit het persoonlijke oogpunt van de auteur kan dit een storm zijn die snel voorbij zal gaan, maar dit model zal niet worden vergeten, omdat het de basis van de industrie ondermijnt en de traditionele consensus doorbreekt dat er niet met blockchain kan worden geknoeid onder dezelfde set grootboeken. Bij blockchain-ontwerp is het contract de wet en de code de scheidsrechter. Maar in dit geval faalde de code, het bestuur kwam tussenbeide en de macht overschreed het patroon, waardoor een patroon van stemgedrag ontstond bij het beoordelen van coderesultaten. Dit komt omdat Sui's directe toe-eigening van transacties heel anders is dan de omgang met hackers op reguliere blockchains. Dit is niet de eerste keer dat er met consensus wordt geknoeid, maar het is wel de meest stille keer geweest Historisch: Ethereum's 2016 Het DAO-incident gebruikte een hard fork om overdrachten terug te draaien om verliezen te dekken, maar deze beslissing leidde tot de splitsing tussen Ethereum en Ethereum Classic, die controversieel was, maar uiteindelijk vormden verschillende groepen verschillende consensusovertuigingen. De Bitcoin-gemeenschap heeft soortgelijke technische uitdagingen ondervonden: de kwetsbaarheid voor waardeoverloop in 2010 werd met spoed verholpen door ontwikkelaars en de consensusregels werden geüpgraded, waardoor zo'n 18,4 miljard illegaal gegenereerde bitcoins volledig werden gewist. Het is hetzelfde hard fork-model, waarbij het grootboek wordt teruggedraaid naar het punt waar het zich vóór het probleem bevond, en dan kan de gebruiker nog steeds beslissen welk grootboeksysteem hij onder het probleem wil blijven gebruiken. Vergeleken met de DAO hard fork koos Sui er niet voor om de keten te splitsen, maar richtte zich nauwkeurig op deze gebeurtenis door het protocol te upgraden en aliassen te configureren. Daarbij handhaaft Sui de continuïteit van de keten en het grootste deel van de consensusregels, maar laat het ook zien dat het onderliggende protocol gebruikt kan worden om gerichte "reddingsoperaties" uit te voeren. Het probleem is dat historisch gezien de "gevorkte terugdraaiing" de geloofskeuze van een gebruiker is; Sui's "protocolcorrectie" is dat de keten de beslissing voor je neemt. Niet uw sleutel, niet uw munt? Ik ben bang van niet meer. Op de lange termijn betekent dit dat het idee van "niet uw sleutels, niet uw munten" wordt ontmanteld op de Sui-keten: zelfs als de privésleutel van de gebruiker intact is, kan het netwerk nog steeds de stroom van activa blokkeren en ze omleiden via wijzigingen in de collectieve arbeidsovereenkomst. Als dit in de toekomst een precedent wordt voor blockchain om te reageren op grootschalige beveiligingsincidenten, wordt het zelfs beschouwd als een praktijk die opnieuw kan worden gevolgd. "Wanneer een keten regels kan overtreden omwille van gerechtigheid, heeft het een precedent voor het overtreden van regels." Als er eenmaal een succes is van "public welfare money grabbing", kan het de volgende keer een operatie zijn in de "morele ambiguïteit". Dus wat gebeurt er? De hacker heeft het geld van de gebruiker gestolen, dus kan de menigte hem van zijn geld beroven? Stemmen op basis van wiens geld meer (pos) of meer mensen is? Als degene met meer geld wint, dan zal de laatste producent van Liu Cixin snel komen, en als degene met meer mensen wint, dan zal het groepsgepeupel ook luidruchtig zijn. Onder het traditionele systeem is het heel normaal dat illegale winsten onbeschermd zijn, en bevriezing en overdracht zijn de routinematige operaties van traditionele banken. Maar het feit dat dit technisch niet mogelijk is, is niet de basis van de ontwikkeling van de blockchain-industrie. Nu blijft de stok van de naleving van de industrie gisten, vandaag kun je bevriezen voor hackers en het rekeningsaldo wijzigen, dan kun je morgen willekeurige wijzigingen aanbrengen voor geografische factoren en tegenstrijdige factoren. Als de keten onderdeel wordt van de regionale tool. De waarde van die industrie is sterk verminderd, en in het beste geval is het een moeilijker financieel systeem. Dit is ook de reden waarom de auteur zich sterk inzet voor de industrie: "Blockchain is niet waardevol omdat het niet kan worden bevroren, maar omdat zelfs als je het haat, het niet voor je zal veranderen." Trends in de regelgeving, kan de keten zijn ziel behouden? Ooit was de alliantieketen welvarender dan de openbare keten, omdat deze voldeed aan de regelgevende behoeften van die tijd, en nu betekent de achteruitgang van de alliantie eigenlijk dat deze gewoon aan deze vraag voldoet, niet aan de behoeften van echte gebruikers. Vanuit het perspectief van de ontwikkeling van de industrie Efficiënte centralisatie, is het een noodzakelijke fase in de ontwikkeling van blockchain? Als het uiteindelijke doel van decentralisatie is om de belangen van gebruikers te beschermen, kunnen we centralisatie dan tolereren als een middel tot transitie? Het woord 'democratie', in de context van on-chain governance, is eigenlijk symbolisch gewogen. Dus als een hacker een grote hoeveelheid SUI bezit (of op een dag wordt de DAO gehackt en de hacker controleert de stemmen), kunnen ze dan ook "legaal stemmen om zichzelf wit te wassen"? Uiteindelijk is de waarde van blockchain niet of het kan worden bevroren, maar of de groep ervoor kiest om dit niet te doen, zelfs als het de mogelijkheid heeft om te bevriezen. De toekomst van een keten wordt niet bepaald door de technische architectuur, maar door de reeks overtuigingen die het kiest te beschermen.

inleiding Deze gebeurtenis is een overwinning voor het kapitaal, niet voor de gebruikers, en het is een achteruitgang voor de ontwikkeling van de industrie. Bitcoin aan de linkerkant, Sui aan de rechterkant, en elke beweging in de industrie die de decentralisatie opschudt, brengt een sterker geloof in Bitcoin met zich mee. De wereld heeft niet alleen een betere wereldwijde financiële infrastructuur nodig, maar ook een groep mensen die altijd vrijheid nodig zullen hebben. Ooit was de alliantieketen welvarender dan de openbare keten, omdat deze voldeed aan de regelgevende behoeften van die tijd, en nu betekent de achteruitgang van de alliantie eigenlijk dat deze gewoon aan deze vraag voldoet, niet aan de behoeften van echte gebruikers. 1. Achtergrond van het evenement Op 22 mei 2025 werd Cetus, de grootste gedecentraliseerde beurs (DEX) in het Sui public chain-ecosysteem, aangevallen door hackers, wat een scherpe daling van de liquiditeit en de ineenstorting van meerdere handelsparen veroorzaakte, wat resulteerde in een verlies van meer dan $220 miljoen. Op het moment van schrijven is de tijdlijn als volgt: Op de ochtend van 22 mei vielen hackers Cetus aan om $ 230 miljoen te extraheren, en Cetus schortte het contract met spoed op en deed een aankondiging In de middag van 22 mei maakte de hacker ongeveer $ 60 miljoen over de hele keten en de resterende $ 162 miljoen stond nog steeds op het Sui on-chain-adres Op de avond van 22 mei @emanabio Sui CPO getweet om te bevestigen dat de fondsen zijn bevroren en dat de terugkeer binnenkort zal beginnen Op 23 mei begon Cetus met het oplossen van bugs en het bijwerken van contracten Op 24 mei opende Sui de bron-PR en legde uit dat het geld zal worden teruggevorderd via aliasing en whitelist Op 26 mei startte Sui een on-chain governance-stemming waarin werd voorgesteld om een protocolupgrade uit te voeren en de gehackte activa over te dragen naar een geblokkeerd adres Op 29 mei werden de stemresultaten bekendgemaakt en werd meer dan 2/3 van de validatorknooppunten gewogen om te ondersteunen; De protocolupgrade is klaar om te worden uitgevoerd Van 30 mei tot begin juni trad de protocolupgrade in werking, werd de gespecificeerde transactiehash uitgevoerd en werden de gehackte activa "legaal overgedragen" 2. Aanvalsprincipe Het principe van gebeurtenissen is gerelateerd, en er zijn veel uitspraken gedaan in de branche, dus hier is slechts een overzicht van de kernprincipes: Vanuit het perspectief van de aanvalsstroom: De aanvaller gebruikte eerst een flitslening om ongeveer 10.024.321,28 haSUI uit te lenen, wat de prijs van de handelspool onmiddellijk verlaagde 99.90% 。 Deze enorme verkooporder bracht de koersdoel pool omlaag van ongeveer 1,8956 × 10^19 naar 1,8425 × 10^19, bijna een dieptepunt. Vervolgens creëert de aanvaller een liquiditeitspositie op Cetus met een extreem smal bereik (vink ondergrens van 300000 aan, bovengrens van 300200 en intervalbreedte van slechts 1.00496621%). Zo'n smal interval versterkt de impact van latere rekenfouten op het aantal benodigde tokens. Het kernprincipe van de aanval: Er is een kwetsbaarheid voor integer overflow in de get_delta_a functie die Cetus gebruikt om het vereiste aantal tokens te berekenen. De aanvaller verklaarde bewust dat hij een enorme hoeveelheid liquiditeit wilde toevoegen (ongeveer 10^37 eenheden), maar stopte eigenlijk maar 1 token in het contract. Door de verkeerde overflow-detectievoorwaarde van checked_shlw werd het contract tijdens de links-shift-berekening op een hoog niveau afgekapt, waardoor het systeem de benodigde hoeveelheid haSUI ernstig onderschatte, waardoor een enorme hoeveelheid liquiditeit werd uitgewisseld tegen zeer lage kosten. Technisch gezien komt de bovenstaande kwetsbaarheid voort uit het feit dat Cetus onjuiste maskers en beoordelingsvoorwaarden gebruikt in het Move smart contract, waardoor elke waarde kleiner dan 0xffffffffffffffff << 192 detectie kan omzeilen; Nadat 64 bits naar links zijn verplaatst, worden de gegevens op hoog niveau afgekapt en brengt het systeem slechts een zeer klein aantal tokens in rekening om te bedenken dat het veel liquiditeit heeft gewonnen. Na het evenement werden 2 officiële acties afgeleid: "Freezing" vs "Recovery", wat uit twee fasen bestaat: De bevriezingsfase wordt voltooid door Deny List + node consensus; In de terugvorderingsfase is een on-chain protocolupgrade + stemmen door de gemeenschap + uitvoering van aangewezen transacties vereist om de zwarte lijst te omzeilen. 3. Het bevriezingsmechanisme van Sui Er is een speciaal Deny List-mechanisme in de Sui-keten zelf, dat het mogelijk maakt om het geld van hackers te bevriezen. Niet alleen dat, maar de tokenstandaard van Sui heeft ook een "gereguleerd token"-model met een ingebouwde bevriezingsfunctie. Deze noodbevriezing maakt gebruik van deze functie: validatorknooppunten voegen snel adressen toe die verband houden met gestolen geld in hun lokale configuratiebestanden. Theoretisch kan elke node-operator de TransactionDenyConfig wijzigen om de zwarte lijst zelf bij te werken, maar om de consistentie van het netwerk te garanderen, heeft de Sui Foundation de coördinatie gecentraliseerd als de oorspronkelijke configuratie-uitgever. De Foundation heeft eerst officieel een configuratie-update uitgebracht met het adres van de hacker, en de validator trad synchroon in werking volgens de standaardconfiguratie, zodat het geld van de hacker tijdelijk werd "verzegeld" op de keten, die eigenlijk een hoge mate van centralisatie achter zich heeft Om de slachtoffers te redden van de bevroren tegoeden, lanceerde het Sui-team onmiddellijk een patch voor het Whitelist-mechanisme. Dit is voor latere terugboekingen van fondsen. Legitieme transacties kunnen van tevoren worden geconstrueerd en op de witte lijst worden geregistreerd, zelfs als het adres van het fonds nog op de zwarte lijst staat, kan dit worden afgedwongen. Met deze nieuwe functie kunnen transaction_allow_list_skip_all_checks specifieke transacties vooraf worden toegevoegd aan de "Censor Freelist", waardoor ze alle beveiligingscontroles kunnen overslaan, inclusief handtekeningen, machtigingen, zwarte lijsten en meer. Het is belangrijk op te merken dat patches op de witte lijst niet direct activa van hackers stelen; Het geeft alleen bepaalde transacties de mogelijkheid om de bevriezing te omzeilen, en de overdracht van echte activa moet nog steeds worden gedaan met een wettelijke handtekening of een extra systeemmachtigingsmodule. In feite vindt het reguliere bevriezingsschema in de industrie vaak plaats op het niveau van het tokencontract en wordt het gecontroleerd door de uitgever voor meerdere handtekeningen. Als we de USDT nemen die door Tether is uitgegeven als voorbeeld, heeft het contract een ingebouwde zwarte lijstfunctie en kan het uitgevende bedrijf het aanstootgevende adres bevriezen zodat het geen USDT kan overdragen. Deze regeling vereist dat multisig een bevriezingsverzoek op de keten initieert, en de multisig wordt overeengekomen voordat deze daadwerkelijk wordt uitgevoerd, dus er is een uitvoeringsvertraging. Hoewel het Tether-bevriezingsmechanisme effectief is, tonen statistieken aan dat er vaak een "vensterperiode" is in het multisig-proces, waardoor er kansen ontstaan voor criminelen. De bevriezing van Sui daarentegen vindt plaats op het niveau van het onderliggende protocol, wordt gezamenlijk beheerd door validatorknooppunten en wordt veel sneller uitgevoerd dan normale contractaanroepen. In dit model betekent het, om snel genoeg te zijn, dat het beheer van deze validator-nodes zelf zeer uniform is. 4. Sui's "transfer recycling" implementatieprincipe Wat nog opvallender is, is dat Sui niet alleen de activa van de hack bevroor, maar ook van plan was om het gestolen geld "over te dragen en terug te krijgen" door middel van een on-chain upgrade. Op 27 mei stelde Cetus een stemming van de gemeenschap voor om het protocol te upgraden om bevroren geld naar een multisig-bewaarportemonnee te sturen. De Sui Foundation startte vervolgens een on-chain governance-stemming. Op 29 mei werden de resultaten van de stemming bekendgemaakt en ongeveer 90,9% van de validators steunde de regeling. Sui heeft officieel aangekondigd dat zodra het voorstel is goedgekeurd, "alle fondsen die op de twee hackeraccounts zijn bevroren, zullen worden teruggezet naar een multisig-portemonnee zonder de handtekening van de hacker". Het is niet nodig dat een hacker zich aanmeldt, wat zo'n verschil is dat er nog nooit zo'n oplossing is geweest in de blockchain-industrie. Zoals te zien is in Sui's officiële GitHub PR, introduceert het protocol een adresaliasingmechanisme. De upgrade omvat het vooraf specificeren van aliasregels in ProtocolConfig, zodat bepaalde toegestane transacties kunnen worden behandeld alsof de legitieme handtekening is verzonden vanaf een gehackt account. In het bijzonder is een hashlist van uit te voeren reddingstransacties gekoppeld aan een bestemmingsadres (d.w.z. een hackeradres), en elke uitvoerder die een samenvatting van deze vaste transacties ondertekent en publiceert, wordt geacht de transactie te hebben geïnitieerd als een geldige eigenaar van het hackeradres. Voor deze specifieke transacties omzeilt het validatorknooppuntsysteem de controle op de weigeringslijst. Op codeniveau voegt Sui het volgende oordeel toe aan de logica van de transactievalidatie: wanneer een transactie wordt geblokkeerd door de zwarte lijst, herhaalt het systeem via de ondertekenaar om te controleren of protocol_config.is_tx_allowed_via_aliasing (afzender, ondertekenaar, tx_digest) waar is. Zolang een ondertekenaar voldoet aan de aliasregel, dat wil zeggen dat de transactie mag worden doorgegeven, wordt de vorige onderscheppingsfout genegeerd en wordt de normale uitvoering van het pakket voortgezet. 5. Standpunt 160 miljoen, uit elkaar scheuren is het diepste onderliggende geloof in de industrie Vanuit het persoonlijke oogpunt van de auteur kan dit een storm zijn die snel voorbij zal gaan, maar dit model zal niet worden vergeten, omdat het de basis van de industrie ondermijnt en de traditionele consensus doorbreekt dat er niet met blockchain kan worden geknoeid onder dezelfde set grootboeken. Bij blockchain-ontwerp is het contract de wet en de code de scheidsrechter. Maar in dit geval faalde de code, het bestuur kwam tussenbeide en de macht overschreed het patroon en vormde een patroon van stemgedrag dat de resultaten van de code beheerste". Dit komt omdat Sui's directe toe-eigening van transacties heel anders is dan de omgang met hackers op reguliere blockchains. Dit is niet de eerste keer dat er met consensus wordt geknoeid, maar het is wel de meest stille keer geweest Historisch: Ethereum's 2016 Het DAO-incident gebruikte een hard fork om overdrachten terug te draaien om verliezen te dekken, maar deze beslissing leidde tot de splitsing tussen Ethereum en Ethereum Classic, die controversieel was, maar uiteindelijk vormden verschillende groepen verschillende consensusovertuigingen. De Bitcoin-gemeenschap heeft soortgelijke technische uitdagingen ondervonden: een kwetsbaarheid voor waardespillover in 2010 werd met spoed verholpen door ontwikkelaars en consensusregels werden geüpgraded, waardoor zo'n 18,4 miljard illegaal gegenereerde bitcoins volledig werden gewist. Het is hetzelfde hard fork-model, waarbij het grootboek wordt teruggedraaid naar het punt waar het zich vóór het probleem bevond, en dan kan de gebruiker nog steeds beslissen welk grootboeksysteem hij onder het probleem wil blijven gebruiken. Vergeleken met de DAO hard fork koos Sui er niet voor om de keten te splitsen, maar richtte zich nauwkeurig op deze gebeurtenis door het protocol te upgraden en aliassen te configureren. Daarbij houdt Sui de ketencontinuïteit en het grootste deel van de consensusregels ongewijzigd, maar laat het ook zien dat het onderliggende protocol gebruikt kan worden om gerichte "reddingsoperaties" uit te voeren. Het probleem is dat historisch gezien de "gevorkte terugdraaiing" de keuze van overtuigingen van de gebruiker is; Sui's "protocolcorrectie" is dat de keten de beslissing voor je neemt. Niet uw sleutel, niet uw munt? Ik ben bang van niet meer. Op de lange termijn betekent dit dat het idee van "Niet uw sleutels, niet uw munten" wordt ontmanteld op de Sui-keten: zelfs als de privésleutel van de gebruiker intact is, kan het netwerk nog steeds de stroom van activa blokkeren en activa omleiden door middel van wijzigingen in de collectieve arbeidsovereenkomst. Als dit in de toekomst een precedent wordt voor blockchain om te reageren op grootschalige beveiligingsincidenten, wordt het zelfs beschouwd als een praktijk die opnieuw kan worden gevolgd. "Wanneer een keten regels voor gerechtigheid kan overtreden, heeft het een precedent voor het overtreden van regels." Als er eenmaal een succes is van "geldroof voor het algemeen welzijn", kan het de volgende keer een operatie zijn in de "morele ambiguïteitszone". Dus wat gebeurt er? De hacker heeft het geld van de gebruiker gestolen, dus kan de menigte hem van zijn geld beroven? Stemmen op basis van wiens geld meer (pos) of meer mensen is? Als degene met meer geld wint, dan zal de laatste producent van Liu Cixin snel komen, en als degene met meer mensen wint, dan zal het groepsgepeupel ook luidruchtig zijn. Onder het traditionele systeem is het heel normaal dat illegale winsten onbeschermd zijn, en bevriezing en overdracht zijn de routinematige operaties van traditionele banken. Maar het feit dat dit technisch niet mogelijk is, is niet de basis van de ontwikkeling van de blockchain-industrie. Nu blijft de stok van de naleving van de industrie gisten, vandaag kun je bevriezen voor hackers en het rekeningsaldo wijzigen, dan kun je morgen willekeurige wijzigingen aanbrengen voor geografische factoren en tegenstrijdige factoren. Als de keten onderdeel wordt van de regionale tool. De waarde van die industrie is sterk verminderd, en in het beste geval is het een moeilijker financieel systeem. Dit is ook de reden waarom de auteur stevig in de branche zit: "Blockchain is niet waardevol omdat het niet kan worden bevroren, maar omdat zelfs als je het haat, het niet voor je zal veranderen." ” Trends in de regelgeving, kan de keten zijn ziel behouden? Ooit was de alliantieketen welvarender dan de openbare keten, omdat deze voldeed aan de regelgevende behoeften van die tijd, en nu betekent de achteruitgang van de alliantie eigenlijk dat deze gewoon aan deze vraag voldoet, niet aan de behoeften van echte gebruikers. Vanuit het perspectief van de ontwikkeling van de industrie Efficiënte centralisatie", is het een noodzakelijke fase in de ontwikkeling van blockchain? Als het uiteindelijke doel van decentralisatie is om de belangen van gebruikers te beschermen, kunnen we centralisatie dan tolereren als een middel tot transitie? ” Het woord 'democratie', in de context van on-chain governance, is eigenlijk symbolisch gewogen. Dus als een hacker een grote hoeveelheid SUI heeft (of op een dag wordt de DAO gehackt en controleert de hacker de stemmen), kunnen ze dan ook "legaal stemmen om zichzelf wit te wassen"? Uiteindelijk is de waarde van blockchain niet of het kan worden bevroren, maar of de groep ervoor kiest om dit niet te doen, zelfs als het de mogelijkheid heeft om te bevriezen. De toekomst van een keten wordt niet bepaald door de technische architectuur, maar door de reeks overtuigingen die het kiest te beschermen.

PANews meldde op 1 juni dat uit gegevens van Token Unlocks blijkt dat ENA, TAIKO, NEON en andere tokens volgende week een groot aantal ontgrendelingen zullen inluiden, waaronder: Ethena (ENA) zal ongeveer 40,63 miljoen tokens ontgrendelen, een verhouding van 0,70% ten opzichte van het huidige circulerende aanbod, om 3 uur Peking-tijd op 2 juni, ter waarde van ongeveer $ 12,5 miljoen Taiko (TAIKO) zal ongeveer 81,55 miljoen tokens ontgrendelen, een verhouding van 69,37% ten opzichte van het huidige circulerende aanbod, ter waarde van ongeveer $ 46,9 miljoen om 8 uur Peking-tijd op 5 juni Neon (NEON) zal op 7 juni om 8 uur 's ochtends Peking-tijd ongeveer 53,91 miljoen tokens ontgrendelen, met een verhouding van 22,51% tot het huidige circulerende aanbod, ter waarde van ongeveer $ 6,1 miljoen Spectral (SPEC) zal ongeveer 3,62 miljoen tokens ontgrendelen, een verhouding van 17,57% ten opzichte van het huidige circulerende aanbod, om 8 uur 's ochtends Peking-tijd op 6 juni, ter waarde van ongeveer $ 3,7 miljoen Staika (STIK) zal op 2 juni om 8 uur 's ochtends Peking-tijd ongeveer 1,57 miljoen tokens ontgrendelen, ter waarde van ongeveer $ 1,4 miljoen Cetus Protocol (CETUS) zal ongeveer 8,33 miljoen tokens ontgrendelen, 1,15% van het huidige circulerende aanbod, ter waarde van ongeveer $1,1 miljoen om 8 uur 's ochtends Beijing tijd op 4 juni Eigenlayer (EIGEN) zal ongeveer 1,29 miljoen tokens ontgrendelen, een verhouding van 0,42% ten opzichte van het huidige circulerende aanbod, om 3 uur 's nachts Beijing tijd op 4 juni, ter waarde van ongeveer $1,7 miljoen IOTA (IOTA) zal ongeveer 8,63 miljoen tokens ontgrendelen, een verhouding van 0,23% ten opzichte van het huidige circulerende aanbod, om 8 uur 's ochtends Beijing tijd op 4 juni, ter waarde van ongeveer $1,6 miljoen

PANews meldde op 1 juni dat volgens PeckShield-monitoring ongeveer 20 coderingsaanvallen plaatsvonden in mei 2025, met een totaal verlies van $ 244 miljoen, een daling van 39.29% ten opzichte van april. De top vijf van hackincidenten waren: $ 220 miljoen gestolen van Cetus Protocol ($ 157 miljoen bevroren, wat overeenkomt met 71% van het teruggevonden gestolen geld); Protocol van Cork ($ 12 miljoen); vermoedelijke Noord-Korea-gerelateerde hacks ($ 5.2 miljoen); Token MBU ($ 2.2 miljoen) en MaplestoryU ($ 1.2 miljoen).