SUI — идём на дно? Оценка безопастности популярного блокчейна
SUI — идём на дно?
Все вы знаете, что я люблю ЭКО СУИ, и навскидку именно она принесла мне наибольший профит за последний год. Но закрывать глаза на очевидные проблемы я не хочу. После очередного взлома протокола с ликвой решил провести небольшой ресерч.
Фактчекинг будет лишь по вопросам безопасности, не углубляясь в проблемы централизации и грязных мувов маркетмейкеров (например, IKA пару дней назад — откройте график, это очень смешно), дабы не раздувать статью.
Основные инциденты за последние 9 месяцев (по упоминаниям в PeckShield, CertiK, Rekt)
1. Cetus Protocol — крупный децентрализованный взлом (май 2025)
Дата: 22 мая 2025 г.
Платформа: Cetus Protocol — крупнейший DEX и liquidity-provider на Sui.
Суммы потерь: оценки варьируются от $220M до $260M в активах (SUI, USDC и др.).
Механизм атаки: манипуляция через поддельные («spoof») токены и Price Oracle, дисторшн ценовых кривых и дренаж ликвидности.
2. Эксплойт крупного холдера SUI (декабрь 2024)
Дата атаки: 12 декабря 2024 — случай раскрыт 26 января 2025.
Сумма: около 6.27 млн SUI (~$29M) были похищены.
Как: с использованием бриджа на Ethereum и Tornado Cash для отмывания.
3. Nemo Protocol — эксплойт (сентябрь 2025)
Дата: 7–8 сентября 2025 г.
Платформа: Nemo — yield-protocol на Sui.
Потери: около $2.4M USDC.
Как: эксплойт в смарт-контрактах, точный вектор атаки официально ещё не опубликован.
Безопасность блокчейна Sui
В этой части разбираем, насколько сам блокчейн устойчив к атакам, его плюсы и минусы.
- Move-based архитектура — активы в Sui реализованы как resource types → их нельзя «скопировать» или «потерять ссылку» (в отличие от багов со `approve`/`transferFrom` в EVM). Это реально снижает целый класс ошибок.
- Byzantine Fault Tolerance (Narwhal & Bullshark) — консенсус с высокой пропускной способностью, низкой задержкой и встроенной устойчивостью к атакам 1/3 валидаторов.
- Прецеденты с Cetus показали, что валидаторы могут замораживать украденные средства — это спорный момент (централизация vs безопасность), но с точки зрения защиты пользователей это реальный инструмент.
- Формальная верификация и статический анализ Move-кода встроены в экосистему Sui. Есть Move Prover (как в Diem/Libra) — позволяет доказать корректность инвариантов.
- Основные взломы происходили на уровне dApps, а не протокола Sui.
- Cetus ($220M+), Nemo ($2.4M) — это были ошибки в логике смарт-контрактов и оракулов, а не в базовом протоколе.
- Однако для пользователя это неважно: «взломали на Sui» = «Sui небезопасен».
- Человеческий фактор и библиотеки. Большинство DeFi-протоколов используют shared-библиотеки. Уязвимость в одной библиотеке → мульти-протокольный риск.
- Централизованные меры (заморозка средств) — помогают жертвам, но поднимают вопросы о цензуроустойчивости и независимости блокчейна.
👉 Итог: базовый уровень безопасности блокчейна Sui выше, чем у многих EVM-сетей, благодаря Move и архитектуре консенсуса. Но слабое место — смарт-контракты и оракулы, которые пока часто не проходят должного аудита.
Оценка языка Move (vs Solidity) с точки зрения безопасности
- Ресурсные типы (Resource Types).
Главная инновация: любой токен/актив описывается как ресурс, который:
- не может быть скопирован
- не может быть уничтожен без явного указания
- всегда должен иметь «владельца»
→ Это убирает целый класс багов, связанных с утечкой токенов или неверным управлением балансами.
- Статическая проверка инвариантов.
Move Prover может формально доказать свойства контракта (например, что баланс всегда остаётся ≥ 0). В Solidity такого встроенного инструмента нет.
- Модульность и строгая типизация.
Контракты (модули) в Move ограничены по области видимости и типам. Это усложняет внедрение «грязных» хаков через low-level вызовы (`delegatecall` в Solidity — источник многих эксплойтов).
- Явный контроль над хранилищем инфы.
В Move нет «динамического storage как глобальной мапы» (как в EVM). Всё должно быть определено явно. Это снижает риск reentrancy-атак и «storage collision».
- Новая экосистема. Меньше battle-tested контрактов и библиотек, чем в Solidity. Ошибки могут быть не в языке, а в недообкатанных фреймворках/SDK.
- Не спасает от логических ошибок. Даже если язык защищает от «double-spend», он не спасёт от некорректной экономической модели (как в случае с оракулом у Nemo).
- Кривая обучения. Для разработчиков Solidity Move непривычен, и ошибки на уровне логики возможны, пока экосистема не накопит опыт.
👉 Итог: Move объективно безопаснее Solidity как язык (по конструкции), но не защищает от бизнес-логики и oracle-манипуляций. Его сила — в предотвращении технических «глупых ошибок», а не экономических эксплойтов.
- Sui-блокчейн действительно можно назвать одной из самых безопасных платформ по базовому уровню (консенсус, язык, runtime).
- Главный риск — не ядро Sui, а DeFi-протоколы и сторонние смарт-контракты.
- Move — очень сильный шаг вперёд в security-модели, устраняющий типичные EVM-баги. Но остаются уязвимости уровня дизайна протоколов (оракулы, токеномика, неправильные math-формулы).
Простыми словами, СУИ потенциально сильный с точки зрения безопастности, но этот потенциал предстоит реализовать. На данный момент советую 10 раз подумать, прежде чем заносить существенную для вас сумму в свежий протокол. Это касается любой ЭКО, но для новых блокчейнов риски существенно выше.
Берегите кровные, ваш DegenDI.
TG - t.me/degendi
Чат - https://t.me/chatdegen