Pada 22 Mei, protokol DEX terkemuka di ekosistem Sui, Cetus, mengalami serangan hacker, di mana kontrak inti protokol mengalami kerentanan, dan penyerang memanfaatkan kesempatan ini untuk mencuri banyak aset. Peristiwa ini dalam waktu singkat menarik perhatian luas, tidak hanya berdampak pada pengguna terkait, tetapi juga mendorong berbagai proyek Sui untuk memasuki status respons darurat.
Namun yang muncul bukanlah rollback rantai atau intervensi hak istimewa, melainkan peluncuran cepat: pemungutan suara validator, penghentian proyek secara sukarela, pembekuan aset di blockchain, pemeriksaan mandiri protokol yang ditingkatkan... Seluruh proses ini membentuk latihan nyata dalam tata kelola keamanan keuangan di blockchain.
Hingga waktu penulisan artikel ini, kejadian serangan hacker ini sudah berlalu selama lima hari, dan kejadian ini memiliki dampak yang luas, memicu diskusi hangat di komunitas mengenai "keamanan on-chain", "tata kelola terdesentralisasi", dan "tanggapan darurat protokol".
Artikel ini berusaha untuk menguraikan dengan jelas: Apa yang sebenarnya terjadi kali ini? Di mana tanggung jawabnya? Bagaimana ekosistem Sui merespons? Apa yang dapat kita pelajari dari ini?
Bagaimana serangan itu terjadi?
Serangan terjadi pada 22 Mei 2025 pagi, dengan target kolam likuiditas CLMM milik Cetus. Penyerang menemukan celah dalam kontrak, memanfaatkan transaksi yang dikonstruksi untuk menarik aset dalam beberapa putaran operasi.
Proses spesifik adalah sebagai berikut:
Sekitar 10:30 UTC, serangan dimulai. Hacker menurunkan harga di dalam pool melalui transaksi yang tidak biasa, sambil membuka posisi likuiditas di zona harga tinggi, dan memanfaatkan celah logika kontrak untuk menyuntikkan likuiditas "palsu" dalam jumlah besar dengan sejumlah kecil token.
Selanjutnya, peretas berulang kali melakukan "Tambah/Hapus Likuiditas", untuk menarik aset nyata dari kolam.
Serangan berlangsung selama sekitar 20 menit, beberapa sistem pemantauan mulai memberi peringatan.
40 menit setelah serangan terjadi
Pada pukul 10:40 UTC, sistem pemantauan Cetus mendeteksi perilaku kolam yang aneh.
Pada pukul 10:53 UTC, tim Cetus mengkonfirmasi sumber serangan dan melaporkan informasi tersebut ke proyek lain di ekosistem Sui.
10:57 UTC, Cetus segera menutup kolam likuiditas inti untuk mencegah kerugian lebih lanjut.
Reaksi ini sangat cepat, tetapi peretas telah mencuri sejumlah besar dana.
Bagaimana cara membekukan dana hacker?
Setelah peristiwa meluas, ekosistem memulai respons darurat yang lebih luas:
Validator Sui segera mulai berkolaborasi di blockchain, memberikan suara apakah menolak untuk mengemas transaksi dari alamat peretas;
Setelah mencapai ambang 33% untuk staking, alamat hacker berhasil dibekukan, dan transaksi tidak dapat terus diproses di blockchain.
Ini bukan pemulihan sistem, juga bukan intervensi latar belakang, melainkan tindakan yang dilakukan oleh validator melalui mekanisme konsensus. Status rantai tidak telah diubah, transaksi pengguna tidak telah dimanipulasi, semuanya diselesaikan berdasarkan aturan yang ada di rantai.
Apa yang disebut "rollback sistem" adalah mengembalikan status seluruh jaringan blockchain ke suatu titik waktu sebelum serangan terjadi, seperti mengalirkan waktu ke belakang. Ini biasanya berarti transaksi yang sudah terkonfirmasi akan dihapus, dan sejarah rantai akan ditulis ulang. Sedangkan "intervensi belakang" mengacu pada pengendalian langsung node atau dana oleh suatu kekuatan terpusat (seperti tim proyek atau yayasan), melewati proses normal untuk membuat keputusan penanganan.
Dalam kejadian ini, situasi-situasi tersebut tidak terjadi. Validator melakukan pemungutan suara terbuka, pengambilan keputusan mandiri, dan menerapkan pembekuan berdasarkan aturan di blockchain, yang merupakan cerminan dari tata kelola terdesentralisasi.
Bagaimana keadaan keuangan saat ini?
Data yang diumumkan oleh Cetus adalah sebagai berikut:
Peretas telah mencuri aset sekitar 2,3 juta dolar.
Di antara aset senilai 160 juta dolar AS, masih ada di dua alamat Sui yang dibekukan dan tidak dapat dipindahkan.
Aset senilai 60 juta dolar AS telah dipindahkan secara lintas rantai ke Ethereum, saat ini ada dua alamat yang masih dalam pelacakan.
Protokol sedang mendorong pemungutan suara komunitas untuk memutuskan bagaimana melakukan pengembalian aset dan kompensasi.
Mengapa bisa terjadi masalah? Apakah ini masalah dari rantai itu sendiri? Atau masalah kerentanan pada lapisan aplikasi?
Menurut laporan Slow Fog dan analisis dari para ahli teknologi, semuanya menunjuk pada satu masalah: akar peristiwa tersebut terletak pada masalah logika kode sumber terbuka yang digunakan dalam kontrak Cetus. Penyerang memanfaatkan kesalahan terkait pemeriksaan overflow data dalam kontrak lapisan aplikasi, dan jika celah ini ditemukan dan diperbaiki lebih awal, maka kerugian tidak akan terjadi. Oleh karena itu, ini bukanlah kerentanan dari bahasa pemrograman Move itu sendiri.
Yang sama pentingnya: Jaringan Sui itu sendiri tidak mengalami serangan, dan juga tidak ada risiko sistemik yang muncul.
Ini adalah sebuah "peristiwa keamanan lapisan protokol" yang standar, bukan masalah keamanan lapisan blockchain.
Setelah serangan terjadi, bagaimana proyek lain di ekosistem Sui bereaksi?
Setelah Cetus terhenti, beberapa proyek di Sui mulai melakukan pemeriksaan keamanan secara mandiri. Kami mengamati bahwa Protokol Momentum juga menghentikan perdagangan segera setelah serangan terjadi, menyelesaikan audit kode seluruh rantai dan pemeriksaan risiko, serta memulihkan setelah dana yang dicuri dibekukan.
Sebagai pemimpin Dex saat ini di ekosistem Sui, protokol Momentum menghentikan perdagangan sesegera mungkin dan bekerja sama dengan Sui Foundation untuk memblokir dana yang dicuri untuk mencegah peretas menyebarkannya ke lebih banyak akun aset perdagangan melalui perdagangan Dex. Pada saat yang sama, pemeriksaan diri yang cermat dilakukan, dan setelah hasil pemeriksaan mandiri benar, dan setelah memastikan bahwa dana yang dicuri berhasil dibekukan oleh Yayasan Sui, fungsi transaksi dipulihkan terlebih dahulu.
Apa kelanjutan dari peristiwa tersebut?
Saat ini:
Cetus telah menyelesaikan perbaikan kerentanan inti dan sedang meninjau kembali kode dengan tim audit;
Rencana kompensasi pengguna sedang disusun, sebagian bergantung pada keputusan pemungutan suara proposal pengelolaan ekosistem;
Proyek Sui lainnya juga telah mulai beroperasi kembali atau sedang menyelesaikan penguatan keamanan.
Seluruh ekosistem tidak terhenti, malah setelah kejadian tersebut lebih sistematis dalam meninjau mekanisme keamanan.
Apa yang bisa kita pelajari dari kejadian ini?
Serangan terhadap Cetus kali ini membuat semua pembangun dan pengguna sekali lagi dihadapkan pada masalah nyata:
Apa yang bergantung pada keamanan protokol?
Jawabannya semakin jelas:
Bergantung pada kebijaksanaan kolektif yang dihasilkan oleh desentralisasi, bukan menggunakan desentralisasi sebagai alasan untuk tidak bertindak;
Bergantung pada investasi sistematis yang berkelanjutan, bukan hanya satu atau dua laporan audit;
Bergantung pada persiapan dan pembangunan mekanisme sehari-hari, bukan hanya pemulihan setelah kejadian.
Bergantung pada setiap peserta yang bersedia mengambil tanggung jawab dan bertindak secara proaktif, bukan menyerahkan masalah kepada "rantai" atau "teknologi".
Kami melihat bahwa peretas memang menyebabkan kerugian, tetapi tidak menghancurkan sistem;
Juga terlihat bahwa desentralisasi bukanlah bersembunyi di balik aturan dan mengamati dengan dingin, tetapi secara sukarela berkumpul, mempertahankan batasan, dan melindungi pengguna.
Penutup
Desentralisasi yang sejati bukanlah slogan, tetapi tanggung jawab.
Dalam badai ini, tidak ada penyelamat.
Validator Sui telah membekukan transaksi berisiko; protokol lainnya telah menyelesaikan pemeriksaan keamanan, beberapa dengan cepat memulihkan layanan; pengguna juga terus memantau dan mendorong perbaikan.
Desentralisasi bukanlah kebebasan tanpa batas, melainkan kolaborasi yang memiliki batasan, prinsip, dan tanggung jawab.
Dalam sistem tanpa backend, kepercayaan harus ditegakkan oleh setiap baris kode, setiap mekanisme, dan setiap keputusan.
Kejadian ini adalah sebuah krisis, juga sebuah ujian, dan lebih dari itu adalah sebuah cermin.
Itu memberi tahu kita:
Desentralisasi bukanlah tujuan, melainkan sebuah metode, tujuannya adalah membangun kepercayaan; desentralisasi membawa kebijaksanaan kolektif.
Desentralisasi memang penting, tetapi efisiensi modal dan keamanan protokol lebih penting.
Konten ini hanya untuk referensi, bukan ajakan atau tawaran. Tidak ada nasihat investasi, pajak, atau hukum yang diberikan. Lihat Penafian untuk pengungkapan risiko lebih lanjut.
Cetus diserang oleh hacker: Apa yang harus kita pahami dari keributan ini?
Pendahuluan
Pada 22 Mei, protokol DEX terkemuka di ekosistem Sui, Cetus, mengalami serangan hacker, di mana kontrak inti protokol mengalami kerentanan, dan penyerang memanfaatkan kesempatan ini untuk mencuri banyak aset. Peristiwa ini dalam waktu singkat menarik perhatian luas, tidak hanya berdampak pada pengguna terkait, tetapi juga mendorong berbagai proyek Sui untuk memasuki status respons darurat.
Namun yang muncul bukanlah rollback rantai atau intervensi hak istimewa, melainkan peluncuran cepat: pemungutan suara validator, penghentian proyek secara sukarela, pembekuan aset di blockchain, pemeriksaan mandiri protokol yang ditingkatkan... Seluruh proses ini membentuk latihan nyata dalam tata kelola keamanan keuangan di blockchain.
Hingga waktu penulisan artikel ini, kejadian serangan hacker ini sudah berlalu selama lima hari, dan kejadian ini memiliki dampak yang luas, memicu diskusi hangat di komunitas mengenai "keamanan on-chain", "tata kelola terdesentralisasi", dan "tanggapan darurat protokol".
Artikel ini berusaha untuk menguraikan dengan jelas: Apa yang sebenarnya terjadi kali ini? Di mana tanggung jawabnya? Bagaimana ekosistem Sui merespons? Apa yang dapat kita pelajari dari ini?
Bagaimana serangan itu terjadi?
Serangan terjadi pada 22 Mei 2025 pagi, dengan target kolam likuiditas CLMM milik Cetus. Penyerang menemukan celah dalam kontrak, memanfaatkan transaksi yang dikonstruksi untuk menarik aset dalam beberapa putaran operasi.
Proses spesifik adalah sebagai berikut:
Sekitar 10:30 UTC, serangan dimulai. Hacker menurunkan harga di dalam pool melalui transaksi yang tidak biasa, sambil membuka posisi likuiditas di zona harga tinggi, dan memanfaatkan celah logika kontrak untuk menyuntikkan likuiditas "palsu" dalam jumlah besar dengan sejumlah kecil token.
Selanjutnya, peretas berulang kali melakukan "Tambah/Hapus Likuiditas", untuk menarik aset nyata dari kolam.
Serangan berlangsung selama sekitar 20 menit, beberapa sistem pemantauan mulai memberi peringatan.
40 menit setelah serangan terjadi
Pada pukul 10:40 UTC, sistem pemantauan Cetus mendeteksi perilaku kolam yang aneh.
Pada pukul 10:53 UTC, tim Cetus mengkonfirmasi sumber serangan dan melaporkan informasi tersebut ke proyek lain di ekosistem Sui.
10:57 UTC, Cetus segera menutup kolam likuiditas inti untuk mencegah kerugian lebih lanjut.
11:20 UTC, sepenuhnya menghentikan kontrak terkait.
Reaksi ini sangat cepat, tetapi peretas telah mencuri sejumlah besar dana.
Bagaimana cara membekukan dana hacker?
Setelah peristiwa meluas, ekosistem memulai respons darurat yang lebih luas:
Validator Sui segera mulai berkolaborasi di blockchain, memberikan suara apakah menolak untuk mengemas transaksi dari alamat peretas;
Setelah mencapai ambang 33% untuk staking, alamat hacker berhasil dibekukan, dan transaksi tidak dapat terus diproses di blockchain.
Ini bukan pemulihan sistem, juga bukan intervensi latar belakang, melainkan tindakan yang dilakukan oleh validator melalui mekanisme konsensus. Status rantai tidak telah diubah, transaksi pengguna tidak telah dimanipulasi, semuanya diselesaikan berdasarkan aturan yang ada di rantai.
Apa yang disebut "rollback sistem" adalah mengembalikan status seluruh jaringan blockchain ke suatu titik waktu sebelum serangan terjadi, seperti mengalirkan waktu ke belakang. Ini biasanya berarti transaksi yang sudah terkonfirmasi akan dihapus, dan sejarah rantai akan ditulis ulang. Sedangkan "intervensi belakang" mengacu pada pengendalian langsung node atau dana oleh suatu kekuatan terpusat (seperti tim proyek atau yayasan), melewati proses normal untuk membuat keputusan penanganan.
Dalam kejadian ini, situasi-situasi tersebut tidak terjadi. Validator melakukan pemungutan suara terbuka, pengambilan keputusan mandiri, dan menerapkan pembekuan berdasarkan aturan di blockchain, yang merupakan cerminan dari tata kelola terdesentralisasi.
Bagaimana keadaan keuangan saat ini?
Data yang diumumkan oleh Cetus adalah sebagai berikut:
Peretas telah mencuri aset sekitar 2,3 juta dolar.
Di antara aset senilai 160 juta dolar AS, masih ada di dua alamat Sui yang dibekukan dan tidak dapat dipindahkan.
Aset senilai 60 juta dolar AS telah dipindahkan secara lintas rantai ke Ethereum, saat ini ada dua alamat yang masih dalam pelacakan.
Protokol sedang mendorong pemungutan suara komunitas untuk memutuskan bagaimana melakukan pengembalian aset dan kompensasi.
Mengapa bisa terjadi masalah? Apakah ini masalah dari rantai itu sendiri? Atau masalah kerentanan pada lapisan aplikasi?
Menurut laporan Slow Fog dan analisis dari para ahli teknologi, semuanya menunjuk pada satu masalah: akar peristiwa tersebut terletak pada masalah logika kode sumber terbuka yang digunakan dalam kontrak Cetus. Penyerang memanfaatkan kesalahan terkait pemeriksaan overflow data dalam kontrak lapisan aplikasi, dan jika celah ini ditemukan dan diperbaiki lebih awal, maka kerugian tidak akan terjadi. Oleh karena itu, ini bukanlah kerentanan dari bahasa pemrograman Move itu sendiri.
Yang sama pentingnya: Jaringan Sui itu sendiri tidak mengalami serangan, dan juga tidak ada risiko sistemik yang muncul.
Ini adalah sebuah "peristiwa keamanan lapisan protokol" yang standar, bukan masalah keamanan lapisan blockchain.
Setelah serangan terjadi, bagaimana proyek lain di ekosistem Sui bereaksi?
Setelah Cetus terhenti, beberapa proyek di Sui mulai melakukan pemeriksaan keamanan secara mandiri. Kami mengamati bahwa Protokol Momentum juga menghentikan perdagangan segera setelah serangan terjadi, menyelesaikan audit kode seluruh rantai dan pemeriksaan risiko, serta memulihkan setelah dana yang dicuri dibekukan.
Sebagai pemimpin Dex saat ini di ekosistem Sui, protokol Momentum menghentikan perdagangan sesegera mungkin dan bekerja sama dengan Sui Foundation untuk memblokir dana yang dicuri untuk mencegah peretas menyebarkannya ke lebih banyak akun aset perdagangan melalui perdagangan Dex. Pada saat yang sama, pemeriksaan diri yang cermat dilakukan, dan setelah hasil pemeriksaan mandiri benar, dan setelah memastikan bahwa dana yang dicuri berhasil dibekukan oleh Yayasan Sui, fungsi transaksi dipulihkan terlebih dahulu.
Apa kelanjutan dari peristiwa tersebut?
Saat ini:
Cetus telah menyelesaikan perbaikan kerentanan inti dan sedang meninjau kembali kode dengan tim audit;
Rencana kompensasi pengguna sedang disusun, sebagian bergantung pada keputusan pemungutan suara proposal pengelolaan ekosistem;
Proyek Sui lainnya juga telah mulai beroperasi kembali atau sedang menyelesaikan penguatan keamanan.
Seluruh ekosistem tidak terhenti, malah setelah kejadian tersebut lebih sistematis dalam meninjau mekanisme keamanan.
Apa yang bisa kita pelajari dari kejadian ini?
Serangan terhadap Cetus kali ini membuat semua pembangun dan pengguna sekali lagi dihadapkan pada masalah nyata:
Apa yang bergantung pada keamanan protokol?
Jawabannya semakin jelas:
Bergantung pada kebijaksanaan kolektif yang dihasilkan oleh desentralisasi, bukan menggunakan desentralisasi sebagai alasan untuk tidak bertindak;
Bergantung pada investasi sistematis yang berkelanjutan, bukan hanya satu atau dua laporan audit;
Bergantung pada persiapan dan pembangunan mekanisme sehari-hari, bukan hanya pemulihan setelah kejadian.
Bergantung pada setiap peserta yang bersedia mengambil tanggung jawab dan bertindak secara proaktif, bukan menyerahkan masalah kepada "rantai" atau "teknologi".
Kami melihat bahwa peretas memang menyebabkan kerugian, tetapi tidak menghancurkan sistem;
Juga terlihat bahwa desentralisasi bukanlah bersembunyi di balik aturan dan mengamati dengan dingin, tetapi secara sukarela berkumpul, mempertahankan batasan, dan melindungi pengguna.
Penutup
Desentralisasi yang sejati bukanlah slogan, tetapi tanggung jawab.
Dalam badai ini, tidak ada penyelamat.
Validator Sui telah membekukan transaksi berisiko; protokol lainnya telah menyelesaikan pemeriksaan keamanan, beberapa dengan cepat memulihkan layanan; pengguna juga terus memantau dan mendorong perbaikan.
Desentralisasi bukanlah kebebasan tanpa batas, melainkan kolaborasi yang memiliki batasan, prinsip, dan tanggung jawab.
Dalam sistem tanpa backend, kepercayaan harus ditegakkan oleh setiap baris kode, setiap mekanisme, dan setiap keputusan.
Kejadian ini adalah sebuah krisis, juga sebuah ujian, dan lebih dari itu adalah sebuah cermin.
Itu memberi tahu kita:
Desentralisasi bukanlah tujuan, melainkan sebuah metode, tujuannya adalah membangun kepercayaan; desentralisasi membawa kebijaksanaan kolektif.
Desentralisasi memang penting, tetapi efisiensi modal dan keamanan protokol lebih penting.