Keyakinan yang Teguh Setelah Krisis Keamanan: Mengapa SUI Masih Memiliki Potensi Pertumbuhan Jangka Panjang?

1. Reaksi berantai yang dipicu oleh satu serangan

Pada 22 Mei 2025, protokol AMM terkemuka Cetus yang dikerahkan di jaringan SUI mengalami serangan hacker. Penyerang memanfaatkan celah logika yang terkait dengan "masalah overflow integer" untuk melakukan manipulasi yang tepat, menyebabkan kerugian lebih dari 200 juta dolar AS. Insiden ini bukan hanya merupakan salah satu kecelakaan keamanan terbesar di bidang DeFi tahun ini, tetapi juga menjadi serangan hacker paling merusak sejak peluncuran utama jaringan SUI.

Menurut data DefiLlama, TVL seluruh chain SUI pada hari serangan terjadi sempat anjlok lebih dari 330 juta USD, dan jumlah yang terkunci pada protokol Cetus sendiri bahkan langsung menguap 84%, jatuh ke 38 juta USD. Sebagai dampaknya, beberapa token populer di SUI (termasuk Lofi, Sudeng, Squirtle, dll.) anjlok antara 76% hingga 97% dalam waktu hanya satu jam, memicu perhatian luas pasar terhadap keamanan dan stabilitas ekosistem SUI.

Namun setelah gelombang kejutan ini, ekosistem SUI menunjukkan ketahanan dan kemampuan pemulihan yang kuat. Meskipun peristiwa Cetus membawa fluktuasi kepercayaan dalam jangka pendek, dana on-chain dan tingkat aktivitas pengguna tidak mengalami penurunan yang berkelanjutan, melainkan justru mendorong seluruh ekosistem untuk meningkatkan perhatian terhadap keamanan, pembangunan infrastruktur, dan kualitas proyek secara signifikan.

Klein Labs akan menguraikan pola ekosistem saat ini dari blockchain publik yang masih dalam tahap awal pengembangan ini, terkait dengan penyebab serangan ini, mekanisme konsensus node SUI, keamanan bahasa MOVE, dan perkembangan ekosistem SUI, serta membahas potensi perkembangan di masa depan.

2. Analisis Penyebab Serangan Cetus

2.1 Proses Implementasi Serangan

Menurut analisis teknis tim Slow Mist terhadap insiden serangan Cetus, peretas berhasil memanfaatkan celah aritmatika kritis dalam protokol, dengan bantuan pinjaman kilat, manipulasi harga yang tepat, dan cacat kontrak, untuk mencuri lebih dari 200 juta dolar aset digital dalam waktu singkat. Jalur serangan dapat dibagi menjadi tiga tahap berikut:

①Memulai pinjaman kilat, mengendalikan harga

Hacker pertama-tama memanfaatkan selip maksimum untuk menukar 10 miliar haSUI melalui pinjaman kilat, meminjam sejumlah besar dana untuk manipulasi harga.

Pinjaman kilat memungkinkan pengguna untuk meminjam dan mengembalikan dana dalam satu transaksi, hanya dengan membayar biaya layanan, memiliki karakteristik leverage tinggi, risiko rendah, dan biaya rendah. Hacker memanfaatkan mekanisme ini untuk menurunkan harga pasar dalam waktu singkat, dan mengontrolnya dengan tepat dalam rentang yang sangat sempit.

Selanjutnya, penyerang bersiap untuk menciptakan posisi likuiditas yang sangat sempit, menetapkan rentang harga secara akurat antara penawaran terendah 300.000 dan harga tertinggi 300.200, dengan lebar harga hanya 1,00496621%.

Dengan cara di atas, hacker menggunakan jumlah token yang cukup besar dan likuiditas yang besar untuk berhasil mengendalikan harga haSUI. Setelah itu, mereka juga mengendalikan beberapa token yang tidak memiliki nilai nyata.

② Tambahkan likuiditas

Penyerang membuat posisi likuiditas yang sempit, mengklaim menambahkan likuiditas, tetapi karena adanya kerentanan pada fungsi checked_shlw, akhirnya hanya menerima 1 token.

Pada dasarnya disebabkan oleh dua alasan:

1. Pengaturan masker terlalu lebar: setara dengan batas atas penambahan likuiditas yang sangat besar, menyebabkan validasi input pengguna dalam kontrak menjadi tidak berarti. Hacker dengan mengatur parameter yang tidak normal, membangun input yang selalu kurang dari batas tersebut, sehingga berhasil melewati deteksi overflow.

2. Data overflow terpotong: Ketika melakukan operasi pergeseran n << 64 pada nilai n, data terpotong karena pergeseran melebihi lebar bit efektif dari tipe data uint256 (256 bit). Bagian overflow tinggi secara otomatis dibuang, menyebabkan hasil perhitungan jauh di bawah yang diharapkan, sehingga sistem meremehkan jumlah haSUI yang dibutuhkan untuk pertukaran. Hasil akhir perhitungan sekitar kurang dari 1, tetapi karena dibulatkan ke atas, hasil akhirnya sama dengan 1, yaitu hacker hanya perlu menambahkan 1 token, sehingga dapat menukarkan likuiditas besar.

③ Menarik likuiditas

Melakukan pembayaran kembali pinjaman kilat, mempertahankan keuntungan besar. Akhirnya menarik aset token senilai total ratusan juta dolar dari beberapa kolam likuiditas.

Kondisi kerugian dana sangat parah, serangan menyebabkan aset berikut dicuri:

• 12,9 juta SUI (sekitar 54 juta dolar AS)

• 6000万美元USDC

• 490 juta dolar AS Haedal Staked SUI

• 1950万美元TOILET

• Token lainnya seperti HIPPO dan LOFI turun 75-80%, likuiditas habis

2.2 Penyebab dan karakteristik kerentanan kali ini

Kerentanan Cetus kali ini memiliki tiga ciri khas:

1. Biaya perbaikan sangat rendah: Di satu sisi, penyebab mendasar dari peristiwa Cetus adalah kelalaian dalam pustaka matematika Cetus, bukan kesalahan mekanisme harga protokol atau kesalahan pada arsitektur dasar. Di sisi lain, kerentanan ini terbatas pada Cetus itu sendiri dan tidak ada hubungannya dengan kode SUI. Akar kerentanan terletak pada satu kondisi batas, hanya perlu mengubah dua baris kode untuk sepenuhnya menghilangkan risiko; setelah perbaikan selesai, dapat segera diterapkan ke jaringan utama, memastikan logika kontrak selanjutnya lengkap dan menghindari kerentanan tersebut.

2. Tingkat kerahasiaan tinggi: Kontrak telah berjalan stabil tanpa gangguan selama dua tahun, Cetus Protocol telah menjalani beberapa audit, tetapi tidak ada kerentanan yang ditemukan, penyebab utamanya adalah karena perpustakaan Integer_Mate yang digunakan untuk perhitungan matematis tidak termasuk dalam ruang lingkup audit.

Hacker memanfaatkan nilai ekstrem untuk secara tepat membangun rentang perdagangan, menciptakan skenario yang sangat langka dengan likuiditas yang sangat tinggi, yang baru memicu logika abnormal, menunjukkan bahwa masalah semacam ini sulit ditemukan melalui pengujian biasa. Masalah semacam ini sering berada di zona buta dalam pandangan orang, sehingga telah mengendap cukup lama sebelum ditemukan.

3. Bukan hanya masalah Move:

Move lebih unggul dalam keamanan sumber daya dan pemeriksaan tipe dibandingkan dengan berbagai bahasa kontrak pintar, dan dilengkapi dengan deteksi bawaan untuk masalah overflow integer dalam situasi umum. Overflow kali ini disebabkan oleh penggunaan nilai yang salah untuk pemeriksaan batas atas saat menghitung jumlah token yang diperlukan saat menambahkan likuiditas, dan menggunakan operasi pergeseran sebagai pengganti operasi perkalian biasa. Jika menggunakan operasi penjumlahan, pengurangan, perkalian, dan pembagian biasa, Move secara otomatis akan memeriksa situasi overflow, sehingga tidak akan terjadi masalah pemotongan bit tinggi seperti ini.

Kerentanan serupa juga pernah muncul di bahasa lain (seperti Solidity, Rust), bahkan lebih mudah dieksploitasi karena kurangnya perlindungan terhadap overflow integer; sebelum pembaruan versi Solidity, pemeriksaan overflow sangat lemah. Sepanjang sejarah, telah terjadi overflow penjumlahan, overflow pengurangan, overflow perkalian, dan penyebab langsungnya adalah karena hasil perhitungan melebihi batas. Misalnya, kerentanan pada dua kontrak pintar BEC dan SMT dalam bahasa Solidity, keduanya menghindari pernyataan pemeriksaan dalam kontrak dengan parameter yang dirancang dengan cermat, melakukan transfer berlebih untuk melancarkan serangan.

3. Mekanisme konsensus SUI

3.1 Ringkasan Mekanisme Konsensus SUI

Gambaran Umum:

SUI mengambil kerangka Delegated Proof of Stake (DPoS)). Meskipun mekanisme DPoS dapat meningkatkan throughput transaksi, ia tidak dapat menyediakan tingkat desentralisasi yang tinggi seperti PoW (Proof of Work). Oleh karena itu, tingkat desentralisasi SUI relatif rendah, ambang batas pemerintahan relatif tinggi, dan pengguna biasa sulit untuk langsung memengaruhi pemerintahan jaringan.

• Rata-rata jumlah validator: 106

• Rata-rata siklus Epoch: 24 jam

Proses mekanisme:

• Penyerahan Hak: Pengguna biasa tidak perlu menjalankan node sendiri, cukup dengan mempertaruhkan SUI dan mendelegasikannya kepada validator kandidat, mereka dapat berpartisipasi dalam jaminan keamanan jaringan dan distribusi hadiah. Mekanisme ini dapat menurunkan ambang partisipasi bagi pengguna biasa, sehingga mereka dapat berpartisipasi dalam konsensus jaringan dengan "mempekerjakan" validator yang tepercaya. Ini juga merupakan salah satu keuntungan DPoS dibandingkan PoS tradisional.

• Mewakili putaran pembuatan blok: Sebagian kecil validator yang terpilih menghasilkan blok dalam urutan tetap atau acak, meningkatkan kecepatan konfirmasi dan meningkatkan TPS.

• Pemilihan dinamis: Setelah setiap periode pemungutan suara selesai, berdasarkan bobot suara, dilakukan rotasi dinamis untuk memilih ulang kumpulan Validator, memastikan vitalitas node, konsistensi kepentingan, dan desentralisasi.

Keuntungan DPoS:

• Efisiensi Tinggi: Dengan jumlah node penghasil blok yang dapat dikendalikan, jaringan dapat menyelesaikan konfirmasi dalam level milidetik, memenuhi kebutuhan TPS yang tinggi.

• Biaya rendah: Jumlah node yang berpartisipasi dalam konsensus lebih sedikit, sehingga bandwidth jaringan dan sumber daya komputasi yang diperlukan untuk sinkronisasi informasi dan agregasi tanda tangan secara signifikan berkurang. Dengan demikian, biaya perangkat keras dan pemeliharaan menurun, permintaan terhadap daya komputasi juga menurun, sehingga biaya menjadi lebih rendah. Akhirnya, ini menghasilkan biaya transaksi pengguna yang lebih rendah.

• Keamanan Tinggi: Mekanisme staking dan delegasi membuat biaya dan risiko serangan meningkat secara bersamaan; dipadukan dengan mekanisme penyitaan di blockchain, secara efektif menekan perilaku jahat.

Sementara itu, dalam mekanisme konsensus SUI, digunakan algoritma berbasis BFT (Byzantine Fault Tolerance), yang mengharuskan lebih dari dua pertiga validator untuk mencapai kesepakatan agar transaksi dapat dikonfirmasi. Mekanisme ini memastikan bahwa meskipun sejumlah kecil node berbuat jahat, jaringan tetap dapat beroperasi dengan aman dan efisien. Untuk melakukan peningkatan atau keputusan penting, juga diperlukan lebih dari dua pertiga suara agar dapat dilaksanakan.

Secara esensial, DPoS sebenarnya adalah solusi kompromi dari segitiga yang tidak mungkin, melakukan kompromi antara desentralisasi dan efisiensi. Dalam "segitiga tidak mungkin" antara keamanan-desentralisasi-skala, DPoS memilih untuk mengurangi jumlah node aktif yang menghasilkan blok untuk mendapatkan kinerja yang lebih tinggi, mengorbankan tingkat desentralisasi yang sempurna dibandingkan dengan PoS murni atau PoW, tetapi secara signifikan meningkatkan throughput jaringan dan kecepatan transaksi.

3.2 Kinerja SUI dalam serangan kali ini

3.2.1 Operasi mekanisme pembekuan

Dalam peristiwa ini, SUI dengan cepat membekukan alamat terkait penyerang.

Dari sudut pandang kode, ini membuat transaksi transfer tidak dapat dipaketkan di rantai. Node verifikasi adalah komponen inti dari blockchain SUI, bertanggung jawab untuk memverifikasi transaksi dan mengeksekusi aturan protokol. Dengan secara kolektif mengabaikan transaksi yang terkait dengan penyerang, para validator ini sama dengan menerapkan mekanisme yang mirip dengan 'pembekuan akun' dalam keuangan tradisional di tingkat konsensus.

SUI sendiri dilengkapi dengan mekanisme daftar penolakan (deny list), yang merupakan fungsi daftar hitam yang dapat mencegah transaksi yang melibatkan alamat yang terdaftar. Karena fungsi ini sudah ada di klien, maka ketika serangan terjadi

SUI dapat segera membekukan alamat peretas. Jika tidak ada fungsi ini, meskipun SUI hanya memiliki 113 validator, Cetus akan sulit untuk mengoordinasikan semua validator satu per satu dalam waktu singkat.

3.2.2 Siapa yang berhak mengubah daftar hitam?

TransactionDenyConfig adalah file konfigurasi YAML/TOML yang dimuat secara lokal oleh setiap validator. Siapa pun yang menjalankan node dapat mengedit file ini, memuat ulang secara panas, atau me-restart node, dan memperbarui daftar. Secara permukaan, setiap validator tampaknya bebas mengekspresikan nilai-nilai mereka sendiri.

Sebenarnya, untuk konsistensi dan efektivitas kebijakan keamanan, pembaruan konfigurasi kunci ini biasanya dilakukan secara terkoordinasi. Karena ini adalah "pembaruan darurat yang didorong oleh tim SUI", maka pada dasarnya adalah yayasan SUI (atau pengembang yang diberi wewenang) yang menetapkan dan memperbarui daftar penolakan ini.

SUI merilis daftar hitam, secara teoritis validator dapat memilih untuk mengadopsinya atau tidak------tetapi pada kenyataannya sebagian besar orang akan secara default mengadopsinya secara otomatis. Oleh karena itu, meskipun fitur ini melindungi dana pengguna, pada dasarnya memang memiliki tingkat sentralisasi tertentu.

3.2.3 Esensi fitur daftar hitam

Fungsi daftar hitam sebenarnya bukanlah logika dasar dari protokol, melainkan lebih seperti lapisan tambahan untuk menangani situasi darurat dan memastikan keamanan dana pengguna.

Pada dasarnya adalah mekanisme jaminan keamanan. Mirip dengan "rantai pengaman" yang terikat di pintu, hanya diaktifkan untuk mereka yang ingin menerobos masuk ke rumah, yaitu orang yang berusaha merusak protokol. Bagi pengguna:

• Untuk para whale, penyedia likuiditas utama, protokol adalah yang paling ingin menjamin keamanan dana, karena sebenarnya data on-chain tvl seluruhnya disumbangkan oleh para whale utama. Untuk pengembangan jangka panjang protokol, pasti akan mengutamakan keamanan.

• Bagi investor ritel, kontribusi terhadap aktivitas ekosistem, dukungan kuat dari teknologi dan pembangunan komunitas.