Keyakinan yang Kuat Setelah Krisis Keamanan: Mengapa SUI Masih Memiliki Potensi Pertumbuhan Jangka Panjang?

1. Reaksi berantai yang dipicu oleh satu serangan

Pada 22 Mei 2025, protokol AMM terkemuka Cetus yang dikerahkan di jaringan SUI mengalami serangan hacker. Penyerang memanfaatkan celah logika yang terkait dengan "masalah overflow integer" untuk melakukan pengendalian yang presisi, yang mengakibatkan kerugian aset lebih dari 200 juta dolar. Insiden ini tidak hanya merupakan salah satu insiden keamanan terbesar di bidang DeFi tahun ini, tetapi juga menjadi serangan hacker paling merusak sejak peluncuran jaringan utama SUI.

Menurut data DefiLlama, TVL seluruh jaringan SUI anjlok lebih dari 330 juta USD pada hari serangan terjadi, sementara jumlah yang terkunci dalam protokol Cetus langsung menguap 84%, turun menjadi 38 juta USD. Sebagai dampak, beberapa token populer di SUI anjlok 76% hingga 97% dalam waktu hanya satu jam, memicu perhatian luas terhadap keamanan dan stabilitas ekosistem SUI.

Namun setelah gelombang guncangan ini, ekosistem SUI menunjukkan ketahanan dan kemampuan pemulihan yang kuat. Meskipun peristiwa Cetus membawa fluktuasi kepercayaan dalam jangka pendek, namun dana on-chain dan tingkat aktivitas pengguna tidak mengalami penurunan yang berkelanjutan, melainkan justru mendorong seluruh ekosistem untuk meningkatkan perhatian terhadap keamanan, pembangunan infrastruktur, dan kualitas proyek.

Klein Labs akan menguraikan tentang penyebab kejadian serangan ini, mekanisme konsensus node SUI, keamanan bahasa MOVE, dan pengembangan ekosistem SUI, serta menyusun pola ekosistem dari blockchain publik yang masih berada dalam tahap pengembangan awal ini, dan membahas potensi perkembangan di masa depan.

2. Analisis Penyebab Serangan Cetus

2.1 Proses Implementasi Serangan

Menurut analisis teknis tim Slow Mist tentang insiden serangan Cetus, hacker berhasil memanfaatkan celah aritmetika kritis dalam protokol, menggunakan pinjaman kilat, manipulasi harga yang tepat, dan cacat kontrak untuk mencuri lebih dari 200 juta dolar aset digital dalam waktu singkat. Jalur serangan dapat dibagi menjadi tiga tahap berikut:

①Meluncurkan pinjaman kilat, mengendalikan harga

Peretas pertama-tama memanfaatkan slippage maksimum untuk melakukan flash swap 10 miliar haSUI dengan pinjaman kilat, meminjamkan sejumlah besar dana untuk manipulasi harga.

Pinjaman kilat memungkinkan pengguna meminjam dan mengembalikan dana dalam satu transaksi, hanya membayar biaya layanan, dengan karakteristik leverage tinggi, risiko rendah, dan biaya rendah. Hacker memanfaatkan mekanisme ini untuk menurunkan harga pasar dalam waktu singkat dan mengontrolnya dengan tepat dalam kisaran yang sangat sempit.

Kemudian penyerang bersiap untuk membuat posisi likuiditas yang sangat sempit, menetapkan rentang harga secara tepat antara penawaran terendah 300.000 dan harga tertinggi 300.200, dengan lebar harga hanya 1,00496621%.

Dengan cara di atas, hacker memanfaatkan jumlah token yang cukup besar dan likuiditas yang besar untuk berhasil mengendalikan harga haSUI. Kemudian, mereka juga mengendalikan beberapa token yang tidak memiliki nilai nyata.

② Tambahkan likuiditas

Penyerang membuat posisi likuiditas yang sempit, mengklaim menambahkan likuiditas, tetapi karena adanya kerentanan pada fungsi checked_shlw, akhirnya hanya menerima 1 token.

Pada dasarnya disebabkan oleh dua alasan:

1. Pengaturan masker terlalu lebar: setara dengan batas maksimum penambahan likuiditas yang sangat besar, menyebabkan validasi input pengguna dalam kontrak menjadi tidak berarti. Hacker dengan mengatur parameter yang tidak biasa, membangun input yang selalu kurang dari batas tersebut, sehingga berhasil melewati deteksi overflow.

2. Data overflow terpotong: Saat melakukan operasi pergeseran n << 64 pada nilai n, terjadi pemotongan data karena pergeseran melebihi lebar bit efektif dari tipe data uint256 (256 bit). Bagian overflow yang tinggi secara otomatis dibuang, mengakibatkan hasil perhitungan jauh di bawah yang diharapkan, sehingga sistem meremehkan jumlah haSUI yang dibutuhkan untuk pertukaran. Hasil perhitungan akhir sekitar kurang dari 1, tetapi karena dibulatkan ke atas, hasil akhirnya menjadi 1, artinya hacker hanya perlu menambahkan 1 token untuk mendapatkan likuiditas besar.

③ Mengeluarkan likuiditas

Melakukan pembayaran utang kilat, mempertahankan keuntungan besar. Akhirnya menarik aset token senilai total beberapa ratus juta dolar dari beberapa kumpulan likuiditas.

Kondisi kehilangan dana sangat serius, serangan menyebabkan aset berikut dicuri:

• 12,9 juta SUI (sekitar 54 juta dolar AS)

• 6000 juta USDC

• 490 juta dolar Haedal Staked SUI

• 19,500,000 dolar AS TOILET

• Token lainnya seperti HIPPO dan LOFI turun 75--80%, likuiditas menipis

2.2 Penyebab dan karakteristik kerentanan kali ini

Cetus memiliki tiga karakteristik dari celah ini:

1. Biaya perbaikan sangat rendah: Di satu sisi, penyebab mendasar dari insiden Cetus adalah kelalaian dalam pustaka matematika Cetus, bukan kesalahan mekanisme harga protokol, atau kesalahan dalam arsitektur dasar. Di sisi lain, celah tersebut hanya terbatas pada Cetus itu sendiri dan tidak ada hubungannya dengan kode SUI. Akar masalah terletak pada satu kondisi batas yang perlu diubah, hanya perlu memodifikasi dua baris kode untuk sepenuhnya menghilangkan risiko; setelah perbaikan selesai, dapat segera diterapkan di jaringan utama untuk memastikan logika kontrak selanjutnya lengkap dan mencegah celah tersebut.

2. Tingkat kerahasiaan yang tinggi: Kontrak telah berjalan stabil tanpa gangguan selama dua tahun, Cetus Protocol telah menjalani beberapa audit, namun celah tidak ditemukan, alasan utamanya adalah karena pustaka Integer_Mate yang digunakan untuk perhitungan matematika tidak termasuk dalam ruang lingkup audit.

Hacker memanfaatkan nilai ekstrem untuk secara tepat membangun rentang transaksi, menciptakan skenario yang sangat jarang dengan likuiditas yang sangat tinggi, yang kemudian memicu logika anomali, menunjukkan bahwa masalah semacam ini sulit ditemukan melalui pengujian biasa. Masalah semacam ini sering berada dalam zona buta di mata orang, sehingga telah bersembunyi cukup lama sebelum ditemukan,

3. Bukan masalah yang hanya dimiliki oleh Move:

Move unggul dalam keamanan sumber daya dan pemeriksaan tipe dibandingkan dengan berbagai bahasa kontrak pintar, dan dilengkapi dengan deteksi bawaan untuk masalah overflow integer dalam situasi umum. Overflow kali ini disebabkan oleh penggunaan nilai yang salah untuk pemeriksaan batas atas saat menghitung jumlah token yang diperlukan saat menambahkan likuiditas, dan menggunakan operasi pergeseran sebagai pengganti operasi perkalian konvensional. Jika menggunakan operasi penjumlahan, pengurangan, perkalian, dan pembagian konvensional dalam Move, maka situasi overflow akan secara otomatis diperiksa, sehingga tidak akan terjadi masalah pemotongan bit tinggi seperti ini.

Kelemahan serupa juga pernah muncul dalam bahasa lain (seperti Solidity, Rust), bahkan lebih mudah dieksploitasi karena kurangnya perlindungan terhadap overflow integer; sebelum pembaruan versi Solidity, pemeriksaan overflow sangat lemah. Dalam sejarah, terjadi overflow penjumlahan, overflow pengurangan, overflow perkalian, dan penyebab langsungnya adalah karena hasil perhitungan melebihi batas. Misalnya, kelemahan pada dua kontrak pintar BEC dan SMT dalam bahasa Solidity, semuanya melakukan serangan dengan melakukan transfer berlebih melalui parameter yang dirancang dengan cermat, melewati pernyataan pemeriksaan dalam kontrak.

3. Mekanisme konsensus SUI

3.1 Pengantar mekanisme konsensus SUI

Gambaran Umum:

SUI mengambil kerangka Delegated Proof of Stake (DPoS)). Meskipun mekanisme DPoS dapat meningkatkan throughput transaksi, ia tidak dapat memberikan tingkat desentralisasi yang sangat tinggi seperti PoW (Proof of Work). Oleh karena itu, tingkat desentralisasi SUI relatif rendah, ambang batas pemerintahan relatif tinggi, dan pengguna biasa sulit untuk langsung mempengaruhi tata kelola jaringan.

• Rata-rata jumlah validator: 106

• Rata-rata periode Epoch: 24 jam

Proses mekanisme:

• Penugasan Hak: Pengguna biasa tidak perlu menjalankan node sendiri, cukup dengan mempertaruhkan SUI dan menugaskannya kepada validator kandidat, mereka dapat berpartisipasi dalam jaminan keamanan jaringan dan distribusi hadiah. Mekanisme ini dapat menurunkan ambang partisipasi bagi pengguna biasa, sehingga mereka dapat berpartisipasi dalam konsensus jaringan melalui "mempekerjakan" validator yang dipercaya. Ini juga merupakan salah satu keuntungan DPoS dibandingkan dengan PoS tradisional.

• Mewakili putaran blok: Sebagian kecil validator yang terpilih menghasilkan blok dalam urutan tetap atau acak, meningkatkan kecepatan konfirmasi dan meningkatkan TPS.

• Pemilihan dinamis: Setelah setiap periode penghitungan suara berakhir, berdasarkan bobot suara, dilakukan rotasi dinamis untuk memilih kembali kumpulan Validator, memastikan vitalitas node, konsistensi kepentingan, dan desentralisasi.

Keunggulan DPoS:

• Efisiensi Tinggi: Karena jumlah node penghasil blok dapat dikontrol, jaringan dapat menyelesaikan konfirmasi dalam rentang milidetik, memenuhi kebutuhan TPS yang tinggi.

• Biaya rendah: Jumlah node yang berpartisipasi dalam konsensus lebih sedikit, sehingga bandwidth jaringan dan sumber daya komputasi yang diperlukan untuk sinkronisasi informasi dan agregasi tanda tangan berkurang secara signifikan. Dengan cara ini, biaya perangkat keras dan operasional menurun, serta permintaan terhadap daya komputasi berkurang, sehingga biaya menjadi lebih rendah. Akhirnya, ini menghasilkan biaya transaksi pengguna yang lebih rendah.

• Keamanan tinggi: Mekanisme staking dan delegasi membuat biaya dan risiko serangan meningkat secara bersamaan; disertai dengan mekanisme penyitaan di blockchain, secara efektif menekan perilaku jahat.

Sementara itu, dalam mekanisme konsensus SUI, digunakan algoritma berbasis BFT (Byzantine Fault Tolerance), yang mengharuskan lebih dari dua pertiga suara dari validator untuk mencapai kesepakatan sebelum transaksi dapat dikonfirmasi. Mekanisme ini memastikan bahwa meskipun sejumlah kecil node berbuat jahat, jaringan tetap dapat beroperasi dengan aman dan efisien. Untuk melakukan upgrade atau keputusan penting, juga diperlukan lebih dari dua pertiga suara untuk melaksanakannya.

Pada dasarnya, DPoS adalah solusi kompromi dari segitiga yang tidak mungkin, yang melakukan kompromi antara desentralisasi dan efisiensi. DPoS dalam "segitiga tidak mungkin" antara keamanan-desentralisasi-keterluasan, memilih untuk mengurangi jumlah node blok aktif untuk mendapatkan kinerja yang lebih tinggi, dibandingkan dengan PoS atau PoW murni, mengorbankan tingkat desentralisasi yang sepenuhnya, tetapi secara signifikan meningkatkan throughput jaringan dan kecepatan transaksi.

3.2Kinerja SUI dalam serangan kali ini

3.2.1 mekanisme pembekuan yang beroperasi

Dalam kejadian ini, SUI dengan cepat membekukan alamat yang terkait dengan penyerang.

Dari sudut pandang kode, ini membuat transaksi transfer tidak dapat dikemas ke dalam blockchain. Node validator adalah komponen inti dari blockchain SUI, bertanggung jawab untuk memvalidasi transaksi dan menerapkan aturan protokol. Dengan secara kolektif mengabaikan transaksi yang terkait dengan penyerang, para validator ini sama dengan menerapkan mekanisme yang mirip dengan 'pembekuan akun' dalam keuangan tradisional di tingkat konsensus.

SUI sendiri dilengkapi dengan mekanisme daftar penolakan (deny list), yang merupakan fungsi blacklist yang dapat mencegah transaksi yang melibatkan alamat yang terdaftar. Karena fungsi ini sudah ada di klien, ketika serangan terjadi

SUI dapat segera membekukan alamat peretas. Jika tidak ada fitur ini, meskipun SUI hanya memiliki 113 validator, Cetus akan sulit untuk mengoordinasikan semua validator satu per satu dalam waktu singkat.

3.2.2 Siapa yang memiliki hak untuk mengubah daftar hitam?

TransactionDenyConfig adalah file konfigurasi YAML/TOML yang dimuat secara lokal oleh setiap validator. Siapa pun yang menjalankan node dapat mengedit file ini, melakukan hot reload atau me-restart node, dan memperbarui daftar. Secara superficial, setiap validator tampaknya bebas untuk mengekspresikan nilai-nilai mereka sendiri.

Sebenarnya, untuk konsistensi dan efektivitas kebijakan keamanan, pembaruan konfigurasi kunci ini biasanya dilakukan secara terkoordinasi. Karena ini adalah "pembaruan mendesak yang didorong oleh tim SUI", maka pada dasarnya adalah SUI Foundation (atau pengembang yang diberi wewenang) yang mengatur dan memperbarui daftar penolakan ini.

SUI merilis daftar hitam, secara teori validator dapat memilih apakah akan mengadopsinya------tetapi pada kenyataannya sebagian besar orang secara default akan mengadopsinya secara otomatis. Oleh karena itu, meskipun fitur ini melindungi dana pengguna, pada dasarnya memang ada tingkat sentralisasi tertentu.

3.2.3 Esensi Fungsi Daftar Hitam

Fungsi blacklist sebenarnya bukanlah logika di lapisan dasar protokol, melainkan lebih seperti lapisan keamanan tambahan untuk mengatasi situasi darurat dan memastikan keamanan dana pengguna.

Pada dasarnya adalah mekanisme jaminan keamanan. Mirip dengan "rantai pengaman" yang terikat di pintu, hanya diaktifkan untuk orang yang ingin menyerang rumah, yaitu untuk pihak yang berbuat jahat terhadap protokol. Bagi pengguna:

• Untuk investor besar, penyedia likuiditas utama, protokol sangat ingin menjamin keamanan dana, karena pada kenyataannya data on-chain tvl seluruhnya berasal dari kontribusi investor besar, untuk memastikan perkembangan jangka panjang protokol, pasti akan mengutamakan keamanan.

• Untuk investor ritel, kontributor tingkat aktivitas ekosistem, dan pendukung kuat dalam pembangunan bersama teknologi dan komunitas. Pihak proyek juga berharap dapat menarik investor ritel untuk bersama-sama membangun.