Im Mai 2025 erschütterte ein derart gravierender Angriff die DeFi-Szene, wie es selten zuvor der Fall war: Innerhalb von wenigen Minuten wurden über 220 Millionen US-Dollar durch einen Exploit auf dem Cetus DEX auf der Sui-Blockchain gestohlen. Dieser Vorfall markiert eine der größten Sicherheitslücken in der dezentralen Finanzwelt (DeFi) und wirft fundamentale Fragen über die Sicherheit und den Schutz digitaler Assets in schnell wachsenden Ökosystemen auf. Cetus Protocol ist die führende dezentrale Börse (DEX) auf der Sui-Blockchain, einem der aufstrebenden Smart-Contract-Ökosysteme. Die Plattform ist darauf ausgerichtet, effizientes Token-Trading und Liquiditätsbereitstellung zu ermöglichen. In den letzten Jahren verzeichnete Cetus ein beeindruckendes Wachstum, was es zu einem attraktiven Ziel für potentielle Angreifer machte.
Zwischen Oktober 2023 und Januar 2025 stieg das Handelsvolumen auf Cetus von knapp 182 Millionen auf über 7 Milliarden US-Dollar – ein Anstieg, der zwar vielversprechend, jedoch auch riskant war. Die zentrale Schwachstelle lag in der Preisgestaltungsmechanik des Protokolls. Trotz mehrfacher Audits und Sicherheitsüberprüfungen entging den Entwicklern ein Fehler in einer mathematischen Bibliothek, die für die Preisberechnung in Liquiditätspools entscheidend war. Diese Unsicherheit hätten in einem robusten Sicherheitsdesign besser abgefangen werden müssen, dennoch offenbart der Angriff, wie selbst gut geprüfte Systeme durch innovative Angriffe kompromittiert werden können. Der genaue Ablauf des Angriffs begann mit der Aufnahme eines Flash Loans, bei dem der Angreifer kurzfristige Kredite ohne Sicherheiten nutzte, um erhebliche Mengen an Kapital für die Transaktionen zu erhalten.
Daraufhin wurden gefälschte Token – etwa BULLA – in diverse Liquiditätspools eingeschleust, die tatsächlich keine echte Liquidität aufwiesen. Diese falschen Token manipulierten die interne Preisstruktur und führten zu einer Verzerrung der Reserveregelungen innerhalb der Plattform. Durch die absichtlich gestörte Preissetzung konnte der Hacker die Pools auszubeuten; sogenannte freie Reserven zu ungünstigen Konditionen wurden gegen wertvolle Assets wie SUI oder USDC eingetauscht. Infolge dieser Manipulation wurden insgesamt 46 Liquidity Pools ausgehöhlt, sodass der Angreifer über 260 Millionen US-Dollar an Wertwerten entwenden konnte. Ein weiterer cleverer Schritt war die Verlagerung der gestohlenen Gelder über eine Crosschain-Brücke auf die Ethereum-Blockchain.
Hier konvertierte der Angreifer etwa 60 Millionen US-Dollar in USDC in knapp 22.000 Ether, um die Spur zu verwischen und die Rückverfolgung zu erschweren. Diese Strategie zeigt, wie wichtig die Sicherung von Crosschain-Interaktionen wird, da Brücken im DeFi-Bereich häufig als Schwachstellen genutzt werden. Die unmittelbaren Folgen des Angriffs verschonten den gesamten Sui-Ökosystem nicht. Die Preise des Sui-Token sackten um knapp 15 Prozent ab, während das Cetus-Token über 40 Prozent seines Werts einbüßte.
Einige Token verzeichneten sogar dramatische Verluste von bis zu 99 Prozent. Die Liquidität des DEX sank signifikant, was auf einen Verlust von 210 Millionen US-Dollar in Total Value Locked (TVL) hinauslief. Dieses Ereignis richtete nicht nur wirtschaftlichen Schaden an, sondern erschütterte auch das Vertrauen zahlreicher Nutzer in das System. Während des Angriffs reagierte das Entwicklerteam schnell. Bereits gegen 10:40 UTC wurden ungewöhnliche Aktivitäten erkannt, und innerhalb kurzer Zeit wurden Maßnahmen eingeleitet, um den Schaden einzudämmen: Die zentralen Liquiditätspools wurden abgeschaltet, alle relevanten Smart Contracts deaktiviert und Validatoren begannen, die Adressen des Angreifers zu sperren, um weitere Transaktionen zu verhindern.
Ein temporäres Einfrieren der Assets wurde so möglich, während zeitgleich eine Koordination begann, um eine Wiederherstellung in die Wege zu leiten. Trotz der proaktiven Maßnahmen stellt dieser Vorfall die Effektivität klassischer Audits infrage. Obwohl Cetus umfangreiche Prüfungen seiner Smart Contracts vorweisen konnte, entging eine fundamentale Schwachstelle. Die Kette von Events macht deutlich, dass Audits allein kein Allheilmittel bieten. Vielmehr ist eine ganzheitliche Sicherheitsstrategie notwendig, die proaktives Monitoring, automatisierte Erkennung ungewöhnlicher Vorgänge und mehrstufige Sicherheitsmechanismen umfasst.
Ein aufschlussreicher Vergleich bietet der Mango Markets Hack im Jahr 2022, bei dem rund 114 Millionen US-Dollar entwendet wurden, oder der Poly Network Exploit von 2021 mit über 600 Millionen Verlusten. Jede dieser Attacken zeigte typische Muster wie Preismanipulation, Flash Loans und Crosschain-Ausnutzung. Doch während Poly Network letztendlich einen Teil der Mittel zurückerhielt – der Hacker gab diese aus ethischen Gründen zurück – gestaltet sich die Situation bei Cetus ernster, da die Kompromittierung tiefergreifender und der Schaden umfassender war. Zurück zur Erholung und Kompensation: Das Sui-Ökosystem und das Cetus-Team verständigten sich zeitnah auf einen Wiederherstellungsprozess. Ein Governance-Entscheid genehmigte die Übertragung von eingefrorenen Vermögenswerten im Wert von 162 Millionen US-Dollar auf eine multisignierte Wallet unter gemeinsamer Kontrolle von Cetus, OtterSec und der Sui Foundation.
Von dort aus sollen betroffene Nutzer schrittweise entschädigt werden. Die akkurate Ermittlung der Schäden und eine präzise Wiederherstellung der Pool-Daten sind dabei wichtige Bausteine. Das Upgrade des CLMM (Concentrated Liquidity Market Maker) Contracts steht ebenfalls im Zentrum der Bemühungen, um solche Exploits künftig zu verhindern. Eine externe Auditierung von Protokoll-Updates und eine verbesserte Kompatibilität der Modulstruktur sind entscheidend, um die Stabilität der Plattform wiederherzustellen. Dabei wird auch großer Wert auf minimalen Slippage bei der Rückführung von Vermögenswerten gelegt, um nicht erneut die Verluste von Nutzeranlagen zu vergrößern.
Die komplette Wiederinbetriebnahme ist für kurze Zeit nach der Reparaturphase vorgesehen. Eine Sockelsicherheit durch einen Entschädigungsvertrag soll eventuelle verbliebene Verluste abfedern. Damit setzt Cetus einen Maßstab für Wiederaufbau und Nutzervertrauen in einer Situation, die sonst das Gegenteil bewirken könnte. Abschließend lässt sich sagen, dass der Cetus DEX Exploit die DeFi-Branche vor entscheidende Herausforderungen stellt. Die Abhängigkeit von Open-Source-Bibliotheken bringt Risiken mit sich, die trotz umfangreicher Audits oft verborgen bleiben.
Die Balance zwischen Dezentralisierung und Kontrollmaßnahmen wird neu bewertet – so waren beispielsweise zentrale Validatoren maßgeblich am Einfrieren des Angreifer-Kontos beteiligt, woraus Diskussionen über Zentralisierungsaspekte in einem eigentlich dezentralen System entstanden. Die Lehren aus dem Angriff verdeutlichen die Notwendigkeit eines ganzheitlichen Sicherheitsansatzes, der über reine Code-Überprüfungen hinausgeht. Echtzeitüberwachung, automatisierte Abbruchmechanismen und eine enge Zusammenarbeit zwischen Entwicklerteams, Validatoren und Nutzern sind essenziell. Zudem zeigen Crosschain-Brücken weiterhin als bekannte Schwachstellen, dass in Multi-Chain-Ökosystemen eine besondere Sorgfalt bei der Sicherung der Interoperabilität geboten ist. Die Zukunft von DeFi auf Sui und darüber hinaus wird davon abhängen, wie schnell und umfassend solche Schwachstellen adressiert werden können.
Der Vorfall bei Cetus lehrt die Branche Demut und Wachsamkeit – hohe Attraktivität und schnelles Wachstum ebnen Angreifern neue Wege. Nur durch kontinuierliche Innovation, verbesserte Sicherheitsmechanismen und eine breite Sensibilisierung kann das Vertrauen der Nutzer langfristig gestärkt und die Vision dezentraler, sicherer Finanzdienste realisiert werden.
