Pe 11 iulie 2026, aproximativ 710.000 de tokenuri SUI, în valoare de circa 500.000 de dolari, au ieșit în câteva ore din sute de pool-uri de lichiditate administrate de BlueMove, unul dintre cele mai vechi exchange-uri descentralizate de pe blockchainul Sui. Pentru zeci de proiecte mici, un weekend obișnuit de iulie s-a transformat într-un dezastru. Traderii au deschis aplicația și au găsit graficele căzute la zero, iar lichiditatea pe care o credeau blocată dispăruse fără niciun avertisment.
Ce a urmat nu a fost simpla panică de după o pierdere de bani. A fost o dispută publică, purtată în direct pe rețelele sociale și chiar pe blockchain, în jurul unei întrebări incomode. A fost o eroare veche exploatată de un atacator din afară, așa cum susține echipa BlueMove, sau o portiță lăsată deschisă chiar de cei care ar fi trebuit să păzească banii utilizatorilor. Două ipoteze pentru același set de fapte, un hack sau o lucrătură din interior.
Ce s-a întâmplat pe BlueMove în seara de 11 iulie
Incidentul s-a produs sâmbătă, 11 iulie 2026, într-o fereastră scurtă de timp. Conform raportului oficial publicat ulterior de BlueMove, fondurile au fost extrase între orele 20:46 și 23:43 UTC, deci pe parcursul unei singure seri. În acest interval, un portofel a golit lichiditatea din 389 de pool-uri și a scos, potrivit aceleiași surse, 710.670,26 de tokenuri SUI.
Valoarea în dolari a diferit de la o relatare la alta, firesc atunci când prețul unui token se mișcă în timp real și mai mulți observatori numără separat. Estimările din comunitate s-au așezat undeva între 400.000 și 550.000 de dolari, în timp ce mesajul lăsat de echipă direct pe blockchain vorbea despre un pool golit de aproximativ 400.000 de dolari. Reperul cel mai des repetat, cel de 500.000 de dolari, iese din simpla înmulțire a celor 700.000 de tokenuri cu un curs de aproape 0,70 de dolari pe SUI. Cifra exactă contează mai puțin decât ordinea de mărime, iar pentru proiectele mici lovitura a fost brutală.
Tokenurile lovite nu au fost alese la întâmplare. Aproape toate proveneau din MovePump, un launchpad de tip bonding curve folosit pe Sui mai ales de proiecte meme mici și mai vechi, care își țineau lichiditatea principală în contractele BlueMove. Pentru astfel de proiecte, un pool golit nu e o simplă pierdere contabilă. Înseamnă dispariția pieței pentru acel token, fiindcă fără lichiditate nimeni nu mai poate cumpăra sau vinde la un preț rezonabil. Un caz citat a fost Beeg Blue Whale, care își păstrase rezerva principală în contractul MovePump și s-a trezit peste noapte fără temelia financiară pe care se sprijinea.
Mecanica atacului, reconstituită din datele publice, ascunde o poveste tehnică surprinzător de simplă. Atacatorul a cuplat un depozit real neglijabil cu o cantitate uriașă dintr-un token de valoare mică. Prin acest artificiu a generat un sold de tokenuri LP, adică de participare la pool, apropiat de limita maximă pe care o poate reprezenta un număr întreg pe 64 de biți. Odată umflate artificial, tokenurile LP au fost răscumpărate prin funcția de retragere a lichidității, iar sistemul a returnat mult mai mult SUI și mult mai multe active decât fuseseră vreodată depuse. Operațiunea a fost repetată mecanic peste sute de pool-uri, prin sute de tranzacții. O parte dintre încercări au fost oprite chiar de verificările interne ale contractului, însă destule au trecut cât să lase pool-urile goale.
Ce este BlueMove și de ce contează lichiditatea blocată?
Pentru cineva din afara lumii cripto, câțiva termeni au nevoie de traducere înainte ca miza reală să iasă la suprafață. BlueMove este un exchange descentralizat, prescurtat DEX, construit pe blockchainul Sui. Spre deosebire de o bursă clasică precum Binance, unde o companie ține banii clienților și potrivește ordinele de cumpărare cu cele de vânzare, un DEX funcționează printr-un set de contracte inteligente. Nu are birou, casier sau registru central. Regulile stau scrise în cod, iar codul rulează pe blockchain, teoretic fără ca cineva să poată interveni după bunul plac.
Rolul pool-urilor de lichiditate
Ca să poți schimba un token cu altul pe un astfel de exchange, ai nevoie de rezerve din ambele. Aceste rezerve se numesc pool-uri de lichiditate, iar mecanismul care stabilește prețul se numește automated market maker, prescurtat AMM. În loc să aștepte un cumpărător pentru fiecare vânzător, sistemul folosește o formulă matematică ce ajustează prețul după raportul dintre cele două rezerve. Cei care depun bani în aceste pool-uri se numesc furnizori de lichiditate și primesc în schimb tokenuri LP, un fel de chitanță care le atestă cota din pool și le permite ulterior să își retragă partea, împreună cu comisioanele acumulate.
Aici intervine noțiunea de lichiditate blocată. Multe proiecte tinere, mai ales cele meme, au un istoric prost al încrederii. Fondatorii au fugit adesea cu banii imediat după lansare, o practică numită în jargon rug pull, adică smulgerea covorului de sub picioarele investitorilor. Ca să contreze această neîncredere, proiectele serioase își blochează lichiditatea, promițând că rezervele nu vor putea fi retrase o anumită perioadă sau chiar niciodată. Un pool blocat este, teoretic, o garanție că nimeni nu dispare peste noapte cu banii tuturor.
Tocmai de aceea a durut atât de tare incidentul BlueMove. Fondurile care au dispărut nu erau depozite libere, pe care oricine se aștepta să le poată pierde. Erau exact rezervele pe care comunitatea le credea securizate. Când dispare lichiditatea despre care ți s-a spus că e imposibil de atins, se năruie ceva mai adânc decât o poziție financiară. Se năruie premisa pe care s-a construit toată încrederea.
Acuzațiile lui Tyler Simpson și teoria unui rug pull cu întârziere
Primul care a tras un semnal de alarmă răsunător a fost Tyler Simpson, fondatorul Quantum Void Labs, cunoscut pe X sub numele quantumvoidlabs. Sâmbătă seara, în timp ce pool-urile se goleau, a publicat capturi de ecran care păreau să arate peste 700.000 de tokenuri SUI ieșind din lichiditatea blocată a BlueMove. Tonul lui a fost tăios. Graficele erau distruse, pool-urile golite complet, iar valoarea blocată dispăruse din fiecare pool al exchange-ului.
Poziția lui s-a schimbat vizibil în doar câteva ore, iar această ezitare spune ceva despre confuzia care cuprinsese întreaga comunitate. La început, Simpson a acuzat platforma că își golește singură pool-urile și a sugerat că fapta ar putea fi o infracțiune. Puțin mai târziu a nuanțat și a admis că firma ar fi fost, de fapt, exploatată de cineva din exterior. A doua zi a revenit cu o teorie mai grea, care le împăca pe amândouă.
Potrivit lui Simpson, echipa BlueMove și-a livrat singură portița de acces. El a arătat spre o actualizare de pachet din 31 mai, făcută de deținătorul autorizației de upgrade a contractului. În versiunea pe care a numit-o v12, susține el, ar fi fost adăugate funcții noi, printre care una de returnare a lichidității adăugate și un mecanism de dublă emitere care umfla artificial tokenurile LP. Imediat după acest upgrade, spune Simpson, pachetul a fost făcut imutabil, imposibil de mai modificat. Peste ceva mai bine de 40 de zile, atacul a pornit.
Din această cronologie, Simpson a construit o acuzație precisă. Nu a vorbit despre un simplu hack, ci despre un rug pull cu întârziere. Ideea lui este că portița ar fi fost pusă din timp, cu răbdare, iar declanșarea ei ar fi fost amânată destul cât să nu pară o legătură directă între modificarea codului și golirea fondurilor. Un covor tras de sub picioarele investitorilor, dar la câteva săptămâni după ce fusese pregătit.
Rămâne totuși de spus că vorbim despre acuzațiile unui observator, nu despre concluziile unei anchete independente. Simpson este o voce critică bine cunoscută în ecosistemul Sui și a mai atacat public rețeaua. El a mai afirmat că avertizase de trei ori factorii responsabili de la Sui asupra riscurilor legate de BlueMove, înainte de incident. Istoricul acesta îi dă greutate în ochii multora, dar nu preschimbă automat o interpretare a datelor de pe blockchain într-o dovadă a intenției. Granița dintre o eroare exploatată și o capcană pusă deliberat e, de multe ori, imposibil de trasat doar din tranzacții publice.
Cum explică BlueMove incidentul?
Versiunea oficială a echipei sună complet diferit. Pe site-ul dedicat, transformat rapid într-un registru al incidentului, BlueMove respinge ideea unei fapte comise din interior și descrie totul ca pe un atac clasic asupra unei vulnerabilități vechi.
Explicația companiei este că un atacator a exploatat o eroare veche de overflow aritmetic din contractul AMM original, publicat încă din mai 2023. Defectul ar fi stat, așadar, în cod aproape doi ani, latent și nedescoperit, până când cineva a găsit cum să îl folosească. BlueMove recunoaște că un upgrade anterior, care a trecut pe lângă această problemă, și-a adus și el partea de vină, fiindcă a blocat aplicarea unor corecții ulterioare.
Ce este un overflow aritmetic și de ce e periculos?
Ca să înțelegem de ce o astfel de eroare poate fi catastrofală, e nevoie de o scurtă coborâre în felul în care calculatoarele țin numerele. Un computer nu lucrează cu valori infinite. El rezervă un spațiu fix pentru fiecare număr, iar aici vorbim despre numere întregi pe 64 de biți, cu o limită superioară numită u64::MAX. Când un calcul depășește această limită, valoarea nu dă o eroare vizibilă, ci se rotește la capătul opus, ca un kilometraj de mașină care trece de la maxim înapoi la zero. Acesta e overflow-ul.
Într-un contract financiar, comportamentul devine o armă. Dacă reușești să provoci un overflow în logica de emitere a tokenurilor LP, contractul poate ajunge să creadă că deții o cotă uriașă din pool, mult peste ce ai depus în realitate. Exact asta pare să se fi întâmplat. Atacatorul a împins deliberat calculul dincolo de limită, a obținut un sold LP fals, aproape de valoarea maximă posibilă, apoi l-a preschimbat în active reale prin retragerea lichidității. Contractul a onorat, ascultător, o pretenție clădită integral pe o greșeală de aritmetică.
Erorile de acest fel nu sunt exotice. Ele au stat în spatele unora dintre cele mai scumpe exploatări din istoria DeFi. Periculoasă nu e complexitatea lor, ci discreția. O asemenea vulnerabilitate poate sta ani buni într-un contract altfel funcțional, invizibilă pentru utilizatorul obișnuit, până în ziua în care cineva suficient de atent o observă.
Paradoxul imutabilității pe Sui
Aici intervine o ironie legată de felul în care funcționează blockchainul Sui. Contractele de pe această rețea, scrise în limbajul Move, pot fi publicate în două feluri. Ori rămân imutabile din start, ori vin însoțite de un obiect special numit UpgradeCap, o autorizație care îi permite deținătorului să actualizeze codul ulterior. Cine controlează acest UpgradeCap controlează, în fapt, evoluția contractului.
Problema apare când autorizația este distrusă. A arde UpgradeCap înseamnă a renunța definitiv la orice modificare viitoare a contractului. E o mișcare adesea văzută ca semn de bună-credință, fiindcă ia echipei puterea de a schimba regulile în defavoarea utilizatorilor. Un contract imutabil nu mai poate fi manipulat de fondatorii lui. Numai că imutabilitatea taie în ambele sensuri.
BlueMove afirmă că UpgradeCap-ul a fost ars pe 3 iunie. Din acel moment, compania nu mai avea niciun mijloc, la nivel de blockchain, de a corecta sau de a dezactiva pachetul vulnerabil v1. Când eroarea de overflow a fost în cele din urmă exploatată, echipa se afla în situația absurdă de a-și cunoaște propria slăbiciune fără a o putea repara. Singurele soluții rămase, spune compania, ar fi o capacitate independentă de administrare sau de înghețare, dacă așa ceva există în afara autorizației deja distruse, ori o migrare completă către un pachet nou, auditat de la zero.
Se conturează astfel două povești despre aceleași fapte. În varianta BlueMove, arderea UpgradeCap-ului a fost un gest de transparență întors împotriva companiei, care a lăsat-o fără scut în fața atacului. În varianta lui Simpson, aceeași imutabilitate, aplicată imediat după introducerea unor funcții suspecte, a fost chiar instrumentul care a fixat portița în cod, imposibil de mai scos. Aceeași acțiune, două citiri opuse ale intenției din spate.
Oferta de white hat și ultimatumul de 48 de ore
În loc să pornească direct pe calea juridică, BlueMove a încercat mai întâi să negocieze cu atacatorul, folosind chiar blockchainul drept canal de comunicare. Compania a trimis un mesaj vizibil pe blockchain către o adresă cripto asociată cu jaful, cu legături spre rețeaua Ethereum. Textul, semnalat public și de conturi de monitorizare precum Defimon Alerts, avea tonul unei negocieri directe.
Formularea, tradusă, îi spunea în esență destinatarului că a golit pool-ul BlueMove și îi propunea o înțelegere. Atacatorul putea păstra 30 la sută din sumă drept recompensă de tip white hat și trebuia să returneze 70 la sută în 48 de ore, la o adresă Sui indicată explicit. Dacă banii se întorceau, cazul urma să fie considerat închis. Altfel, compania promitea că va urmări toate căile legale și de recuperare disponibile.
Termenul white hat apare des în astfel de situații. În securitatea informatică, un hacker white hat este unul etic, care descoperă vulnerabilități și le raportează pentru o recompensă, în loc să profite de ele. Oferindu-i atacatorului această ieșire, BlueMove îi propunea, practic, să se rescrie retroactiv din răufăcător în cercetător de securitate plătit. Practica e obișnuită în cripto, fiindcă recuperarea a 70 la sută din fonduri, fără proces și fără ani de urmărire, e adesea preferabilă unei victorii teoretice în instanță împotriva unui atacator anonim.
La cursul din acele zile, cei 30 la sută păstrați de atacator ar fi însemnat aproximativ 150.000 de dolari, presupunând că valoarea celor 700.000 de tokenuri SUI se menținea în jurul a 500.000 de dolari. În momentul primelor relatări, atacatorul mai avea puțin peste 12 ore ca să răspundă ofertei.
BlueMove a adăugat o promisiune care schimbă complet miza pentru utilizatorii obișnuiți. Dacă atacatorul nu răspunde în cele 48 de ore, compania spune că îi va despăgubi integral pe toți cei afectați. În aceeași declarație, echipa a anunțat că proiectul își va înceta activitatea. Operațiunile rămân suspendate cât timp ancheta continuă. Chiar dacă utilizatorii și-ar recupera pierderile, platforma pe care își țineau lichiditatea nu va mai exista.
De ce se vorbește despre o lucrătură din interior?
Dincolo de acuzațiile punctuale ale lui Simpson, câteva lucruri împing o parte a comunității spre ideea unei fapte comise din interior, chiar în lipsa unei dovezi definitive.
O parte a neîncrederii vine din natura fondurilor lovite. Nu au dispărut depozite oarecare, ci exact lichiditatea despre care proiectele credeau că e blocată și, prin urmare, protejată. Când sunt golite tocmai rezervele considerate cele mai sigure, gândul că a fost implicat cineva cu acces privilegiat vine aproape de la sine.
Comportamentul recent al platformei a adâncit bănuiala. Unii observatori, printre care un utilizator cunoscut pe X drept saksidasaksi, au susținut că BlueMove elimina activ pool-uri din propria aplicație și că dezvoltarea proiectului fusese oprită de mult. În această citire, o echipă care oricum se retrăgea din activitate ar fi avut și mijloacele, și motivul de a aduna lichiditatea rămasă.
Peste toate se așază un istoric care nu joacă în favoarea companiei. BlueMove nu e la prima retragere abruptă. În august 2023, proiectul anunța că își oprește operațiunile pe rețeaua Sei în doar 72 de ore, invocând un volum de tranzacționare sub așteptări și cerându-le utilizatorilor să își retragă listările. Activitatea DEX-ului, urmărită în timp de agregatoare independente precum DefiLlama, arăta oricum o platformă mult diminuată față de anii ei buni. Un asemenea precedent de retragere rapidă, cu preaviz minim, hrănește neîncrederea când apare din nou o dispariție bruscă de fonduri.
Toate acestea alcătuiesc un caz circumstanțial, nu o dovadă. Distincția contează. Un tipar suspect nu e totuna cu vinovăția, iar o eroare veche exploatată de un terț ar putea explica la fel de bine faptele. Ancheta în desfășurare și un eventual răspuns al atacatorului sunt cele care ar putea limpezi ce s-a petrecut. Până una-alta, comunitatea rămâne împărțită între cele două povești.
Un tipar tot mai frecvent în finanțele descentralizate
Cazul BlueMove nu e un accident izolat, ci o piesă dintr-un peisaj devenit tot mai familiar în ultimele luni. Aceeași perioadă a adus o serie de incidente asemănătoare, fiecare cu nuanțele lui, toate cu același final dureros pentru utilizatori.
Cu doar câteva zile înainte, platforma SecondFi anunța că se închide după o exploatare legată de un portofel Cardano. Ceva mai devreme în aceeași lună, o platformă DeFi numită Summer Finance pierdea șase milioane de dolari printr-o exploatare a unui seif de fonduri. Puse cap la cap, aceste episoade conturează un tipar în care protocoale mici și mijlocii sunt golite prin vulnerabilități tehnice, iar echipele aleg deseori să închidă proiectul în loc să reziste sub povara pierderilor și a neîncrederii.
Ce leagă aceste cazuri este o tensiune de fond a întregii industrii. Finanțele descentralizate s-au clădit pe promisiunea că scoaterea intermediarilor umani, înlocuiți de cod transparent, ar elimina riscul de abuz. În practică, codul poate ascunde erori la fel de costisitoare ca orice fraudă omenească, iar transparența blockchainului, deși reală, nu aduce mereu și claritatea intenției. Poți vedea fiecare tranzacție, poți reconstitui fiecare pas al atacatorului, dar nu poți citi din datele de pe lanț dacă în spatele unei portițe a stat neglijența, ghinionul sau reaua-credință.
Această ambiguitate e chiar terenul pe care se poartă disputa BlueMove. Într-o bancă tradițională, o anchetă ar putea confisca documente, audia angajați și reconstitui deciziile interne. În DeFi, ancheta se izbește deseori de un zid. Adresele sunt anonime, jurisdicțiile neclare, iar singura pârghie reală rămâne, adesea, tocmai o ofertă de recompensă adresată public atacatorului, în speranța că lăcomia moderată o învinge pe cea totală.
Ce urmează pentru utilizatori și pentru rețeaua Sui?
Pentru cei care și-au pierdut banii, promisiunea despăgubirii integrale e singura veste bună, dar rămâne condiționată. Totul depinde de ce se întâmplă la capătul ferestrei de 48 de ore și de resursele reale pe care compania le are ca să își onoreze angajamentul, mai ales când anunță în același timp că se retrage din activitate. O promisiune de despăgubire venită de la o platformă care se închide e, prin firea ei, mai fragilă decât una făcută de una care rămâne pe piață.
Incidentul apasă și pe rețeaua Sui în ansamblu, chiar dacă vina tehnică aparține unui singur protocol. Întrebată de publicația Protos despre golirea fondurilor și despre recuperarea lor, o purtătoare de cuvânt a rețelei Sui a răspuns scurt, fără comentarii. O astfel de tăcere, oricât de prudentă juridic, riscă să adâncească nemulțumirea unei părți a comunității. Simpson, de altfel, acuzase cu puține zile înainte că Mysten Labs și Fundația Sui ar fi împins la margine majoritatea proiectelor construite pe rețea, favorizând doar câteva. Într-un asemenea climat, fiecare incident nou devine și o muniție în disputa mai veche despre cine răspunde de sănătatea ecosistemului.
Pentru investitorul obișnuit, lecția e mai puțin spectaculoasă, dar mai durabilă decât orice teorie a conspirației. Eticheta de lichiditate blocată nu e o garanție absolută, ci o afirmație care depinde de codul din spate și de cine controlează acel cod. Un contract imutabil poate fi la fel de periculos ca unul modificabil, dacă imutabilitatea a fost fixată tocmai peste o vulnerabilitate. Iar un proiect cu istoric de retrageri rapide cere o prudență pe care entuziasmul unui token nou o alungă mult prea ușor.
Deocamdată, adevărul despre ce s-a petrecut pe BlueMove stă suspendat între două relatări la fel de convinse și la fel de greu de verificat complet din exterior. Poate fi povestea unei erori vechi de doi ani, ascunsă în cod până în ziua în care cineva a dat de ea. Sau poate fi povestea unei portițe puse cu răbdare și declanșate la momentul potrivit. Răspunsul, dacă va veni vreodată, va ține mai puțin de indignarea de pe rețelele sociale și mai mult de urmele reci pe care atacatorul, oricine ar fi el, le-a lăsat în urmă pe blockchain.
Intrebari Frecvente(FAQ)
Un atacator a golit lichiditatea din 389 de pool-uri administrate de BlueMove, un exchange descentralizat de pe blockchainul Sui, scoțând aproximativ 710.000 de tokenuri SUI, în valoare de circa 500.000 de dolari. Extragerea s-a produs într-o singură seară, între orele 20:46 și 23:43 UTC.
Estimările variază între 400.000 și 550.000 de dolari, în funcție de cursul SUI folosit în calcul. Cifra cea mai des citată, 500.000 de dolari, provine din înmulțirea celor aproximativ 700.000 de tokenuri cu un curs de circa 0,70 de dolari pe SUI. În tokenuri, suma confirmată de raportul BlueMove este de 710.670,26 SUI.
Există două versiuni concurente. Tyler Simpson, fondatorul Quantum Void Labs, susține că echipa BlueMove a introdus deliberat o portiță printr-o actualizare de cod din 31 mai și numește incidentul un rug pull cu întârziere. BlueMove respinge această interpretare și afirmă că a fost exploatată o eroare veche din contractul său. Deocamdată nu există o anchetă independentă care să confirme una dintre variante.
Atacatorul a exploatat o eroare de overflow aritmetic din logica de emitere a tokenurilor LP. Combinând un depozit real neglijabil cu o cantitate uriașă dintr-un token de valoare mică, a generat un sold fals de tokenuri LP, apropiat de limita maximă a unui număr întreg pe 64 de biți, apoi l-a preschimbat în active reale prin retragerea lichidității.
UpgradeCap este autorizația care permite modificarea unui contract publicat pe blockchainul Sui. BlueMove afirmă că a ars această autorizație pe 3 iunie, ceea ce a făcut contractul imutabil. După acel moment, compania nu a mai putut corecta vulnerabilitatea, iar Simpson consideră că tocmai imutabilitatea a fixat definitiv portița în cod.
BlueMove a promis despăgubirea integrală a utilizatorilor afectați dacă atacatorul nu returnează fondurile în cele 48 de ore. Promisiunea rămâne condiționată, mai ales că, în aceeași declarație, compania a anunțat că își încetează activitatea.