Sâmbătă seara, 11 iulie 2026, în mai puțin de trei ore, lichiditatea a 389 de pool-uri administrate de BlueMove a dispărut. Aproximativ 710.670 de tokenuri SUI, cam 500.000 de dolari la cursul acelor zile, au ieșit din unul dintre cele mai vechi exchange-uri descentralizate construite pe blockchainul Sui. Traderii care au deschis aplicația duminică dimineața au găsit grafice căzute la zero și rezerve pe care le credeau intangibile, evaporate fără niciun avertisment.
Ce a urmat nu a fost furia obișnuită de după o pierdere. A fost o dispută purtată în direct pe rețelele sociale și, la propriu, pe blockchain, în jurul unei întrebări la care nimeni nu răspunde deocamdată cu certitudine. A fost o eroare veche, găsită de un atacator din afară, așa cum susține echipa BlueMove, sau o portiță lăsată deschisă chiar de oamenii care ar fi trebuit să păzească banii utilizatorilor.
Cronologia unei seri în care 389 de pool-uri au rămas goale
Raportul publicat ulterior de BlueMove fixează intervalul în care s-a produs extragerea, între orele 20:46 și 23:43 UTC. Un singur portofel a operat sistematic, pool după pool, prin sute de tranzacții. Cifra confirmată de companie este de 710.670,26 SUI.
Valoarea în dolari a variat de la o relatare la alta, firesc atunci când prețul unui token se mișcă în timp real. Estimările comunității s-au așezat între 400.000 și 550.000 de dolari, în timp ce mesajul lăsat de echipă direct pe lanț vorbea despre un pool golit de circa 400.000. Reperul repetat cel mai des, 500.000, iese dintr-o înmulțire simplă, aproximativ 700.000 de tokenuri la un curs de 0,70 de dolari pe SUI.
Tokenurile lovite nu au fost alese la întâmplare. Aproape toate proveneau din MovePump, un launchpad de tip bonding curve folosit pe Sui mai ales de proiecte meme mici și mai vechi, care își țineau rezerva principală în contractele BlueMove. Pentru ele, un pool golit nu e o pierdere contabilă, ci dispariția pieței. Fără lichiditate, nimeni nu mai poate cumpăra sau vinde la un preț rezonabil. Cazul citat cel mai des este Beeg Blue Whale, rămas peste noapte fără temelia financiară pe care se sprijinea.
Incidentul a fost reconstituit pas cu pas, cu datele de pe lanț puse alături de cele două versiuni concurente, de Cryptology.ro, publicația de știri și analize crypto în limba română care urmărește de ani de zile atacurile din DeFi, dar și subiecte de graniță precum Polymarket in Romania, acolo unde piața și reglementarea se ating.
De ce lichiditatea blocată era exact partea care nu trebuia atinsă
Pentru cineva din afara lumii cripto, câțiva termeni cer o traducere înainte ca miza să iasă la suprafață. BlueMove este un exchange descentralizat, prescurtat DEX. Spre deosebire de o bursă clasică, unde o companie ține banii clienților și potrivește ordinele, un DEX funcționează printr-un set de contracte inteligente. Nu are birou, casier sau registru central. Regulile stau scrise în cod, iar codul rulează pe blockchain.
Ca să schimbi un token cu altul pe o astfel de platformă, ai nevoie de rezerve din ambele. Ele se numesc pool-uri de lichiditate, iar prețul e stabilit de o formulă matematică ce reacționează la raportul dintre rezerve, mecanism cunoscut sub numele de automated market maker. Cine depune bani în pool primește în schimb tokenuri LP, un fel de chitanță care îi atestă cota și îi permite ulterior să își retragă partea, împreună cu comisioanele adunate.
Aici intervine noțiunea de lichiditate blocată. Proiectele tinere, mai ales cele meme, au un istoric prost al încrederii, fiindcă fondatorii au fugit adesea cu banii imediat după lansare, într-o practică numită în jargon rug pull. Ca să contreze suspiciunea, echipele serioase își blochează rezervele și promit că acestea nu vor putea fi retrase o perioadă anume sau deloc.
Tocmai de asta a durut atât. Ce a dispărut de pe BlueMove nu erau depozite libere, pe care oricine se aștepta să le poată pierde. Erau exact rezervele despre care li se spusese oamenilor că sunt de neatins. Când se evaporă partea considerată cea mai sigură, se năruie ceva mai adânc decât o poziție financiară.
Acuzația lui Tyler Simpson și teoria unui rug pull cu întârziere
Primul care a tras semnalul de alarmă a fost Tyler Simpson, fondatorul Quantum Void Labs, cunoscut pe X drept quantumvoidlabs. Chiar în timp ce pool-urile se goleau, a publicat capturi de ecran care păreau să arate peste 700.000 de tokenuri SUI ieșind din lichiditatea blocată.
Poziția lui s-a schimbat de câteva ori în câteva ore, iar ezitarea spune ceva despre confuzia acelui weekend. La început a acuzat platforma că își golește singură pool-urile și a sugerat că fapta ar putea fi o infracțiune. Mai târziu a nuanțat și a admis că firma ar fi putut fi exploatată din exterior. A doua zi a revenit cu o teorie care le împăca pe amândouă.
Simpson a arătat spre o actualizare de pachet din 31 mai, făcută de deținătorul autorizației de upgrade. În versiunea pe care a numit-o v12 ar fi apărut funcții noi, printre care una de returnare a lichidității adăugate și un mecanism de dublă emitere, capabil să umfle artificial tokenurile LP. Imediat după acel upgrade, spune el, pachetul a fost făcut imutabil. Peste ceva mai bine de 40 de zile a pornit atacul. De aici acuzația de rug pull cu întârziere, o portiță pusă din timp, cu răbdare, și declanșată suficient de târziu cât să nu pară legată de modificarea codului.
Rămâne de spus că vorbim despre interpretarea unui observator, nu despre concluziile unei anchete independente. Simpson e o voce critică bine cunoscută în ecosistemul Sui și a mai atacat public rețeaua, susținând că avertizase de trei ori factorii responsabili în privința BlueMove. Istoricul îi dă greutate, dar nu preschimbă automat o citire a datelor de pe lanț într-o dovadă a intenției.
Versiunea BlueMove și eroarea care a stat ascunsă aproape doi ani
Explicația oficială sună complet altfel. Compania respinge ideea unei fapte comise din interior și descrie totul ca pe un atac clasic asupra unei vulnerabilități vechi, un overflow aritmetic din contractul AMM original, publicat încă din mai 2023. Defectul ar fi stat în cod aproape doi ani, latent, până când cineva a găsit cum să îl folosească. BlueMove recunoaște că un upgrade anterior, care a trecut pe lângă problemă, și-a adus și el partea de vină, fiindcă a blocat aplicarea unor corecții ulterioare.
Cum funcționează un overflow aritmetic
Un computer nu lucrează cu valori infinite. Rezervă un spațiu fix pentru fiecare număr, iar în cazul de față vorbim despre întregi pe 64 de biți, cu o limită superioară numită u64::MAX. Când un calcul depășește pragul, valoarea nu dă o eroare vizibilă, ci se rotește la capătul opus, ca un kilometraj de mașină care trece de la maxim înapoi la zero.
Într-un contract financiar, comportamentul devine armă. Atacatorul a cuplat un depozit real neglijabil cu o cantitate uriașă dintr-un token de valoare mică, a împins deliberat calculul dincolo de limită și a obținut un sold LP fals, apropiat de maximul posibil. Apoi l-a preschimbat în active reale prin funcția de retragere a lichidității. Contractul a onorat, ascultător, o pretenție clădită integral pe o greșeală de aritmetică. Unele încercări au fost oprite de verificările interne, însă destule au trecut.
Erorile de acest fel nu sunt exotice. Ele stau în spatele unora dintre cele mai scumpe exploatări din istoria DeFi, iar periculoasă nu e complexitatea lor, ci discreția. O astfel de vulnerabilitate poate rămâne ani buni într-un contract altfel funcțional, invizibilă pentru utilizatorul obișnuit, până în ziua în care cineva suficient de atent o observă. Anul acesta a mai dat un exemplu la fel de instructiv, atacul de 3,2 milioane de dolari care a lovit protocolul Squid, unde disputa a pornit tot de la un modul pe care echipa nu îl recunoștea drept al ei.
Capcana imutabilității pe Sui
Contractele scrise în limbajul Move pot fi publicate în două feluri. Ori rămân imutabile din start, ori vin însoțite de un obiect special numit UpgradeCap, autorizația care permite actualizarea codului. A arde acest UpgradeCap înseamnă a renunța definitiv la orice modificare viitoare, gest văzut de obicei ca semn de bună-credință, fiindcă ia echipei puterea de a schimba regulile în defavoarea utilizatorilor.
BlueMove afirmă că autorizația a fost arsă pe 3 iunie. Din acel moment, compania nu mai avea niciun mijloc, la nivel de blockchain, de a corecta pachetul vulnerabil. Când eroarea a fost în cele din urmă exploatată, echipa își cunoștea propria slăbiciune fără să o poată repara.
Se conturează astfel două citiri ale aceluiași gest. Pentru BlueMove, arderea UpgradeCap-ului a fost un act de transparență întors împotriva companiei. Pentru Simpson, aceeași imutabilitate, aplicată imediat după introducerea unor funcții suspecte, a fost chiar instrumentul care a fixat portița în cod.
Negocierea purtată pe blockchain
În loc să pornească direct pe calea juridică, BlueMove a încercat mai întâi să negocieze cu atacatorul, folosind lanțul drept canal de comunicare. Compania a trimis către adresa asociată jafului un mesaj vizibil public, semnalat și de conturi de monitorizare precum Defimon Alerts. Propunerea era limpede. Atacatorul putea păstra 30 la sută din sumă drept recompensă de tip white hat, cu obligația de a returna restul de 70 la sută în 48 de ore, la o adresă Sui indicată explicit. Dacă banii se întorceau, cazul urma să fie considerat închis. Altfel, compania promitea că va urmări toate căile legale disponibile.
Termenul white hat descrie hackerul etic, cel care raportează vulnerabilitățile în schimbul unei recompense în loc să profite de ele. Practic, BlueMove îi oferea atacatorului șansa de a se rescrie retroactiv din răufăcător în cercetător de securitate plătit. Practica e obișnuită în cripto, fiindcă recuperarea a 70 la sută din fonduri, fără proces și fără ani de urmărire, bate adesea o victorie teoretică în instanță împotriva unui anonim. La cursul acelor zile, partea rămasă atacatorului ar fi însemnat vreo 150.000 de dolari.
Compania a adăugat și o promisiune care schimbă miza pentru utilizatorii obișnuiți. Dacă atacatorul nu răspunde în cele 48 de ore, toți cei afectați vor fi despăgubiți integral. În aceeași declarație, echipa a anunțat că proiectul își încetează activitatea. Chiar dacă oamenii își recuperează pierderile, platforma pe care își țineau lichiditatea nu va mai exista.
Ce hrănește suspiciunea de lucrătură internă
Dincolo de acuzațiile lui Simpson, câteva lucruri împing o parte a comunității spre ipoteza unei fapte comise din interior, chiar în absența unei dovezi. Neîncrederea vine, întâi de toate, din natura fondurilor lovite. Apoi, comportamentul recent al platformei a adâncit bănuiala, fiindcă unii observatori au susținut că BlueMove elimina activ pool-uri din propria aplicație și că dezvoltarea proiectului fusese oprită de mult. În această citire, o echipă care oricum se retrăgea ar fi avut și mijloacele, și motivul.
Peste toate se așază un precedent care nu joacă în favoarea companiei. În august 2023, BlueMove anunța că își oprește operațiunile pe rețeaua Sei în doar 72 de ore, invocând un volum sub așteptări. Datele agregatoarelor independente precum DefiLlama arătau oricum o platformă mult diminuată față de anii ei buni. Un istoric de retrageri rapide, cu preaviz minim, hrănește suspiciunea când apare din nou o dispariție bruscă de fonduri. Toate acestea alcătuiesc însă un caz circumstanțial, nu o probă. Un tipar suspect nu e totuna cu vinovăția, iar o eroare veche exploatată de un terț ar putea explica la fel de bine faptele.
Un tipar care se repetă în finanțele descentralizate
Cazul nu e izolat. Cu doar câteva zile înainte, platforma SecondFi anunța că se închide după o exploatare legată de un portofel Cardano. Ceva mai devreme în aceeași lună, Summer Finance pierdea șase milioane de dolari printr-un atac asupra unui seif de fonduri. Iar dacă mergem cu câteva luni în urmă, tiparul se vede și mai clar, de la golirea Gravity Bridge de 5,4 milioane de dolari după furtul unei chei de semnătură până la răspunsul de urgență declanșat în toată rețeaua THORChain. Protocoale mici și mijlocii sunt golite prin vulnerabilități tehnice, iar echipele aleg deseori să închidă proiectul în loc să reziste sub povara pierderilor și a neîncrederii.
Finanțele descentralizate s-au clădit pe promisiunea că înlocuirea intermediarilor umani cu un cod transparent ar elimina riscul de abuz. În practică, codul poate ascunde erori la fel de costisitoare ca orice fraudă omenească, iar transparența lanțului, deși reală, nu aduce și claritatea intenției.
Poți vedea fiecare tranzacție și poți reconstitui fiecare pas al atacatorului, dar nu poți citi din datele publice dacă în spatele unei portițe a stat neglijența, ghinionul sau reaua-credință. Într-o bancă tradițională, o anchetă ar confisca documente și ar audia angajați. În DeFi, adresele sunt anonime, jurisdicțiile neclare, iar singura pârghie rămâne adesea o ofertă publică adresată chiar atacatorului, în speranța că lăcomia moderată o învinge pe cea totală.
Materialul de referință pentru acest caz îi aparține lui Mihai Popa, analist și jurnalist crypto la Cryptology.ro, care a documentat incidentul pornind de la raportul companiei, de la tranzacțiile vizibile pe blockchain și de la relatările publicației Protos.
Ce rămâne de urmărit pentru utilizatori și pentru rețeaua Sui
Pentru cei care și-au pierdut banii, promisiunea despăgubirii integrale e singura veste bună, însă rămâne condiționată de resursele reale ale unei companii care anunță în același timp că se retrage. O garanție venită de la o platformă care se închide e, prin firea ei, mai fragilă decât una făcută de una care rămâne pe piață.
Incidentul apasă și pe Sui în ansamblu, chiar dacă vina tehnică aparține unui singur protocol. Întrebată de publicația Protos despre golirea fondurilor și despre șansele de recuperare, o purtătoare de cuvânt a rețelei a răspuns scurt, fără comentarii. Tăcerea, oricât de prudentă juridic, riscă să adâncească nemulțumirea unei comunități care se ceartă oricum de ceva vreme pe tema priorităților ecosistemului.
Pentru investitorul obișnuit, lecția e mai puțin spectaculoasă decât orice teorie a conspirației, dar mai durabilă. Eticheta de lichiditate blocată nu e o garanție absolută, ci o afirmație care depinde de codul din spate și de cine controlează acel cod. Un contract imutabil poate fi la fel de periculos ca unul modificabil, dacă imutabilitatea a fost fixată tocmai peste o vulnerabilitate. Iar prudența nu ține doar de contracte, fiindcă anul acesta au căzut oameni și pe căi mult mai banale, de la valul de escrocherii cu memecoinuri pe Robinhood Chain până la programe care fură portofele direct din calculatoarele dezvoltatorilor.
Deocamdată, adevărul stă suspendat între două relatări la fel de convinse. Poate fi povestea unei erori vechi de doi ani, ascunsă în cod până în ziua în care cineva a dat de ea. Sau povestea unei portițe puse cu răbdare și declanșate la momentul potrivit. Răspunsul, dacă va veni, va ține mai puțin de indignarea de pe rețelele sociale și mai mult de urmele reci lăsate pe blockchain de cel care le-a produs.
Intrebari frecvente
Ce s-a întâmplat cu BlueMove pe 11 iulie 2026?
Un atacator a golit lichiditatea din 389 de pool-uri administrate de BlueMove, un exchange descentralizat de pe blockchainul Sui, scoțând 710.670,26 de tokenuri SUI, în valoare de circa 500.000 de dolari. Extragerea s-a produs într-o singură seară, între orele 20:46 și 23:43 UTC.
Cât s-a pierdut de fapt în incidentul BlueMove?
Estimările variază între 400.000 și 550.000 de dolari, în funcție de cursul SUI folosit în calcul. Cifra cea mai des citată, 500.000 de dolari, provine din înmulțirea celor aproximativ 700.000 de tokenuri cu un curs de circa 0,70 de dolari pe SUI. În tokenuri, suma confirmată de raportul companiei este de 710.670,26 SUI.
A fost un hack sau o lucrătură din interior?
Există două versiuni concurente. Tyler Simpson, fondatorul Quantum Void Labs, susține că echipa BlueMove a introdus deliberat o portiță printr-o actualizare de cod din 31 mai și numește incidentul un rug pull cu întârziere. BlueMove respinge interpretarea și afirmă că a fost exploatată o eroare veche din contractul său. Nu există deocamdată o anchetă independentă care să confirme una dintre variante.
Cum a funcționat tehnic atacul asupra BlueMove?
Atacatorul a exploatat o eroare de overflow aritmetic din logica de emitere a tokenurilor LP. Combinând un depozit real neglijabil cu o cantitate uriașă dintr-un token de valoare mică, a generat un sold fals de tokenuri LP, apropiat de limita maximă a unui număr întreg pe 64 de biți, apoi l-a preschimbat în active reale prin retragerea lichidității.
Ce este UpgradeCap și de ce contează?
UpgradeCap este autorizația care permite modificarea unui contract publicat pe blockchainul Sui. BlueMove afirmă că a ars această autorizație pe 3 iunie, ceea ce a făcut contractul imutabil. După acel moment, compania nu a mai putut corecta vulnerabilitatea, iar Simpson consideră că tocmai imutabilitatea a fixat definitiv portița în cod.
Își vor recupera utilizatorii banii?
BlueMove a promis despăgubirea integrală a celor afectați dacă atacatorul nu returnează fondurile în cele 48 de ore. Promisiunea rămâne condiționată, mai ales că, în aceeași declarație, compania a anunțat că își încetează activitatea.
Sursa originală: Jaf de 500.000 de dolari în SUI pe BlueMove alimentează suspiciunile unei lucrături din interior, Cryptology.ro, 15 iulie 2026.







