Pengantar

Insiden ini adalah kemenangan bagi modal, bukan bagi pengguna, dan ini adalah kemunduran bagi perkembangan industri.

Bitcoin ke kiri, Sui ke kanan, setiap guncangan di industri terdesentralisasi membawa keyakinan yang lebih kuat pada Bitcoin.

Dunia tidak hanya membutuhkan infrastruktur keuangan global yang lebih baik, tetapi akan selalu ada sekelompok orang yang membutuhkan ruang yang bebas.

Dahulu kala, rantai konsorsium lebih populer daripada rantai publik karena mereka memenuhi kebutuhan regulasi di era itu. Hari ini, penurunan rantai konsorsium sebenarnya berarti bahwa hanya mematuhi persyaratan ini tidak mencerminkan kebutuhan nyata pengguna. Dengan hilangnya pengguna yang diatur, apa kebutuhan alat regulasi?

1. Latar Belakang Acara

Pada 22 Mei 2025, Cetus, bursa terdesentralisasi (DEX) terbesar dalam ekosistem rantai publik Sui, mengalami serangan hacker, yang mengakibatkan penurunan likuiditas secara instan, runtuhnya harga untuk beberapa pasangan perdagangan, dan kerugian melebihi $220 juta.

Pada saat publikasi, garis waktu adalah sebagai berikut:

• Pada pagi hari tanggal 22 Mei, seorang peretas menyerang Cetus, mengekstrak $230 juta. Cetus dengan mendesak menghentikan kontrak dan mengeluarkan pengumuman.
• Pada tanggal 22 Mei sore, seorang Hacker mentransfer sekitar 60 juta dolar melintasi rantai, sementara sisa 162 juta dolar masih ada di alamat rantai Sui. Node validator Sui dengan cepat mengambil tindakan, menambahkan alamat hacker ke "Daftar Larangan" dan membekukan dana tersebut.
• Pada malam tanggal 22 Mei, Sui CPO@emanabioKonfirmasi tweet: Dana telah dibekukan, dan pengembalian dana akan dimulai segera.
• Pada 23 Mei, Cetus mulai memperbaiki kerentanan dan memperbarui kontrak.
• Pada 24 Mei, PR open-source Sui menjelaskan bahwa dana akan segera dipulihkan melalui mekanisme aliasing dan whitelist.
• Pada 26 Mei, Sui memulai pemungutan suara pemerintahan di blockchain, mengusulkan apakah akan melakukan peningkatan protokol dan mentransfer aset Hacker ke alamat kustodian.
• Pada 29 Mei, hasil pemungutan suara diumumkan, dengan lebih dari 2/3 bobot node validator mendukung; peningkatan protokol siap untuk dilaksanakan.
• Dari 30 Mei hingga awal Juni, peningkatan protokol mulai berlaku, hash perdagangan yang ditentukan dieksekusi, dan aset peretas "secara sah dipindahkan."

2. Prinsip Serangan

Mengenai prinsip-prinsip acara, industri telah menerbitkan beberapa pernyataan. Di sini, kami hanya memberikan gambaran umum tentang prinsip-prinsip inti:

Dari perspektif proses serangan:

Penyerang pertama-tama meminjam sekitar 10.024.321,28 haSUI menggunakan pinjaman kilat, yang segera menyebabkan harga di kolam perdagangan turun.

99,90%. Pesanan penjualan besar ini menyebabkan harga kolam target turun dari sekitar 1,8956×10^19 menjadi 1,8425×10^19, hampir menghabiskan.

Selanjutnya, penyerang membuat posisi likuiditas di Cetus dalam rentang yang sangat sempit (Batas bawah Tick 300000, batas atas 300200, dengan lebar rentang hanya 1,00496621%). Rentang yang sempit seperti itu memperbesar dampak kesalahan perhitungan selanjutnya pada jumlah token yang diperlukan.

Prinsip dasar dari serangan:

Ada kerentanan overflow integer dalam fungsi get_delta_a yang digunakan oleh Cetus untuk menghitung jumlah token yang diperlukan. Seorang penyerang dengan sengaja mengklaim untuk menambahkan likuiditas besar (sekitar 10^37 unit), tetapi sebenarnya hanya menyumbangkan 1 token ke kontrak.

Karena kondisi deteksi overflow yang tidak tepat dari checked_shlw, kontrak mengalami pemotongan bit tinggi selama perhitungan pergeseran kiri, menyebabkan sistem sangat meremehkan jumlah haSUI yang diperlukan, sehingga memperoleh jumlah likuiditas yang besar dengan biaya yang sangat rendah.

Secara teknis, kerentanan yang disebutkan di atas berasal dari Cetus yang menggunakan masker dan kondisi penilaian yang salah dalam kontrak pintar Move, memungkinkan nilai apa pun yang kurang dari 0xffffffffffffffff << 192 untuk lolos dari deteksi; lebih jauh lagi, data urutan tinggi dipotong setelah pergeseran ke kiri sebesar 64 bit, menyebabkan sistem percaya bahwa ia telah memperoleh likuiditas yang signifikan hanya dengan sejumlah kecil token yang dikumpulkan.

Setelah insiden terjadi, dua operasi resmi muncul: "Freeze" vs "Recover", yang merupakan dua fase:

• Fase pembekuan diselesaikan melalui Daftar Penolakan + konsensus node;
• Fase pemulihan memerlukan peningkatan protokol on-chain + pemungutan suara komunitas + pelaksanaan transaksi yang ditentukan untuk menghindari daftar hitam.

3. Mekanisme pembekuan Sui

Rantai Sui itu sendiri memiliki mekanisme Daftar Larangan khusus yang telah memungkinkan pembekuan dana dari peretas ini. Selain itu, standar token Sui juga memiliki model "token yang diatur", yang mencakup fungsi pembekuan bawaan.

Pembekuan darurat ini memanfaatkan karakteristik ini: node validator dengan cepat menambahkan alamat yang terkait dengan dana yang dicuri dalam file konfigurasi lokal mereka. Secara teori, setiap operator node dapat memodifikasi TransactionDenyConfig untuk memperbarui daftar hitam, tetapi untuk memastikan konsistensi jaringan, Sui Foundation, sebagai penerbit konfigurasi asli, mengoordinasikan secara terpusat.

Yayasan pertama kali secara resmi merilis pembaruan konfigurasi yang berisi alamat peretas, dan validator menyinkronkan sesuai dengan konfigurasi default, sementara "menyegel" dana peretas di rantai. Sebenarnya, ada faktor-faktor yang sangat terpusat di balik ini.

Untuk menyelamatkan korban dari dana yang beku, tim Sui dengan cepat meluncurkan patch mekanisme daftar putih.

Ini adalah untuk operasi mentransfer dana kembali di masa depan. Anda dapat membangun transaksi yang sah sebelumnya dan mendaftarkannya di whitelist. Bahkan jika alamat dana masih ada di blacklist, itu masih dapat dipaksa untuk dieksekusi.

Fitur baru ini transaction_allow_list_skip_all_checks memungkinkan transaksi tertentu untuk ditambahkan sebelumnya ke "daftar pengecualian", memungkinkan transaksi ini untuk melewati semua pemeriksaan keamanan, termasuk tanda tangan, izin, daftar hitam, dll.

Penting untuk dicatat bahwa patch whitelist tidak secara langsung menyita aset hacker; itu hanya memberikan kemampuan kepada transaksi tertentu untuk melewati pembekuan, sementara transfer aset yang sebenarnya masih memerlukan tanda tangan hukum atau modul izin sistem tambahan untuk diselesaikan.

Faktanya, solusi pembekuan utama di industri sering terjadi pada tingkat kontrak token dan dikendalikan oleh multi-tanda tangan dari penerbit.

Mengambil USDT yang diterbitkan oleh Tether sebagai contoh, kontraknya memiliki fungsi daftar hitam bawaan, yang memungkinkan perusahaan penerbit untuk membekukan alamat yang tidak sesuai, mencegah mereka mentransfer USDT. Skema ini memerlukan tanda tangan ganda untuk memulai permintaan pembekuan di rantai, dan hanya dilaksanakan setelah tanda tangan ganda mencapai kesepakatan, sehingga ada keterlambatan dalam pelaksanaan.

Mekanisme pembekuan Tether efektif, tetapi statistik menunjukkan bahwa proses multi-tanda tangan sering memiliki "jendela kesempatan," memberikan ruang bagi penjahat untuk memanfaatkan.

Sebaliknya, pembekuan Sui terjadi pada tingkat protokol yang mendasari, dioperasikan secara kolektif oleh node validator, dengan kecepatan yang jauh lebih cepat daripada panggilan kontrak biasa.

Dalam model ini, untuk mengeksekusi dengan cepat berarti bahwa manajemen node validator ini sendiri sangat terintegrasi.

4. Prinsip implementasi dari "daur ulang berbasis transfer" Sui.

Yang lebih mengejutkan, Sui tidak hanya membekukan aset peretas tetapi juga berencana untuk menerapkan peningkatan on-chain untuk "mengembalikan" dana yang dicuri.

Pada 27 Mei, Cetus mengusulkan rencana pemungutan suara komunitas untuk meningkatkan protokol dan mengirimkan dana yang dibekukan ke dompet kustodi multi-tanda tangan. Yayasan Sui segera memulai pemungutan suara tata kelola on-chain.

Pada 29 Mei, hasil pemungutan suara diumumkan, dengan sekitar 90,9% dari validator berbobot mendukung proposal tersebut. Pejabat Sui mengumumkan bahwa setelah proposal disetujui, "semua dana yang dibekukan di dua akun Hacker akan dipulihkan ke dompet multi-tanda tangan tanpa perlu tanda tangan dari Hacker."

Tidak ada tanda tangan hacker yang diperlukan, fitur yang sangat unik, industri blockchain belum pernah memiliki metode perbaikan seperti ini.

Dari PR GitHub resmi Sui, jelas bahwa protokol telah memperkenalkan mekanisme pengaliasan alamat. Pembaruan ini mencakup: pra-menyeleksi aturan alias dalam ProtocolConfig, memungkinkan transaksi tertentu yang diizinkan untuk mempertimbangkan tanda tangan yang valid sebagai yang dikirim dari akun Hacker.

Secara khusus, daftar hash transaksi penyelamatan yang akan dilaksanakan terikat pada alamat target (yaitu, alamat Hacker). Setiap eksekutor yang menandatangani dan menerbitkan ringkasan transaksi tetap ini dianggap telah memulai transaksi sebagai pemilik yang sah dari alamat Hacker. Untuk transaksi khusus ini, sistem node validator akan melewati pemeriksaan Daftar Penolakan.

Dari perspektif kode, Sui telah menambahkan pemeriksaan berikut dalam logika validasi transaksi: ketika sebuah transaksi dicegat oleh daftar hitam, sistem memeriksa penandatanganya untuk memastikan apakah protocol_config.is_tx_allowed_via_aliasing(sender, signer, tx_digest) bernilai true.

Selama ada penandatangan yang memenuhi aturan alias, transaksi yang ditandai sebagai diizinkan untuk melewati akan mengabaikan kesalahan intersepsi sebelumnya dan terus dikemas serta dieksekusi secara normal.

5. Pendapat

160 juta, merobek keyakinan mendasar terdalam industri.

Insiden Cetus, dari perspektif pribadi saya, mungkin akan berlalu dengan cepat, tetapi model ini tidak akan dilupakan, karena ia mengguncang dasar industri dan mematahkan konsensus tradisional tentang ketidakberubahan dalam blockchain di bawah buku besar yang sama.

Dalam desain blockchain, kontrak adalah hukum, dan kode adalah wasit.

Namun, dalam insiden ini, kode gagal, pemerintahan campur tangan, dan kekuasaan mengesampingkan, membentuk pola "perilaku pemungutan suara yang menilai hasil kode."

Alasannya adalah bahwa pengambilan langsung transaksi oleh Sui sangat berbeda dengan bagaimana blockchain mainstream menangani masalah peretasan.

Ini bukan pertama kalinya "memanipulasi konsensus", tetapi ini adalah yang paling tenang.

Secara historis:

• Insiden DAO Ethereum pada tahun 2016 membalikkan transaksi melalui hard fork untuk mengkompensasi kerugian, tetapi keputusan ini menyebabkan pemisahan Ethereum dan Ethereum Classic menjadi dua rantai. Proses ini sangat kontroversial, tetapi pada akhirnya kelompok yang berbeda membentuk keyakinan konsensus yang berbeda.
• Komunitas Bitcoin juga menghadapi tantangan teknis serupa: bug overflow nilai pada tahun 2010 segera diperbaiki oleh pengembang yang memperbarui aturan konsensus, sepenuhnya menghapus sekitar 1,84 miliar bitcoin yang dihasilkan secara ilegal.

Ini adalah pola hard fork yang sama, mengembalikan buku besar ke sebelum masalah, setelah itu pengguna masih dapat memutuskan sistem buku besar mana yang akan terus digunakan.

Tidak seperti hard fork DAO, Sui tidak memilih untuk memisahkan rantai, tetapi malah secara tepat menargetkan peristiwa ini melalui peningkatan protokol dan alias konfigurasi. Dengan melakukan ini, Sui menjaga kontinuitas rantai dan mempertahankan sebagian besar aturan konsensus tanpa perubahan, sekaligus menunjukkan bahwa protokol yang mendasarinya dapat digunakan untuk melaksanakan "operasi penyelamatan" yang ditargetkan.

Masalahnya adalah bahwa secara historis, "rollback berbasis fork" adalah masalah pilihan pengguna; "perbaikan berbasis protokol" Sui adalah keputusan yang diambil atas nama rantai.

Bukan Kunci Anda, Bukan Koin Anda? Saya takut tidak lagi.

Dalam jangka panjang, ini berarti bahwa gagasan "Bukan kunci Anda, bukan koin Anda" sedang dirongrong di rantai Sui: bahkan jika pengguna memiliki kunci pribadi lengkap, jaringan masih dapat mencegah pergerakan aset dan mengalihkan aset melalui perubahan protokol kolektif.

Jika ini menjadi preseden bagi blockchain untuk merespons insiden keamanan besar di masa depan, atau bahkan dianggap sebagai praktik yang dapat dipegang teguh kembali.

"Ketika sebuah rantai dapat melanggar aturan untuk keadilan, itu menetapkan preseden untuk melanggar aturan apa pun."

Setelah ada "pengambilan uang kesejahteraan publik" yang berhasil, kali berikutnya mungkin akan menjadi operasi di "area abu-abu moral".

Apa yang akan terjadi kemudian?

Hacker memang mencuri uang pengguna, jadi apakah pemungutan suara kelompok dapat mengambil uangnya?

Apakah pemungutan suara berdasarkan siapa yang memiliki lebih banyak uang (pos) atau siapa yang memiliki lebih banyak orang? Jika yang memiliki lebih banyak uang menang, maka produsen utama dalam tulisan Liu Cixin akan segera tiba. Jika yang memiliki lebih banyak orang menang, maka kerumunan yang kacau juga akan membuat suara mereka didengar.

Dalam sistem tradisional, sangat normal bagi keuntungan ilegal untuk tidak dilindungi, dan pembekuan serta transfer adalah operasi rutin bank tradisional.

Tetapi dari perspektif teoretis teknis, ini tidak dapat dicapai, bukankah itu akar dari perkembangan industri blockchain?

Tongkat kepatuhan industri terus-menerus berkembang. Hari ini bisa membekukan dan memodifikasi saldo akun untuk peretas, dan besok bisa melakukan modifikasi sewenang-wenang untuk faktor geopolitik dan faktor konflik. Jika rantai menjadi alat regional.

Nilai industri itu juga telah tertekan secara signifikan, sebaiknya itu hanyalah satu set sistem keuangan yang kurang berguna.

Inilah juga alasan mengapa penulis teguh di industri ini: "Blockchain memiliki nilai bukan karena ia tidak dapat dibekukan, tetapi karena ia tidak akan berubah untukmu meskipun kamu membencinya."

Dengan regulasi yang meningkat, dapatkah blockchain mempertahankan jiwanya?

Pada suatu ketika, rantai konsorsium lebih populer daripada rantai publik karena mereka memenuhi kebutuhan regulasi pada masa itu. Saat ini, penurunan konsorsium sebenarnya berarti bahwa hanya sekedar mematuhi kebutuhan ini tidak mencerminkan kebutuhan nyata pengguna. Pengguna yang hilang karena regulasi mengangkat pertanyaan tentang alat regulasi apa yang diperlukan.

Dari perspektif pengembangan industri

"Sentralisasi yang efisien"—apakah ini merupakan tahap yang diperlukan dalam pengembangan blockchain? Jika tujuan akhir dari desentralisasi adalah untuk melindungi kepentingan pengguna, bisakah kita mentolerir sentralisasi sebagai sarana transisi?

Istilah "demokrasi" dalam konteks tata kelola on-chain sebenarnya berbobot token. Jadi jika seorang hacker memegang sejumlah besar SUI (atau suatu hari DAO diretas dan hacker mengontrol hak suara), apakah mereka juga dapat "secara sah memberikan suara untuk membebaskan diri mereka"?

Pada akhirnya, nilai blockchain terletak bukan pada apakah ia dapat dibekukan, tetapi pada pilihan untuk tidak melakukannya bahkan ketika kelompok memiliki kemampuan untuk membekukannya.

Masa depan sebuah rantai ditentukan bukan oleh arsitektur teknisnya, tetapi oleh seperangkat keyakinan yang dipilih untuk dijunjung.

Pernyataan:

1. Artikel ini diterbitkan kembali dari [Empat Belas Bakteri] Hak cipta milik penulis asli [Empat Belas Bakteri] Jika Anda memiliki keberatan terhadap cetakan ulang, silakan hubungi Tim Gate LearnTim akan memprosesnya sesegera mungkin sesuai dengan prosedur yang relevan.
2. Penyangkalan: Pandangan dan pendapat yang diungkapkan dalam artikel ini sepenuhnya merupakan pendapat penulis dan tidak merupakan nasihat investasi.
3. Versi artikel dalam bahasa lain diterjemahkan oleh tim Gate Learn, kecuali dinyatakan lain.GerbangDalam keadaan ini, tidak diperbolehkan untuk menyalin, menyebarkan, atau menjiplak artikel yang telah diterjemahkan.