Vào ngày 22 tháng 5, DEX Cetus trong hệ sinh thái Sui đã bị đánh cắp 223 triệu đô la. Trong số đó chỉ có 60 triệu đô la được đổi thành ETH thông qua cầu nối chuỗi và vào túi của hacker, trong khi 162 triệu đô la còn lại đã bị Hội đồng Sui phối hợp khóa lại.
Vào ngày 27 tháng 5, cuộc bỏ phiếu cộng đồng bắt đầu, "để quyết định có thực hiện nâng cấp giao thức hay không, nhằm thu hồi số tiền bị đóng băng trong tài khoản do hacker kiểm soát". Cuối cùng, nâng cấp giao thức đã được thực hiện, 162 triệu tiền đã được thu hồi thành công.
Phản ứng nhanh chóng của Quỹ Sui đối với sự cố bị đánh cắp lần này và giải pháp được đưa ra một cách nhanh chóng đã gây ra nhiều tranh cãi trong cộng đồng. Một mặt, họ đã khôi phục được phần lớn số tiền và bảo vệ quyền lợi của người dùng bị đánh cắp, trong khi mặt khác, cách thức khôi phục là thông qua sự đồng thuận của các nút để cưỡng chế sửa đổi quyền sở hữu tài sản, đây là lần đầu tiên trên lớp công cộng triển khai "chuyển giao tài sản không cần khóa riêng".
Trước lợi ích của người dùng, hành động "táo bạo" đi ngược lại "tinh thần phi tập trung" này đã bị phớt lờ.
Chuyển tài sản không cần khóa riêng được thực hiện như thế nào?
Vào ngày 22 tháng 5, DEX Cetus trong hệ sinh thái Sui đã bị tấn công bởi hacker do lỗi lập trình cơ bản, gây thiệt hại 2,23 triệu đô la. Sau sự kiện, 162 triệu đô la trong số tiền bị đánh cắp đã được quỹ Sui phối hợp với các nút xác minh đóng băng.
Vào ngày 27 tháng 5, Quỹ Sui đã thúc đẩy việc bỏ phiếu trong cộng đồng, cơ hội bỏ phiếu này nhằm quyết định xem có nên thực hiện nâng cấp giao thức để lấy lại số tiền bị đóng băng trong tài khoản do hacker kiểm soát hay không. Cuối cùng, trong vòng 48 giờ, 114 nút đã tham gia, 103 người đã tham gia bỏ phiếu, 99 phiếu ủng hộ, 2 phiếu phản đối, 2 phiếu trắng, với 90,9% phiếu bầu thông qua đề xuất.
Thông qua đề xuất cũng đồng nghĩa với việc nâng cấp giao thức Sui, điều này sẽ cho phép một địa chỉ cụ thể đại diện cho địa chỉ hacker thực hiện hai giao dịch để thúc đẩy việc thu hồi tài chính. Những giao dịch này sẽ được thiết kế và công bố sau khi địa chỉ phục hồi được xác định cuối cùng. Tài sản thu hồi sẽ được lưu giữ trong một ví đa chữ ký do Cetus, Quỹ Sui và một kiểm toán viên được tin cậy trong cộng đồng Sui là OtterSec kiểm soát.
Trong cấp độ nâng cấp giao thức, chức năng aliasing địa chỉ (địa chỉ giả mạo) được giới thiệu, cụ thể là quy định trước trên cấp độ giao thức: giả mạo các thao tác quản trị cụ thể thành "chữ ký hợp pháp của tài khoản hacker", sau đó các nút xác thực công nhận chữ ký giả mạo này sau khi nâng cấp, hợp pháp hóa việc chuyển nhượng quỹ bị đóng băng. Điều này cho phép thay đổi quyền sở hữu tài sản một cách cưỡng chế thông qua sự đồng thuận của các nút mà không cần động chạm đến khóa riêng (điều này tương tự như việc ngân hàng trung ương đóng băng tài khoản ngân hàng và chuyển tiền).
Vậy tài sản bị đóng băng ban đầu được thực hiện như thế nào? Sui tự hỗ trợ danh sách từ chối (danh sách đóng băng) và chức năng token được quản lý (token có quy định). Lần này, chúng tôi đã gọi trực tiếp giao diện đóng băng để khóa địa chỉ của hacker.
Những nguy cơ kỹ thuật do sự can thiệp quyền lực để lại
Mặc dù hành động này đã thu hồi được phần lớn tài sản bị đóng băng, nhưng cũng không khỏi khiến người ta lo lắng, vì việc nâng cấp giao thức đã buộc thay đổi quyền sở hữu tài sản thông qua sự đồng thuận của các nút, đồng nghĩa với việc chính quyền Sui có thể thay thế bất kỳ địa chỉ nào để ký, từ đó chuyển đi tài sản bên trong.
Ràng buộc xem Sui chính thức có thể làm như vậy hay không không phải là mã hợp đồng thông minh, mà là quyền biểu quyết của các nút, mà kết quả biểu quyết của các nút thì ai nắm giữ? Chẳng qua đó chính là những nút lớn do quỹ có vốn kiểm soát! Điều này có nghĩa là các bên có lợi ích liên quan đến Sui chính thức nắm giữ quyền phát ngôn lớn nhất, cho dù là bỏ phiếu, cũng chỉ là một màn trình diễn mà thôi.
Khóa riêng của người dùng không còn là chứng nhận kiểm soát tài sản tuyệt đối, chỉ cần sự đồng thuận của các nút, lớp giao thức có thể trực tiếp ghi đè quyền hạn của khóa riêng.
Tuy nhiên, mặt khác, điều này đã đạt được hiệu quả trong việc thu hồi tài sản, đóng băng tài sản nhanh chóng, nhờ vào các chức năng quản lý tích hợp của Sui, có thể nhanh chóng ngăn chặn tổn thất, hoàn thành việc bỏ phiếu trong vòng 48 giờ và thực hiện nâng cấp giao thức.
Tuy nhiên, theo quan điểm của tác giả, chức năng aliasing địa chỉ đã tạo ra một tiền lệ nguy hiểm - lớp giao thức có thể giả mạo "hoạt động hợp pháp" của bất kỳ địa chỉ nào, điều này đã đặt nền tảng cho sự can thiệp quyền lực.
Và chuỗi các hoạt động truy hồi vốn của Sui lần này chỉ là việc bên công khai chọn đứng về phía lợi ích của người dùng khi lợi ích của người dùng và nguyên tắc phi tập trung xảy ra mâu thuẫn. Còn việc có vi phạm nguyên tắc phi tập trung hay không, dường như không quan trọng đối với người dùng và Sui, bởi vì dù có bị nghi ngờ cũng có thể đáp lại rằng đó là quyết định "bỏ phiếu".
Nội dung chỉ mang tính chất tham khảo, không phải là lời chào mời hay đề nghị. Không cung cấp tư vấn về đầu tư, thuế hoặc pháp lý. Xem Tuyên bố miễn trừ trách nhiệm để biết thêm thông tin về rủi ro.
Cetus bị đánh cắp tiền đã được khôi phục "Phi tập trung" nhượng bộ quyền lợi người dùng
Jessy, Kinh tế vàng
Vào ngày 22 tháng 5, DEX Cetus trong hệ sinh thái Sui đã bị đánh cắp 223 triệu đô la. Trong số đó chỉ có 60 triệu đô la được đổi thành ETH thông qua cầu nối chuỗi và vào túi của hacker, trong khi 162 triệu đô la còn lại đã bị Hội đồng Sui phối hợp khóa lại.
Vào ngày 27 tháng 5, cuộc bỏ phiếu cộng đồng bắt đầu, "để quyết định có thực hiện nâng cấp giao thức hay không, nhằm thu hồi số tiền bị đóng băng trong tài khoản do hacker kiểm soát". Cuối cùng, nâng cấp giao thức đã được thực hiện, 162 triệu tiền đã được thu hồi thành công.
Phản ứng nhanh chóng của Quỹ Sui đối với sự cố bị đánh cắp lần này và giải pháp được đưa ra một cách nhanh chóng đã gây ra nhiều tranh cãi trong cộng đồng. Một mặt, họ đã khôi phục được phần lớn số tiền và bảo vệ quyền lợi của người dùng bị đánh cắp, trong khi mặt khác, cách thức khôi phục là thông qua sự đồng thuận của các nút để cưỡng chế sửa đổi quyền sở hữu tài sản, đây là lần đầu tiên trên lớp công cộng triển khai "chuyển giao tài sản không cần khóa riêng".
Trước lợi ích của người dùng, hành động "táo bạo" đi ngược lại "tinh thần phi tập trung" này đã bị phớt lờ.
Chuyển tài sản không cần khóa riêng được thực hiện như thế nào?
Vào ngày 22 tháng 5, DEX Cetus trong hệ sinh thái Sui đã bị tấn công bởi hacker do lỗi lập trình cơ bản, gây thiệt hại 2,23 triệu đô la. Sau sự kiện, 162 triệu đô la trong số tiền bị đánh cắp đã được quỹ Sui phối hợp với các nút xác minh đóng băng.
Vào ngày 27 tháng 5, Quỹ Sui đã thúc đẩy việc bỏ phiếu trong cộng đồng, cơ hội bỏ phiếu này nhằm quyết định xem có nên thực hiện nâng cấp giao thức để lấy lại số tiền bị đóng băng trong tài khoản do hacker kiểm soát hay không. Cuối cùng, trong vòng 48 giờ, 114 nút đã tham gia, 103 người đã tham gia bỏ phiếu, 99 phiếu ủng hộ, 2 phiếu phản đối, 2 phiếu trắng, với 90,9% phiếu bầu thông qua đề xuất.
Thông qua đề xuất cũng đồng nghĩa với việc nâng cấp giao thức Sui, điều này sẽ cho phép một địa chỉ cụ thể đại diện cho địa chỉ hacker thực hiện hai giao dịch để thúc đẩy việc thu hồi tài chính. Những giao dịch này sẽ được thiết kế và công bố sau khi địa chỉ phục hồi được xác định cuối cùng. Tài sản thu hồi sẽ được lưu giữ trong một ví đa chữ ký do Cetus, Quỹ Sui và một kiểm toán viên được tin cậy trong cộng đồng Sui là OtterSec kiểm soát.
Trong cấp độ nâng cấp giao thức, chức năng aliasing địa chỉ (địa chỉ giả mạo) được giới thiệu, cụ thể là quy định trước trên cấp độ giao thức: giả mạo các thao tác quản trị cụ thể thành "chữ ký hợp pháp của tài khoản hacker", sau đó các nút xác thực công nhận chữ ký giả mạo này sau khi nâng cấp, hợp pháp hóa việc chuyển nhượng quỹ bị đóng băng. Điều này cho phép thay đổi quyền sở hữu tài sản một cách cưỡng chế thông qua sự đồng thuận của các nút mà không cần động chạm đến khóa riêng (điều này tương tự như việc ngân hàng trung ương đóng băng tài khoản ngân hàng và chuyển tiền).
Vậy tài sản bị đóng băng ban đầu được thực hiện như thế nào? Sui tự hỗ trợ danh sách từ chối (danh sách đóng băng) và chức năng token được quản lý (token có quy định). Lần này, chúng tôi đã gọi trực tiếp giao diện đóng băng để khóa địa chỉ của hacker.
Những nguy cơ kỹ thuật do sự can thiệp quyền lực để lại
Mặc dù hành động này đã thu hồi được phần lớn tài sản bị đóng băng, nhưng cũng không khỏi khiến người ta lo lắng, vì việc nâng cấp giao thức đã buộc thay đổi quyền sở hữu tài sản thông qua sự đồng thuận của các nút, đồng nghĩa với việc chính quyền Sui có thể thay thế bất kỳ địa chỉ nào để ký, từ đó chuyển đi tài sản bên trong.
Ràng buộc xem Sui chính thức có thể làm như vậy hay không không phải là mã hợp đồng thông minh, mà là quyền biểu quyết của các nút, mà kết quả biểu quyết của các nút thì ai nắm giữ? Chẳng qua đó chính là những nút lớn do quỹ có vốn kiểm soát! Điều này có nghĩa là các bên có lợi ích liên quan đến Sui chính thức nắm giữ quyền phát ngôn lớn nhất, cho dù là bỏ phiếu, cũng chỉ là một màn trình diễn mà thôi.
Khóa riêng của người dùng không còn là chứng nhận kiểm soát tài sản tuyệt đối, chỉ cần sự đồng thuận của các nút, lớp giao thức có thể trực tiếp ghi đè quyền hạn của khóa riêng.
Tuy nhiên, mặt khác, điều này đã đạt được hiệu quả trong việc thu hồi tài sản, đóng băng tài sản nhanh chóng, nhờ vào các chức năng quản lý tích hợp của Sui, có thể nhanh chóng ngăn chặn tổn thất, hoàn thành việc bỏ phiếu trong vòng 48 giờ và thực hiện nâng cấp giao thức.
Tuy nhiên, theo quan điểm của tác giả, chức năng aliasing địa chỉ đã tạo ra một tiền lệ nguy hiểm - lớp giao thức có thể giả mạo "hoạt động hợp pháp" của bất kỳ địa chỉ nào, điều này đã đặt nền tảng cho sự can thiệp quyền lực.
Và chuỗi các hoạt động truy hồi vốn của Sui lần này chỉ là việc bên công khai chọn đứng về phía lợi ích của người dùng khi lợi ích của người dùng và nguyên tắc phi tập trung xảy ra mâu thuẫn. Còn việc có vi phạm nguyên tắc phi tập trung hay không, dường như không quan trọng đối với người dùng và Sui, bởi vì dù có bị nghi ngờ cũng có thể đáp lại rằng đó là quyết định "bỏ phiếu".