Vào ngày 22 tháng 5, DEX Cetus trong hệ sinh thái Sui đã bị đánh cắp 223 triệu USD. Trong số đó, chỉ có 60 triệu USD được chuyển đổi thành ETH thông qua cầu nối chuỗi và vào tay của hacker, trong khi 162 triệu USD còn lại đã bị quỹ Sui phối hợp với các nút đông lạnh.
Vào ngày 27 tháng 5, cuộc bỏ phiếu của cộng đồng bắt đầu, "để quyết định xem có thực hiện nâng cấp giao thức hay không, nhằm thu hồi số tiền bị đóng băng trong tài khoản do hacker kiểm soát." Cuối cùng, việc nâng cấp giao thức đã thành công, 162 triệu tiền đã được thu hồi.
Quỹ Sui đã có phản ứng nhanh chóng đối với sự kiện bị đánh cắp này và nhanh chóng đưa ra giải pháp, điều này đã gây ra nhiều tranh cãi trong cộng đồng. Một mặt, quỹ đã thu hồi được phần lớn tài sản, bảo vệ quyền lợi của người dùng bị đánh cắp. Mặt khác, phương thức thu hồi này là thông qua sự đồng thuận của các nút để buộc phải sửa đổi quyền sở hữu tài sản, đây là lần đầu tiên trên nền tảng công cộng thực hiện "chuyển giao tài sản không cần khóa riêng".
Trước lợi ích của người dùng, hành động "táo bạo" này vi phạm "tinh thần phi tập trung" đã bị phớt lờ như vậy.
Chuyển nhượng tài sản không cần khóa cá nhân được thực hiện như thế nào?
Vào ngày 22 tháng 5, DEX Cetus trong hệ sinh thái Sui đã bị tấn công bởi hacker do một lỗi lập trình sơ đẳng, gây thiệt hại 223 triệu USD. Sau sự kiện, 162 triệu USD trong số tiền bị đánh cắp đã được quỹ Sui phối hợp với các nút xác thực để đóng băng.
Vào ngày 27 tháng 5, Quỹ Sui đã thúc đẩy bỏ phiếu trong cộng đồng, cơ hội bỏ phiếu này nhằm quyết định xem có nên thực hiện nâng cấp giao thức để khôi phục số tiền bị đóng băng trong tài khoản do hacker kiểm soát hay không. Cuối cùng, trong vòng 48 giờ, 114 nút đã có 103 người tham gia bỏ phiếu, 99 phiếu ủng hộ, 2 phiếu phản đối, 2 phiếu trắng, với tỷ lệ ủng hộ cao 90.9% cho đề xuất.
Thông qua đề xuất cũng đồng nghĩa với việc nâng cấp giao thức Sui, điều này sẽ cho phép một địa chỉ cụ thể đại diện cho địa chỉ hacker thực hiện hai giao dịch, nhằm thúc đẩy việc thu hồi tài chính. Những giao dịch này sẽ được thiết kế và công bố sau khi địa chỉ phục hồi được xác định cuối cùng. Tài sản được thu hồi sẽ được giữ trong một ví đa chữ ký do Cetus, quỹ Sui và một kiểm toán viên đáng tin cậy trong cộng đồng Sui là OtterSec kiểm soát.
Trong khía cạnh nâng cấp giao thức, tính năng address aliasing (bí danh địa chỉ) được giới thiệu, cụ thể là định nghĩa các quy tắc trước trong lớp giao thức: giả mạo các thao tác quản trị cụ thể thành "chữ ký hợp pháp của tài khoản hacker", sau đó các nút xác minh công nhận chữ ký giả mạo này sau khi nâng cấp, hợp pháp hóa việc chuyển nhượng quỹ bị đóng băng. Điều này cho phép thay đổi quyền sở hữu tài sản thông qua sự đồng thuận của các nút mà không cần động đến khóa riêng (điều này tương tự như ngân hàng trung ương đóng băng tài khoản ngân hàng và chuyển tiền).
Vậy tài sản bị đóng băng đầu tiên được thực hiện như thế nào? Sui bản thân hỗ trợ chức năng Danh sách từ chối (Deny list) và token được quản lý (Regulated tokens), lần này là gọi trực tiếp giao diện đóng băng để khóa địa chỉ của hacker.
Những rủi ro kỹ thuật do can thiệp quyền lực để lại
Mặc dù hành động này đã thu hồi được phần lớn tài sản bị đóng băng, nhưng cũng không khỏi khiến người ta lo ngại, vì việc nâng cấp giao thức đã buộc phải sửa đổi quyền sở hữu tài sản thông qua sự đồng thuận của các nút, điều này cũng báo hiệu rằng Sui chính thức có thể thay thế bất kỳ địa chỉ nào để ký tên, từ đó chuyển đi tài sản bên trong.
Ràng buộc xem Sui chính thức có thể làm như vậy hay không không phải là mã hợp đồng thông minh, mà là quyền bỏ phiếu của các nút, và kết quả bỏ phiếu của các nút lại được ai nắm giữ? Thì chẳng qua đó chính là các nút lớn do quỹ có vốn kiểm soát! Điều này có nghĩa là các bên liên quan đến lợi ích của Sui chính thức nắm giữ quyền phát ngôn lớn nhất, cho dù là bỏ phiếu, cũng chỉ là một màn kịch mà thôi.
Khóa riêng của người dùng không còn là chứng nhận kiểm soát tuyệt đối tài sản, chỉ cần sự đồng thuận của các nút, lớp giao thức có thể trực tiếp ghi đè quyền hạn của khóa riêng.
Tuy nhiên, mặt khác, điều này đã đạt được hiệu quả cao trong việc thu hồi tài sản, đóng băng tài sản nhanh chóng, nhờ vào các chức năng quản lý tích hợp của Sui, có thể nhanh chóng ngăn chặn thua lỗ, hoàn thành việc bỏ phiếu trong vòng 48 giờ và thực hiện nâng cấp giao thức.
Tuy nhiên, theo quan điểm của tác giả, chức năng aliasing địa chỉ đã tạo ra một tiền lệ nguy hiểm - lớp giao thức có thể giả mạo "hoạt động hợp pháp" của bất kỳ địa chỉ nào, điều này đã đặt nền tảng cho sự can thiệp của quyền lực.
Và loạt hành động thu hồi tài chính của Sui lần này chỉ là khi lợi ích của người dùng và nguyên tắc phi tập trung xảy ra xung đột, phía công chain đã chọn đứng về phía lợi ích của người dùng để đưa ra quyết định. Còn việc có vi phạm nguyên tắc phi tập trung hay không dường như không quan trọng đối với người dùng và Sui, vì dù bị nghi ngờ cũng có thể đáp lại rằng đó là quyết định "bỏ phiếu".
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Cetus bị đánh cắp tiền đã được khôi phục "Phi tập trung" nhượng bộ quyền lợi người dùng
Jessy, Kinh tế vàng
Vào ngày 22 tháng 5, DEX Cetus trong hệ sinh thái Sui đã bị đánh cắp 223 triệu USD. Trong số đó, chỉ có 60 triệu USD được chuyển đổi thành ETH thông qua cầu nối chuỗi và vào tay của hacker, trong khi 162 triệu USD còn lại đã bị quỹ Sui phối hợp với các nút đông lạnh.
Vào ngày 27 tháng 5, cuộc bỏ phiếu của cộng đồng bắt đầu, "để quyết định xem có thực hiện nâng cấp giao thức hay không, nhằm thu hồi số tiền bị đóng băng trong tài khoản do hacker kiểm soát." Cuối cùng, việc nâng cấp giao thức đã thành công, 162 triệu tiền đã được thu hồi.
Quỹ Sui đã có phản ứng nhanh chóng đối với sự kiện bị đánh cắp này và nhanh chóng đưa ra giải pháp, điều này đã gây ra nhiều tranh cãi trong cộng đồng. Một mặt, quỹ đã thu hồi được phần lớn tài sản, bảo vệ quyền lợi của người dùng bị đánh cắp. Mặt khác, phương thức thu hồi này là thông qua sự đồng thuận của các nút để buộc phải sửa đổi quyền sở hữu tài sản, đây là lần đầu tiên trên nền tảng công cộng thực hiện "chuyển giao tài sản không cần khóa riêng".
Trước lợi ích của người dùng, hành động "táo bạo" này vi phạm "tinh thần phi tập trung" đã bị phớt lờ như vậy.
Chuyển nhượng tài sản không cần khóa cá nhân được thực hiện như thế nào?
Vào ngày 22 tháng 5, DEX Cetus trong hệ sinh thái Sui đã bị tấn công bởi hacker do một lỗi lập trình sơ đẳng, gây thiệt hại 223 triệu USD. Sau sự kiện, 162 triệu USD trong số tiền bị đánh cắp đã được quỹ Sui phối hợp với các nút xác thực để đóng băng.
Vào ngày 27 tháng 5, Quỹ Sui đã thúc đẩy bỏ phiếu trong cộng đồng, cơ hội bỏ phiếu này nhằm quyết định xem có nên thực hiện nâng cấp giao thức để khôi phục số tiền bị đóng băng trong tài khoản do hacker kiểm soát hay không. Cuối cùng, trong vòng 48 giờ, 114 nút đã có 103 người tham gia bỏ phiếu, 99 phiếu ủng hộ, 2 phiếu phản đối, 2 phiếu trắng, với tỷ lệ ủng hộ cao 90.9% cho đề xuất.
Thông qua đề xuất cũng đồng nghĩa với việc nâng cấp giao thức Sui, điều này sẽ cho phép một địa chỉ cụ thể đại diện cho địa chỉ hacker thực hiện hai giao dịch, nhằm thúc đẩy việc thu hồi tài chính. Những giao dịch này sẽ được thiết kế và công bố sau khi địa chỉ phục hồi được xác định cuối cùng. Tài sản được thu hồi sẽ được giữ trong một ví đa chữ ký do Cetus, quỹ Sui và một kiểm toán viên đáng tin cậy trong cộng đồng Sui là OtterSec kiểm soát.
Trong khía cạnh nâng cấp giao thức, tính năng address aliasing (bí danh địa chỉ) được giới thiệu, cụ thể là định nghĩa các quy tắc trước trong lớp giao thức: giả mạo các thao tác quản trị cụ thể thành "chữ ký hợp pháp của tài khoản hacker", sau đó các nút xác minh công nhận chữ ký giả mạo này sau khi nâng cấp, hợp pháp hóa việc chuyển nhượng quỹ bị đóng băng. Điều này cho phép thay đổi quyền sở hữu tài sản thông qua sự đồng thuận của các nút mà không cần động đến khóa riêng (điều này tương tự như ngân hàng trung ương đóng băng tài khoản ngân hàng và chuyển tiền).
Vậy tài sản bị đóng băng đầu tiên được thực hiện như thế nào? Sui bản thân hỗ trợ chức năng Danh sách từ chối (Deny list) và token được quản lý (Regulated tokens), lần này là gọi trực tiếp giao diện đóng băng để khóa địa chỉ của hacker.
Những rủi ro kỹ thuật do can thiệp quyền lực để lại
Mặc dù hành động này đã thu hồi được phần lớn tài sản bị đóng băng, nhưng cũng không khỏi khiến người ta lo ngại, vì việc nâng cấp giao thức đã buộc phải sửa đổi quyền sở hữu tài sản thông qua sự đồng thuận của các nút, điều này cũng báo hiệu rằng Sui chính thức có thể thay thế bất kỳ địa chỉ nào để ký tên, từ đó chuyển đi tài sản bên trong.
Ràng buộc xem Sui chính thức có thể làm như vậy hay không không phải là mã hợp đồng thông minh, mà là quyền bỏ phiếu của các nút, và kết quả bỏ phiếu của các nút lại được ai nắm giữ? Thì chẳng qua đó chính là các nút lớn do quỹ có vốn kiểm soát! Điều này có nghĩa là các bên liên quan đến lợi ích của Sui chính thức nắm giữ quyền phát ngôn lớn nhất, cho dù là bỏ phiếu, cũng chỉ là một màn kịch mà thôi.
Khóa riêng của người dùng không còn là chứng nhận kiểm soát tuyệt đối tài sản, chỉ cần sự đồng thuận của các nút, lớp giao thức có thể trực tiếp ghi đè quyền hạn của khóa riêng.
Tuy nhiên, mặt khác, điều này đã đạt được hiệu quả cao trong việc thu hồi tài sản, đóng băng tài sản nhanh chóng, nhờ vào các chức năng quản lý tích hợp của Sui, có thể nhanh chóng ngăn chặn thua lỗ, hoàn thành việc bỏ phiếu trong vòng 48 giờ và thực hiện nâng cấp giao thức.
Tuy nhiên, theo quan điểm của tác giả, chức năng aliasing địa chỉ đã tạo ra một tiền lệ nguy hiểm - lớp giao thức có thể giả mạo "hoạt động hợp pháp" của bất kỳ địa chỉ nào, điều này đã đặt nền tảng cho sự can thiệp của quyền lực.
Và loạt hành động thu hồi tài chính của Sui lần này chỉ là khi lợi ích của người dùng và nguyên tắc phi tập trung xảy ra xung đột, phía công chain đã chọn đứng về phía lợi ích của người dùng để đưa ra quyết định. Còn việc có vi phạm nguyên tắc phi tập trung hay không dường như không quan trọng đối với người dùng và Sui, vì dù bị nghi ngờ cũng có thể đáp lại rằng đó là quyết định "bỏ phiếu".