Vào ngày 22 tháng 5, 223 triệu đô la tiền đã bị đánh cắp từ Eco-DEX Cetus của Sui. Trong số này, chỉ có 60 triệu đô la được đổi lấy ETH thông qua cầu nối chuỗi chéo và đi vào túi của tin tặc, trong khi 162 triệu đô la còn lại đã bị đóng băng bởi nút điều phối Sui Foundation.
Vào ngày 27 tháng 5, cuộc bỏ phiếu cộng đồng được khởi động "để quyết định xem có nên thực hiện nâng cấp giao thức để lấy lại số tiền bị đóng băng trong tài khoản do hacker kiểm soát hay không". Cuối cùng, nâng cấp giao thức đã được thực hiện, 162 triệu tiền đã được thu hồi thành công.
Một mặt, nó thu hồi hầu hết số tiền để bảo vệ lợi ích của những người dùng bị đánh cắp, mặt khác, cách để thu hồi tài sản là buộc phải sửa đổi quyền sở hữu tài sản thông qua sự đồng thuận của nút, đây là lần đầu tiên thực hiện việc "chuyển tài sản không có khóa riêng tư" tại lớp chuỗi công khai.
Trước lợi ích của người dùng, hành động "táo bạo" vi phạm "tinh thần phi tập trung" này đã bị bỏ qua.
Chuyển nhượng tài sản không cần khóa cá nhân được thực hiện như thế nào?
Vào ngày 22 tháng 5, DEX Cetus trong hệ sinh thái Sui đã bị tấn công bởi một lỗi lập trình sơ đẳng, gây thiệt hại 2,23 triệu USD. Sau sự kiện, 162 triệu USD trong số tiền bị đánh cắp đã được quỹ Sui phối hợp với các nút xác minh để đóng băng.
Vào ngày 27 tháng 5, Sui Foundation đã thúc đẩy một cuộc bỏ phiếu của cộng đồng về việc có nên thực hiện nâng cấp giao thức để thu hồi tiền bị đóng băng trong các tài khoản do tin tặc kiểm soát hay không. Cuối cùng, trong vòng 48 giờ, 103 trong số 114 nút đã tham gia bỏ phiếu, với 99 phiếu thuận, 2 phiếu chống và 2 phiếu trắng, và 90,9% số phiếu thông qua đề xuất.
Việc thông qua đề xuất cũng báo trước một bản nâng cấp cho giao thức Sui, cho phép một địa chỉ cụ thể thực hiện hai giao dịch thay mặt cho địa chỉ của tin tặc để tạo điều kiện thuận lợi cho việc thu hồi tiền. Các giao dịch này sẽ được thiết kế và công bố sau khi địa chỉ khôi phục được hoàn tất. Tài sản thu hồi sẽ được giữ trong một ví đa chữ ký do Cetus, Sui Foundation và OtterSec, một kiểm toán viên đáng tin cậy trong cộng đồng Sui kiểm soát.
Ở cấp độ nâng cấp giao thức, tính năng 'bí danh địa chỉ' được giới thiệu, cụ thể, các quy tắc được xác định trước ở lớp giao thức: một hành động quản trị cụ thể được ngụy trang dưới dạng "chữ ký hợp pháp của tài khoản tin tặc", sau đó trình xác thực nhận ra chữ ký giả mạo sau khi nâng cấp, hợp pháp hóa việc chuyển tiền bị đóng băng. Những điều trên cho phép buộc sửa đổi quyền sở hữu tài sản thông qua sự đồng thuận của nút mà không cần chạm vào khóa riêng tư (tương tự như chuyển tiền sau khi ngân hàng trung ương đóng băng tài khoản ngân hàng).
Vậy tài sản bị đông lạnh đầu tiên đã được thực hiện như thế nào? Sui tự hỗ trợ chức năng Deny list (danh sách đông lạnh) và Regulated tokens (đồng tiền được quản lý), lần này chỉ cần gọi trực tiếp giao diện đông lạnh để khóa địa chỉ của hacker.
Những rủi ro kỹ thuật do quyền lực can thiệp để lại
Mặc dù hành động này đã thu hồi được phần lớn tài sản bị đóng băng, nhưng cũng không khỏi khiến người ta lo lắng, vì việc nâng cấp giao thức đã buộc phải sửa đổi quyền sở hữu tài sản thông qua sự đồng thuận của các nút, đồng thời cho thấy Sui chính thức có thể thay thế bất kỳ địa chỉ nào để ký tên, từ đó chuyển đi tài sản bên trong.
Ràng buộc liệu Sui chính thức có thể làm như vậy không, không phải là mã hợp đồng thông minh, mà là quyền biểu quyết của các nút, và kết quả biểu quyết của các nút thì ai nắm giữ? Thì không ai khác chính là các nút lớn được kiểm soát bởi quỹ! Nói cách khác, các bên liên quan của Sui chính thức nắm giữ quyền quyết định lớn nhất, cho dù là bỏ phiếu, cũng chỉ là một buổi diễn qua mà thôi.
Khóa riêng của người dùng không còn là chứng nhận kiểm soát tài sản tuyệt đối, chỉ cần sự đồng thuận của các nút, lớp giao thức có thể trực tiếp ghi đè quyền hạn của khóa riêng.
Nhưng mặt khác, điều này đạt được hiệu quả cao trong việc thu hồi tài sản, đóng băng tài sản nhanh chóng, nhờ vào các chức năng quản lý tích hợp của Sui có thể nhanh chóng dừng lỗ, đã hoàn thành việc bỏ phiếu trong vòng 48 giờ và thực hiện nâng cấp giao thức.
Tuy nhiên, theo quan điểm của tác giả, chức năng aliasing địa chỉ đã tạo ra một tiền lệ nguy hiểm - lớp giao thức có thể giả mạo "hành động hợp pháp" của bất kỳ địa chỉ nào, điều này đặt nền tảng cho sự can thiệp của quyền lực.
Hàng loạt hoạt động thu hồi vốn của Sui lần này chỉ là khi lợi ích của người dùng mâu thuẫn với nguyên tắc phi tập trung, bên chuỗi công khai lựa chọn đưa ra quyết định dưới góc độ lợi ích của người dùng. Còn về việc liệu nó có vi phạm nguyên tắc phi tập trung hay không, nó dường như không quan trọng đối với cả người dùng và Sui, sau tất cả, khi đặt câu hỏi, nó cũng có thể được trả lời rằng nó được quyết định bằng cách "bỏ phiếu".
Nội dung chỉ mang tính chất tham khảo, không phải là lời chào mời hay đề nghị. Không cung cấp tư vấn về đầu tư, thuế hoặc pháp lý. Xem Tuyên bố miễn trừ trách nhiệm để biết thêm thông tin về rủi ro.
Cetus bị đánh cắp tiền đã được thu hồi "Phi tập trung" nhượng bộ lợi ích người dùng
Jessy, Kinh tế Vàng
Vào ngày 22 tháng 5, 223 triệu đô la tiền đã bị đánh cắp từ Eco-DEX Cetus của Sui. Trong số này, chỉ có 60 triệu đô la được đổi lấy ETH thông qua cầu nối chuỗi chéo và đi vào túi của tin tặc, trong khi 162 triệu đô la còn lại đã bị đóng băng bởi nút điều phối Sui Foundation.
Vào ngày 27 tháng 5, cuộc bỏ phiếu cộng đồng được khởi động "để quyết định xem có nên thực hiện nâng cấp giao thức để lấy lại số tiền bị đóng băng trong tài khoản do hacker kiểm soát hay không". Cuối cùng, nâng cấp giao thức đã được thực hiện, 162 triệu tiền đã được thu hồi thành công.
Một mặt, nó thu hồi hầu hết số tiền để bảo vệ lợi ích của những người dùng bị đánh cắp, mặt khác, cách để thu hồi tài sản là buộc phải sửa đổi quyền sở hữu tài sản thông qua sự đồng thuận của nút, đây là lần đầu tiên thực hiện việc "chuyển tài sản không có khóa riêng tư" tại lớp chuỗi công khai.
Trước lợi ích của người dùng, hành động "táo bạo" vi phạm "tinh thần phi tập trung" này đã bị bỏ qua.
Chuyển nhượng tài sản không cần khóa cá nhân được thực hiện như thế nào?
Vào ngày 22 tháng 5, DEX Cetus trong hệ sinh thái Sui đã bị tấn công bởi một lỗi lập trình sơ đẳng, gây thiệt hại 2,23 triệu USD. Sau sự kiện, 162 triệu USD trong số tiền bị đánh cắp đã được quỹ Sui phối hợp với các nút xác minh để đóng băng.
Vào ngày 27 tháng 5, Sui Foundation đã thúc đẩy một cuộc bỏ phiếu của cộng đồng về việc có nên thực hiện nâng cấp giao thức để thu hồi tiền bị đóng băng trong các tài khoản do tin tặc kiểm soát hay không. Cuối cùng, trong vòng 48 giờ, 103 trong số 114 nút đã tham gia bỏ phiếu, với 99 phiếu thuận, 2 phiếu chống và 2 phiếu trắng, và 90,9% số phiếu thông qua đề xuất.
Việc thông qua đề xuất cũng báo trước một bản nâng cấp cho giao thức Sui, cho phép một địa chỉ cụ thể thực hiện hai giao dịch thay mặt cho địa chỉ của tin tặc để tạo điều kiện thuận lợi cho việc thu hồi tiền. Các giao dịch này sẽ được thiết kế và công bố sau khi địa chỉ khôi phục được hoàn tất. Tài sản thu hồi sẽ được giữ trong một ví đa chữ ký do Cetus, Sui Foundation và OtterSec, một kiểm toán viên đáng tin cậy trong cộng đồng Sui kiểm soát.
Ở cấp độ nâng cấp giao thức, tính năng 'bí danh địa chỉ' được giới thiệu, cụ thể, các quy tắc được xác định trước ở lớp giao thức: một hành động quản trị cụ thể được ngụy trang dưới dạng "chữ ký hợp pháp của tài khoản tin tặc", sau đó trình xác thực nhận ra chữ ký giả mạo sau khi nâng cấp, hợp pháp hóa việc chuyển tiền bị đóng băng. Những điều trên cho phép buộc sửa đổi quyền sở hữu tài sản thông qua sự đồng thuận của nút mà không cần chạm vào khóa riêng tư (tương tự như chuyển tiền sau khi ngân hàng trung ương đóng băng tài khoản ngân hàng).
Vậy tài sản bị đông lạnh đầu tiên đã được thực hiện như thế nào? Sui tự hỗ trợ chức năng
Deny list (danh sách đông lạnh) vàRegulated tokens(đồng tiền được quản lý), lần này chỉ cần gọi trực tiếp giao diện đông lạnh để khóa địa chỉ của hacker.Những rủi ro kỹ thuật do quyền lực can thiệp để lại
Mặc dù hành động này đã thu hồi được phần lớn tài sản bị đóng băng, nhưng cũng không khỏi khiến người ta lo lắng, vì việc nâng cấp giao thức đã buộc phải sửa đổi quyền sở hữu tài sản thông qua sự đồng thuận của các nút, đồng thời cho thấy Sui chính thức có thể thay thế bất kỳ địa chỉ nào để ký tên, từ đó chuyển đi tài sản bên trong.
Ràng buộc liệu Sui chính thức có thể làm như vậy không, không phải là mã hợp đồng thông minh, mà là quyền biểu quyết của các nút, và kết quả biểu quyết của các nút thì ai nắm giữ? Thì không ai khác chính là các nút lớn được kiểm soát bởi quỹ! Nói cách khác, các bên liên quan của Sui chính thức nắm giữ quyền quyết định lớn nhất, cho dù là bỏ phiếu, cũng chỉ là một buổi diễn qua mà thôi.
Khóa riêng của người dùng không còn là chứng nhận kiểm soát tài sản tuyệt đối, chỉ cần sự đồng thuận của các nút, lớp giao thức có thể trực tiếp ghi đè quyền hạn của khóa riêng.
Nhưng mặt khác, điều này đạt được hiệu quả cao trong việc thu hồi tài sản, đóng băng tài sản nhanh chóng, nhờ vào các chức năng quản lý tích hợp của Sui có thể nhanh chóng dừng lỗ, đã hoàn thành việc bỏ phiếu trong vòng 48 giờ và thực hiện nâng cấp giao thức.
Tuy nhiên, theo quan điểm của tác giả,
chức năng aliasing địa chỉđã tạo ra một tiền lệ nguy hiểm - lớp giao thức có thể giả mạo "hành động hợp pháp" của bất kỳ địa chỉ nào, điều này đặt nền tảng cho sự can thiệp của quyền lực.Hàng loạt hoạt động thu hồi vốn của Sui lần này chỉ là khi lợi ích của người dùng mâu thuẫn với nguyên tắc phi tập trung, bên chuỗi công khai lựa chọn đưa ra quyết định dưới góc độ lợi ích của người dùng. Còn về việc liệu nó có vi phạm nguyên tắc phi tập trung hay không, nó dường như không quan trọng đối với cả người dùng và Sui, sau tất cả, khi đặt câu hỏi, nó cũng có thể được trả lời rằng nó được quyết định bằng cách "bỏ phiếu".