Jessy, Golden Finance
Vào ngày 22 tháng 5, Sui Ecological DEX Cetus đã bị đánh cắp 223 triệu đô la. Trong số này, chỉ có 60 triệu đô la được chuyển đổi thành ETH thông qua cầu nối chuỗi chéo và vào túi của tin tặc, trong khi số tiền còn lại là 162 triệu đô la bị đóng băng bởi nút điều phối của Sui Foundation.
Vào ngày 27 tháng 5, cuộc bỏ phiếu của cộng đồng đã được phát động để "xác định xem có nên triển khai nâng cấp giao thức để khôi phục số tiền bị đóng băng trong tài khoản do tin tặc kiểm soát hay không". Cuối cùng, nâng cấp giao thức đã được triển khai và 162 triệu đô la đã được khôi phục thành công.
Phản ứng nhanh chóng của Sui Foundation đối với vụ trộm và giải pháp mà họ nhanh chóng đưa ra cũng gây ra nhiều tranh cãi trong cộng đồng. Một mặt, họ đã khôi phục được hầu hết số tiền và bảo vệ quyền lợi của những người dùng bị đánh cắp. Mặt khác, cách để khôi phục số tiền là buộc phải sửa đổi quyền sở hữu tài sản thông qua sự đồng thuận của nút. Đây là lần đầu tiên "chuyển giao tài sản mà không cần khóa riêng" được thực hiện ở lớp chuỗi công khai.
Trước lợi ích của người dùng, hoạt động "táo bạo" vi phạm "tinh thần phi tập trung" này đã bị bỏ qua.
Chuyển giao tài sản mà không cần khóa riêng được thực hiện như thế nào?
Vào ngày 22 tháng 5, Sui Ecological DEX Cetus đã bị tấn công do lỗi mã cấp thấp của chính nó và mất 223 triệu đô la. Sau sự cố, 162 triệu đô la trong số tiền bị đánh cắp đã bị đóng băng bởi các nút xác minh được phối hợp của Sui Foundation.
Vào ngày 27 tháng 5, Sui Foundation đã thúc đẩy một cuộc bỏ phiếu của cộng đồng, nhằm quyết định xem có nên triển khai nâng cấp giao thức để khôi phục số tiền bị đóng băng trong các tài khoản do tin tặc kiểm soát hay không. Cuối cùng, trong vòng 48 giờ, 103 trong số 114 nút đã tham gia bỏ phiếu, với 99 phiếu thuận, 2 phiếu chống và 2 phiếu trắng, và 90,9% số phiếu đã thông qua đề xuất.
Việc thông qua đề xuất cũng chỉ ra rằng giao thức Sui sẽ được nâng cấp, cho phép một địa chỉ cụ thể thực hiện hai giao dịch thay mặt cho địa chỉ của tin tặc để tạo điều kiện thuận lợi cho việc khôi phục tiền. Các giao dịch này sẽ được thiết kế và công bố sau khi địa chỉ khôi phục được hoàn tất. Các tài sản đã khôi phục sẽ được lưu trữ trong ví đa chữ ký do Cetus, Sui Foundation và OtterSec, một đơn vị kiểm toán đáng tin cậy trong cộng đồng Sui, kiểm soát.
Ở cấp độ nâng cấp giao thức, chức năng bí danh địa chỉ
được giới thiệu. Cụ thể, các quy tắc được xác định trước ở lớp giao thức: các hoạt động quản trị cụ thể được ngụy trang thành "chữ ký hợp lệ của tài khoản tin tặc", sau đó các nút xác minh sẽ nhận dạng các chữ ký giả mạo sau khi nâng cấp để hợp pháp hóa việc chuyển tiền bị đóng băng. Phần trên cho phép buộc sửa đổi quyền sở hữu tài sản thông qua sự đồng thuận của nút mà không cần chạm vào khóa riêng (điều này tương tự như ngân hàng trung ương đóng băng tài khoản ngân hàng và chuyển tiền).
Tài sản bị đóng băng sớm nhất đạt được như thế nào? Bản thân Sui hỗ trợ các chức năng Danh sách từ chối
và Mã thông báo được quản lý
. Lần này, giao diện đóng băng được gọi trực tiếp để khóa địa chỉ của tin tặc.
Rủi ro kỹ thuật của sự can thiệp mạnh mẽ
Mặc dù động thái này đã khôi phục được hầu hết các tài sản bị đóng băng, nhưng cũng đáng lo ngại, vì việc nâng cấp giao thức đã buộc phải sửa đổi quyền sở hữu tài sản thông qua sự đồng thuận của nút, điều này cũng chỉ ra rằng các quan chức của Sui có thể thay thế bất kỳ địa chỉ nào để ký, do đó chuyển tài sản vào bên trong.
Liệu các quan chức của Sui có thể làm được điều này không phải là mã hợp đồng thông minh, mà là quyền biểu quyết của nút và ai kiểm soát kết quả bỏ phiếu của nút? Đó không gì khác ngoài các nút lớn do nền tảng kiểm soát! Nói cách khác, các bên liên quan của quan chức Sui có tiếng nói lớn nhất và ngay cả việc bỏ phiếu cũng chỉ là hình thức.
Khóa riêng của người dùng không còn là chứng chỉ kiểm soát tuyệt đối đối với tài sản nữa. Miễn là sự đồng thuận của nút đồng ý, lớp giao thức có thể trực tiếp bao gồm các quyền khóa riêng.
Nhưng mặt khác, điều này đã đạt được hiệu quả cao trong việc khôi phục tài sản và đóng băng tài sản nhanh chóng. Nhờ chức năng giám sát tích hợp của Sui, nó có thể nhanh chóng ngăn chặn tổn thất. Việc bỏ phiếu đã hoàn tất trong vòng 48 giờ và việc nâng cấp giao thức đã được triển khai.
Nhưng theo tôi, chức năng đặt bí danh địa chỉ
đã tạo ra một tiền lệ nguy hiểm - lớp giao thức có thể tạo ra bất kỳ "hoạt động hợp pháp" nào của địa chỉ, điều này đặt ra một điềm báo kỹ thuật cho sự can thiệp mạnh mẽ.
Và lần này, chuỗi hoạt động của Sui để khôi phục tiền không gì khác hơn là khi lợi ích của người dùng xung đột với nguyên tắc phi tập trung, bên chuỗi công khai đã chọn đưa ra quyết định theo quan điểm lợi ích của người dùng. Về việc liệu nó có vi phạm nguyên tắc phi tập trung hay không, có vẻ như điều đó không quan trọng đối với người dùng và Sui. Sau cùng, khi được hỏi, họ có thể trả lời rằng nó đã được quyết định bằng "bỏ phiếu".