Ý kiến: Hacker ăn cắp tiền nên Sui có thể cướp được?
14 tháng 6
là chiến thắng của vốn, không phải cho người dùng, và đó là sự thụt lùi cho sự phát triển của ngành.
Bitcoin ở bên trái, Sui ở bên phải và mọi động thái của ngành làm rung chuyển tính phi tập trung đều mang lại niềm tin mạnh mẽ hơn vào Bitcoin.
Thế giới không chỉ cần một cơ sở hạ tầng tài chính toàn cầu tốt hơn, mà còn cần một nhóm người sẽ luôn cần tự do.
Ngày xửa ngày xưa, chuỗi liên minh thịnh vượng hơn chuỗi công khai, bởi vì nó đáp ứng nhu cầu pháp lý của thời đại đó, và bây giờ sự suy tàn của liên minh thực sự có nghĩa là nó chỉ đơn giản là tuân thủ nhu cầu này, không phải nhu cầu của người dùng thực sự.
1. Bối cảnh
sự kiệnVào ngày 22/05/2025, Cetus, sàn giao dịch phi tập trung (DEX) lớn nhất trong hệ sinh thái chuỗi công khai Sui, đã bị tin tặc tấn công, gây ra sự sụt giảm mạnh về thanh khoản và sự sụp đổ của nhiều cặp giao dịch, với khoản lỗ hơn 220 triệu USD.
Tính đến thời điểm viết bài, mốc thời gian như sau:
-
Sáng ngày 22/5, tin tặc tấn công Cetus để rút 230 triệu USD, Cetus khẩn trương đình chỉ hợp đồng và đưa ra thông báo
-
Chiều 22/5, hacker đã chuyển khoảng 60 triệu USD qua các chuỗi, và 162 triệu USD còn lại vẫn nằm trong địa chỉ chuỗi Sui. Danh sách từ chối", quỹ bị đóng băng
-
Tối ngày 22/5, Sui CPO @emanabio tweet xác nhận: tiền đã bị đóng băng và việc trả lại sẽ sớm bắt đầu
-
Vào ngày 23/5, Cetus bắt đầu sửa lỗ hổng và cập nhật hợp đồng
-
Vào ngày 24 tháng 5, Sui đã mở PR nguồn, giải thích rằng các khoản tiền sẽ được thu hồi thông qua bí danh và danh sách trắng
-
Vào ngày 26 tháng 5, Sui đã khởi động một cuộc bỏ phiếu quản trị trên chuỗi, đề xuất có nên thực hiện nâng cấp giao thức và chuyển tài sản tin tặc sang các địa chỉ ký quỹ
-
hay không Vào ngày 29 tháng 5, kết quả bỏ phiếu đã được công bố, với hơn 2/3 số nút xác thực được hỗ trợ bởi trọng lượng; Việc nâng cấp giao thức đã sẵn sàng để được thực hiện
-
Từ ngày 30 tháng 5 đến đầu tháng 6, nâng cấp giao thức có hiệu lực, hàm băm giao dịch được chỉ định đã được thực hiện và tài sản bị tấn công đã được "chuyển giao hợp pháp"2
10.024.321,28 haSUI, ngay lập tức giảm giá của nhóm giao dịch xuống
99,90%. Lệnh bán khổng lồ này đã đưa giá nhóm mục tiêu giảm từ khoảng 1,8956×10^19 xuống 1,8425×10^19, gần như chạm đáy.
Sau đó, kẻ tấn công tạo một vị thế thanh khoản trên Cetus với phạm vi cực kỳ hẹp (giới hạn dưới của Tick là 300000, giới hạn trên là 300200 và độ rộng khoảng thời gian chỉ là 1,00496621%). Khoảng thời gian hẹp như vậy khuếch đại tác động của các lỗi tính toán tiếp theo đối với số lượng mã thông báo cần thiết.
Nguyên tắc cốt lõi của cuộc tấn công
là có lỗ hổng tràn số nguyên trong hàm get_delta_a được Cetus sử dụng để tính toán số lượng token cần thiết. Kẻ tấn công cố tình tuyên bố rằng anh ta muốn thêm một lượng thanh khoản khổng lồ (khoảng 10^37 đơn vị), nhưng thực tế chỉ đưa 1 token vào hợp đồng.
Do điều kiện phát hiện tràn của checked_shlw sai, hợp đồng bị cắt ngắn ở mức cao khi tính toán dịch nghiêng trái, khiến hệ thống đánh giá thấp nghiêm trọng lượng haSUI cần thiết, do đó trao đổi một lượng thanh khoản khổng lồ với chi phí rất nhỏ.
Về mặt kỹ thuật, lỗ hổng trên bắt nguồn từ việc Cetus sử dụng mặt nạ và điều kiện phán đoán không chính xác trong hợp đồng thông minh Move, dẫn đến bất kỳ giá trị nào nhỏ hơn 0xffffffffffffffff << 192 đều có thể bỏ qua phát hiện; Sau khi di chuyển 64 bit sang trái, dữ liệu cấp cao sẽ bị cắt bớt và hệ thống chỉ tính phí một số lượng rất nhỏ token để xem xét rằng nó đã đạt được rất nhiều thanh khoản.
Sau sự kiện, 2 hoạt động chính thức đã được đưa ra: "Đóng băng" và "Phục hồi", gồm hai giai đoạn:
-
Giai đoạn đóng băng được hoàn thành bởi Danh sách từ chối + sự đồng thuận của node;
-
Trong giai đoạn clawback, cần nâng cấp giao thức on-chain + bỏ phiếu cộng đồng + thực hiện giao dịch được chỉ định để vượt qua danh sách đen.
3. Cơ chế đóng băng của SuiCó
một cơ chế Danh sách từ chối (danh sách từ chối) đặc biệt trong chuỗi Sui, thực hiện việc đóng băng tiền của tin tặc. Không chỉ vậy, tiêu chuẩn token của Sui còn có mô hình "regulated token" với chức năng đóng băng tích hợp.
Việc đóng băng khẩn cấp này tận dụng tính năng này: các nút xác thực nhanh chóng thêm các địa chỉ liên quan đến tiền bị đánh cắp trong các tệp cấu hình cục bộ của họ. Về mặt lý thuyết, mỗi nhà điều hành nút có thể sửa đổi TransactionDenyConfig để tự cập nhật danh sách đen, nhưng để đảm bảo tính nhất quán của mạng, Sui Foundation có sự phối hợp tập trung với tư cách là nhà xuất bản cấu hình ban đầu.
Foundation lần đầu tiên chính thức phát hành bản cập nhật cấu hình chứa địa chỉ của hacker và trình xác thực có hiệu lực đồng bộ theo cấu hình mặc định, do đó tiền của hacker tạm thời được "niêm phong" trên chuỗi, thực sự có mức độ tập trung cao đằng sau nó,
vàđể giải cứu nạn nhân khỏi các khoản tiền bị đóng băng, nhóm Sui ngay lập tức tung ra một bản vá cho cơ chế danh sách trắng.
Điều này là để chuyển tiền trở lại sau đó. Các giao dịch hợp pháp có thể được xây dựng trước và đăng ký vào danh sách trắng, ngay cả khi địa chỉ quỹ vẫn nằm trong danh sách đen, nó có thể được thực thi.
Tính năng mới này transaction_allow_list_skip_all_checks cho phép các giao dịch cụ thể được thêm trước vào "Danh sách miễn trừ", cho phép họ bỏ qua tất cả các kiểm tra bảo mật, bao gồm chữ ký, quyền, danh sách đen, v.v.
Điều quan trọng cần lưu ý là các bản vá lỗi trong danh sách trắng không trực tiếp đánh cắp tài sản của tin tặc; Nó chỉ cung cấp cho một số giao dịch nhất định khả năng vượt qua việc đóng băng và việc chuyển tài sản thực vẫn cần được thực hiện với chữ ký hợp pháp hoặc mô-đun cấp phép hệ thống bổ sung.
Trên thực tế, kế hoạch đóng băng chính thống trong ngành thường xảy ra ở cấp độ hợp đồng token và được kiểm soát bởi nhà phát hành để đa chữ ký.
Lấy USDT do Tether phát hành làm ví dụ, hợp đồng của nó có chức năng danh sách đen tích hợp và công ty phát hành có thể đóng băng địa chỉ vi phạm để không thể chuyển USDT. Sơ đồ này yêu cầu multisig để bắt đầu một yêu cầu đóng băng trên chuỗi và multisig được đồng ý trước khi nó thực sự được thực thi, vì vậy có sự chậm trễ thực thi.
Mặc dù cơ chế đóng băng Tether có hiệu quả nhưng thống kê cho thấy thường có một "khoảng thời gian cửa sổ" trong quá trình đa chữ ký, để lại cơ hội cho tội phạm lợi dụng.
Ngược lại, việc đóng băng của Sui xảy ra ở cấp độ giao thức cơ bản, được vận hành chung bởi các nút xác thực và được thực hiện nhanh hơn nhiều so với các lệnh gọi hợp đồng thông thường.
Trong mô hình này, để đủ nhanh, điều đó có nghĩa là việc quản lý các node validator này rất đồng nhất.
3. Nguyên tắc thực hiện "tái chế chuyển giao" của Sui
thậm chí còn đáng kinh ngạc hơn là Sui không chỉ đóng băng tài sản của hacker mà còn lên kế hoạch "chuyển và thu hồi" số tiền bị đánh cắp thông qua nâng cấp on-chain.
Vào ngày 27 tháng 5, Cetus đã đề xuất một cuộc bỏ phiếu của cộng đồng để nâng cấp giao thức để gửi tiền bị đóng băng đến một ví lưu ký đa chữ ký. Sui Foundation sau đó đã bắt đầu một cuộc bỏ phiếu quản trị trên chuỗi.
Vào ngày 29 tháng 5, kết quả của cuộc bỏ phiếu đã được công bố và khoảng 90,9% người xác thực ủng hộ kế hoạch này. Sui chính thức thông báo rằng một khi đề xuất được chấp thuận, "tất cả các khoản tiền bị đóng băng trong hai tài khoản hacker sẽ được khôi phục vào ví multisig mà không cần chữ ký của hacker".
Không cần tin tặc ký tên, đó là một sự khác biệt đến mức chưa bao giờ có một bản sửa lỗi như vậy trong ngành công nghiệp blockchain.
Như có thể thấy từ PR GitHub chính thức của Sui, giao thức này giới thiệu cơ chế bí danh địa chỉ. Bản nâng cấp bao gồm các quy tắc bí danh được chỉ định trước trong ProtocolConfig để một số giao dịch được phép có thể được coi như thể chữ ký hợp pháp được gửi từ một tài khoản bị tấn công.
Cụ thể, một danh sách băm của các giao dịch cứu hộ được thực hiện được gắn với một địa chỉ đích (tức là địa chỉ tin tặc) và bất kỳ người thực thi nào ký và xuất bản tóm tắt các giao dịch cố định này được coi là đã bắt đầu giao dịch với tư cách là chủ sở hữu địa chỉ tin tặc hợp lệ. Đối với các giao dịch cụ thể này, hệ thống nút xác thực bỏ qua kiểm tra Danh sách từ chối.
Ở cấp độ mã, Sui thêm phán đoán sau vào logic xác thực giao dịch: khi một giao dịch bị chặn bởi danh sách đen, hệ thống lặp lại thông qua người ký để kiểm tra xem protocol_config.is_tx_allowed_via_aliasing(sender, signer, tx_digest) có đúng hay không.
Miễnlà người ký thỏa mãn quy tắc bí danh, nghĩa là giao dịch được phép vượt qua, lỗi chặn trước đó sẽ bị bỏ qua và việc thực thi gói bình thường vẫn tiếp tục.
4.
160 triệu lượt xem, xé toạc niềm tin cơ bản sâu sắc nhất của ngành
Cetus sự cố, từ quan điểm cá nhân của tác giả, đây có thể là một cơn bão sẽ sớm qua, nhưng mô hình này sẽ không bị lãng quên, bởi vì ông đã lật đổ nền tảng của ngành, nhưng cũng phá vỡ sự đồng thuận truyền thống rằng blockchain không thể bị giả mạo dưới cùng một bộ sổ cái.
Trong thiết kế blockchain, hợp đồng là luật và mã là trọng tài.
Nhưng trong trường hợp này, quy tắc đã thất bại, quản trị can thiệp và quyền lực lấn át mô hình, tạo thành một mô hình hành vi bỏ phiếu phán quyết kết quả mã.
Điều này là do việc chiếm đoạt giao dịch trực tiếp của Sui rất khác so với việc xử lý tin tặc trên các blockchain chính thống.
Đây không phải là lần đầu tiên sự đồng thuận bị giả mạo, nhưng đây là sự im lặng nhất trong lịch
sử:
Sự-
cố DAO năm 2016 của Ethereum đã sử dụng một hard fork để quay lại việc chuyển khoản để bù đắp cho các khoản lỗ, nhưng quyết định này đã dẫn đến việc chia tách hai chuỗi là Ethereum và Ethereum Classic, quá trình này gây tranh cãi cao, nhưng cuối cùng, các nhóm khác nhau đã hình thành những niềm tin đồng thuận khác nhau.
-
Cộng đồng Bitcoin đã trải qua những thách thức kỹ thuật tương tự: lỗ hổng lan tỏa giá trị năm 2010 đã được các nhà phát triển khẩn cấp khắc phục và các quy tắc đồng thuận đã được nâng cấp, xóa hoàn toàn khoảng 18,4 tỷ bitcoin được tạo ra bất hợp pháp.
Đó là cùng một mô hình hard fork, quay trở lại sổ cái về điểm trước khi xảy ra vấn đề và sau đó người dùng vẫn có thể quyết định hệ thống sổ cái nào sẽ tiếp tục sử dụng theo vấn đề.
So với hard fork DAO, Sui không chọn chia chuỗi mà nhắm mục tiêu sự kiện này một cách chính xác bằng cách nâng cấp giao thức và cấu hình bí danh. Khi làm như vậy, Sui duy trì tính liên tục của chuỗi và hầu hết các quy tắc đồng thuận, nhưng cũng cho thấy rằng giao thức cơ bản có thể được sử dụng để thực hiện "các hoạt động cứu hộ" có mục tiêu.
Vấn đề là trong lịch sử, "quay trở lại" là sự lựa chọn niềm tin của người dùng; "Điều chỉnh giao thức" của Sui là chuỗi đưa ra quyết định cho bạn.
Không phải chìa khóa của bạn, không phải đồng tiền của bạn? Tôi e rằng không còn nữa
Về lâu dài, điều này có nghĩa là ý tưởng "không phải khóa của bạn, không phải tiền của bạn" sẽ bị tháo dỡ trên chuỗi Sui: ngay cả khi khóa riêng tư của người dùng còn nguyên vẹn, mạng vẫn có thể chặn dòng tài sản và chuyển hướng chúng thông qua các thay đổi thỏa thuận tập thể.
Nếu điều này trở thành tiền lệ để blockchain ứng phó với các sự cố bảo mật quy mô lớn trong tương lai, nó thậm chí còn được coi là một thực tiễn có thể được thực hiện một lần nữa.
"Khi một chuỗi có thể phá vỡ các quy tắc vì lợi ích của công lý, nó có tiền lệ để phá vỡ bất kỳ quy tắc nào."
Một khi có thành công của "thu tiền phúc lợi công cộng", lần sau có thể là một hoạt động trong "sự mơ hồ về đạo đức".
Vậy điều gì sẽ xảy ra?
Tin tặc đã đánh cắp tiền của người dùng, vậy liệu đám đông bỏ phiếu có thể cướp tiền của anh ta không?
Bỏ phiếu dựa trên số tiền của ai nhiều hơn (pos) hoặc nhiều người hơn? Nếu người có nhiều tiền hơn thắng, thì nhà sản xuất cuối cùng của Liu Cixin sẽ sớm đến, và nếu người có nhiều người hơn thắng, thì đám đông của nhóm cũng sẽ ồn ào.
Theo hệ thống truyền thống, việc các khoản lợi bất hợp pháp không được bảo vệ là điều rất bình thường, và đóng băng và chuyển nhượng là hoạt động thường xuyên của các ngân hàng truyền thống.
Nhưng thực tế là điều này không thể được thực hiện về mặt kỹ thuật không phải là gốc rễ của sự phát triển của ngành công nghiệp blockchain.
Bây giờ sự tuân thủ của ngành đang tiếp tục lên men, hôm nay bạn có thể đóng băng cho tin tặc và sửa đổi số dư tài khoản, sau đó ngày mai bạn có thể thực hiện các sửa đổi tùy ý cho các yếu tố địa lý và các yếu tố mâu thuẫn. Nếu chuỗi trở thành một phần của công cụ khu vực.
Giá trị của ngành công nghiệp đó đã giảm đi rất nhiều, và tốt nhất là một hệ thống tài chính khó khăn hơn.
Đây cũng là lý do khiến tác giả cam kết vững chắc với ngành: "Blockchain không có giá trị vì nó không thể đóng băng, mà bởi vì ngay cả khi bạn ghét nó, nó sẽ không thay đổi đối với bạn".
Xu hướng quy định, chuỗi có thể giữ linh hồn của mình không?
Ngày xửa ngày xưa, chuỗi liên minh thịnh vượng hơn chuỗi công khai, bởi vì nó đáp ứng nhu cầu pháp lý của thời đại đó, và bây giờ sự suy tàn của liên minh thực sự có nghĩa là nó chỉ đơn giản là tuân thủ nhu cầu này, không phải nhu cầu của người dùng thực sự.
Dưới góc độ phát triển ngành,
tậptrung hiệu quả có phải là giai đoạn cần thiết cho sự phát triển của blockchain? Nếu mục tiêu cuối cùng của phi tập trung là bảo vệ lợi ích của người dùng, chúng ta có thể chấp nhận tập trung hóa như một phương tiện chuyển đổi không?
Từ "dân chủ", trong bối cảnh quản trị trên chuỗi, thực sự có trọng số token. Vậy nếu một hacker nắm giữ một lượng lớn SUI (hoặc một ngày nào đó DAO bị tấn công và hacker kiểm soát phiếu bầu), họ cũng có thể "bỏ phiếu hợp pháp để rửa tiền" không?
Cuối cùng, giá trị của blockchain không phải là liệu nó có thể bị đóng băng hay không, mà là liệu nhóm có chọn không làm như vậy ngay cả khi nó có khả năng đóng băng hay không.
Tương lai của một chuỗi không được xác định bởi kiến trúc kỹ thuật, mà bởi tập hợp các niềm tin mà nó chọn để bảo vệ.