Lời nói đầu
Sự cố này là thắng lợi của nhà đầu tư chứ không phải của người sử dụng, và là bước thụt lùi cho sự phát triển của ngành.
Bitcoin đi về bên trái, Sui đi về bên phải, và mọi động thái làm rung chuyển sự phân cấp của ngành công nghiệp này đều mang lại niềm tin mạnh mẽ hơn vào Bitcoin.
Điều thế giới cần không chỉ là một cơ sở hạ tầng tài chính toàn cầu tốt hơn, mà còn luôn có một nhóm người cần không gian cho sự tự do.
Ngày xưa, các chuỗi liên minh phổ biến hơn các chuỗi công khai vì chúng đáp ứng được nhu cầu quản lý của thời đại đó. Sự suy giảm của các liên minh ngày nay thực chất chỉ có nghĩa là tuân thủ nhu cầu này, chứ không phải nhu cầu của người dùng thực sự. Nếu những người dùng được quản lý không còn nữa thì nhu cầu về các công cụ quản lý sẽ thế nào?
1. Bối cảnh
Vào ngày 22 tháng 5 năm 2025, Cetus, sàn giao dịch phi tập trung (DEX) lớn nhất trong hệ sinh thái chuỗi công khai Sui, đã bị tin tặc tấn công. Tính thanh khoản giảm mạnh ngay lập tức, giá của nhiều cặp giao dịch sụp đổ và thiệt hại vượt quá 220 triệu đô la Mỹ.
Tính đến thời điểm báo chí đưa tin, dòng thời gian như sau:
Sáng ngày 22 tháng 5, tin tặc đã tấn công Cetus và đánh cắp 230 triệu đô la. Cetus đã khẩn trương đình chỉ hợp đồng và đưa ra thông báo
Chiều ngày 22 tháng 5, tin tặc đã chuyển khoảng 60 triệu đô la Mỹ qua chuỗi và số tiền 162 triệu đô la Mỹ còn lại vẫn nằm trong địa chỉ chuỗi Sui. Nút xác minh Sui đã nhanh chóng hành động để thêm địa chỉ của tin tặc vào Danh sách từ chối và đóng băng tiền.
Vào tối ngày 22 tháng 5, Sui CPO @emanabio đã tweet để xác nhận: Quỹ đã bị đóng băng và việc hoàn trả sẽ sớm bắt đầu
Vào ngày 23 tháng 5, Cetus bắt đầu sửa các lỗ hổng và cập nhật hợp đồng
Vào ngày 24 tháng 5, Sui đã công khai PR, giải thích rằng tiền sẽ được thu hồi thông qua việc đặt bí danh và đưa vào danh sách trắng.
Vào ngày 26 tháng 5, Sui đã khởi xướng một cuộc bỏ phiếu quản trị trên chuỗi, đề xuất liệu có nên triển khai nâng cấp giao thức và chuyển tài sản của tin tặc đến một địa chỉ lưu ký hay không.
Ngày 29 tháng 5, kết quả bỏ phiếu đã được công bố, với hơn 2/3 số nút xác minh hỗ trợ giao thức; việc nâng cấp giao thức đã sẵn sàng để triển khai
Từ ngày 30 tháng 5 đến đầu tháng 6, việc nâng cấp giao thức có hiệu lực, băm giao dịch được chỉ định đã được thực hiện và tài sản của tin tặc đã được chuyển giao hợp pháp
2. Nguyên lý tấn công
Có rất nhiều bài viết về nguyên tắc sự kiện trong ngành và ở đây chúng tôi chỉ đưa ra tổng quan về các nguyên tắc cốt lõi:
Theo quan điểm của quá trình tấn công:
Kẻ tấn công đầu tiên sử dụng khoản vay nhanh để vay khoảng 10.024.321,28 haSUI, ngay lập tức làm giảm giá của nhóm giao dịch xuống
99,90%. Lệnh bán lớn này khiến giá mục tiêu giảm từ khoảng 1,8956 × 10^19 xuống 1,8425 × 10^19, gần như chạm đáy.
Sau đó, kẻ tấn công đã tạo ra một vị thế thanh khoản trên Cetus với phạm vi cực kỳ hẹp (giới hạn dưới của tick là 300000, giới hạn trên là 300200 và độ rộng phạm vi chỉ là 1,00496621%). Phạm vi hẹp như vậy khuếch đại tác động của các lỗi tính toán tiếp theo lên số lượng mã thông báo cần thiết.
Nguyên tắc cốt lõi của cuộc tấn công:
Lỗ hổng này là lỗi tràn số nguyên trong hàm get_delta_a mà Cetus sử dụng để tính toán số lượng mã thông báo cần thiết. Kẻ tấn công cố tình tuyên bố rằng hắn sẽ thêm một lượng thanh khoản lớn (khoảng 10^37 đơn vị), nhưng thực tế chỉ đưa 1 mã thông báo vào hợp đồng.
Do lỗi trong điều kiện phát hiện tràn của checked_shlw, hợp đồng cắt bớt vị trí cao trong quá trình tính toán dịch chuyển sang trái, khiến hệ thống đánh giá thấp nghiêm trọng lượng haSUI cần thiết, do đó trao đổi một lượng thanh khoản khổng lồ để lấy một chi phí rất nhỏ.
Về mặt kỹ thuật, lỗ hổng bảo mật trên bắt nguồn từ việc Cetus sử dụng mặt nạ và điều kiện phán đoán không chính xác trong hợp đồng thông minh Move, khiến bất kỳ giá trị nào nhỏ hơn 0xffffffffffffffff << 192 đều có thể vượt qua được quá trình phát hiện; và sau khi dịch chuyển sang trái 64 bit, dữ liệu bậc cao bị cắt bớt và hệ thống tin rằng đã thu được lượng thanh khoản lớn chỉ bằng cách thu thập một vài mã thông báo.
Sau sự cố, hai hành động chính thức đã được thực hiện: đóng băng so với phục hồi, bao gồm hai giai đoạn :
Giai đoạn đóng băng được hoàn thành bằng Danh sách từ chối + sự đồng thuận của nút;
Giai đoạn phục hồi yêu cầu nâng cấp giao thức trên chuỗi + bỏ phiếu cộng đồng + thực hiện giao dịch được chỉ định để bỏ qua danh sách đen.
3. Cơ chế đóng băng của Sui
Có một cơ chế Danh sách từ chối đặc biệt trong chính chuỗi Sui, cho phép đóng băng tiền của tin tặc. Không chỉ vậy, chuẩn token của Sui còn có chế độ “ token được điều chỉnh ” với chức năng đóng băng tích hợp sẵn.
Đợt đóng băng khẩn cấp này đã tận dụng tính năng này: nút xác thực nhanh chóng thêm các địa chỉ liên quan đến số tiền bị đánh cắp vào tệp cấu hình cục bộ. Về mặt lý thuyết, mỗi nhà điều hành nút có thể sửa đổi TransactionDenyConfig để cập nhật danh sách đen, nhưng để đảm bảo tính nhất quán của mạng, Sui Foundation, với tư cách là đơn vị xuất bản cấu hình ban đầu, đã tiến hành phối hợp tập trung.
Đầu tiên, tổ chức này chính thức phát hành bản cập nhật cấu hình có chứa địa chỉ của tin tặc và trình xác thực có hiệu lực đồng bộ theo cấu hình mặc định, do đó, tiền của tin tặc tạm thời bị niêm phong trên chuỗi. Trên thực tế, có một yếu tố tập trung cao độ đằng sau điều này.
Để giải cứu các nạn nhân khỏi các quỹ bị đóng băng, nhóm Sui đã ngay lập tức triển khai bản vá cơ chế danh sách trắng .
Điều này dành cho việc chuyển tiền sau này. Các giao dịch hợp pháp có thể được xây dựng trước và đăng ký trong danh sách trắng, và có thể được thực hiện ngay cả khi địa chỉ quỹ vẫn nằm trong danh sách đen.
Tính năng mới transaction_allow_list_skip_all_checks cho phép thêm trước các giao dịch cụ thể vào danh sách miễn trừ, cho phép các giao dịch này bỏ qua mọi kiểm tra bảo mật, bao gồm chữ ký, quyền, danh sách đen, v.v.
Cần lưu ý rằng bản vá danh sách trắng không thể trực tiếp đánh cắp tài sản của tin tặc ; nó chỉ cung cấp cho một số giao dịch nhất định khả năng bỏ qua việc đóng băng và việc chuyển giao tài sản thực tế vẫn yêu cầu chữ ký hợp pháp hoặc mô-đun cấp phép hệ thống bổ sung để hoàn tất.
Trên thực tế, các chương trình đóng băng phổ biến trong ngành thường xảy ra ở cấp độ hợp đồng mã thông báo và được kiểm soát bởi nhiều chữ ký của đơn vị phát hành.
Lấy USDT do Tether phát hành làm ví dụ, hợp đồng của Tether có chức năng danh sách đen tích hợp sẵn và công ty phát hành có thể đóng băng các địa chỉ bất hợp pháp, khiến việc chuyển USDT trở nên không thể. Giải pháp này yêu cầu nhiều chữ ký để khởi tạo yêu cầu đóng băng trên chuỗi và nó sẽ chỉ được thực hiện sau khi nhiều chữ ký đạt được sự đồng thuận, do đó sẽ có độ trễ khi thực hiện.
Mặc dù cơ chế đóng băng của Tether có hiệu quả, nhưng số liệu thống kê cho thấy thường có thời gian cửa sổ trong quy trình đa chữ ký, tạo cơ hội cho tội phạm lợi dụng.
Ngược lại, quá trình đóng băng của Sui xảy ra ở cấp độ giao thức cơ bản và được vận hành tập thể bởi các nút xác thực, thực hiện nhanh hơn nhiều so với các lệnh gọi hợp đồng thông thường.
Trong mô hình này, để thực thi đủ nhanh, điều đó có nghĩa là việc quản lý các nút xác thực này phải được thống nhất ở mức độ cao.
4. Nguyên tắc thực hiện “tái chế theo kiểu chuyển giao” của Sui
Điều thậm chí còn đáng ngạc nhiên hơn là Sui không chỉ đóng băng tài sản của tin tặc mà còn có kế hoạch chuyển và thu hồi số tiền bị đánh cắp thông qua các nâng cấp trên chuỗi.
Vào ngày 27 tháng 5, Cetus đã đề xuất một cuộc bỏ phiếu cộng đồng nhằm nâng cấp giao thức để gửi tiền bị đóng băng vào ví ký quỹ đa chữ ký. Quỹ Sui ngay lập tức khởi xướng cuộc bỏ phiếu quản trị trên chuỗi.
Vào ngày 29 tháng 5, kết quả bỏ phiếu đã được công bố và khoảng 90,9% người xác thực đã ủng hộ kế hoạch. Sui chính thức tuyên bố rằng sau khi đề xuất được thông qua, toàn bộ số tiền bị đóng băng trong hai tài khoản tin tặc sẽ được khôi phục vào ví đa chữ ký mà không cần chữ ký của tin tặc.
Không cần chữ ký của tin tặc, đây quả là một tính năng độc đáo, chưa từng có phương pháp sửa chữa nào như vậy trong ngành công nghiệp blockchain.
Từ GitHub PR chính thức của Sui, chúng ta có thể thấy rằng giao thức này giới thiệu cơ chế đặt bí danh địa chỉ. Bản nâng cấp bao gồm: chỉ định trước các quy tắc bí danh trong ProtocolConfig để một số giao dịch được phép có thể coi chữ ký hợp lệ là được gửi từ tài khoản tin tặc.
Cụ thể, danh sách băm giao dịch cứu hộ cần thực hiện sẽ được liên kết với địa chỉ mục tiêu (tức là địa chỉ của tin tặc) và bất kỳ người thực hiện nào ký và công bố các bản tóm tắt giao dịch cố định này đều được coi là đã khởi tạo giao dịch với tư cách là chủ sở hữu địa chỉ tin tặc hợp lệ. Đối với các giao dịch cụ thể này, hệ thống nút xác thực sẽ bỏ qua bước kiểm tra Danh sách từ chối.
Ở cấp độ mã, Sui đã thêm phán đoán sau vào logic xác minh giao dịch: khi một giao dịch bị danh sách đen chặn, hệ thống sẽ duyệt qua những người ký và kiểm tra xem protocol_config.is_tx_allowed_via_aliasing(sender, signer, tx_digest) có đúng không.
Miễn là có người ký đáp ứng quy tắc bí danh, nghĩa là giao dịch được đánh dấu là được phép thông qua, thì lỗi chặn trước đó sẽ bị bỏ qua và quá trình đóng gói và thực hiện bình thường sẽ tiếp tục.
5. Quan điểm
160 triệu, phá vỡ những niềm tin sâu sắc nhất của ngành công nghiệp
Liên quan đến sự cố Cetus, theo quan điểm cá nhân của tôi, cơn bão này có thể sẽ qua nhanh, nhưng mô hình này sẽ không bị lãng quên vì nó đã phá vỡ nền tảng của ngành và phá vỡ sự đồng thuận truyền thống rằng blockchain không thể bị can thiệp trong cùng một tập hợp sổ cái.
Trong thiết kế blockchain, hợp đồng là luật và mã là trọng tài.
Nhưng trong sự cố này, quy tắc đã thất bại, sự quản lý đã can thiệp và quyền lực đã bị lấn át, tạo thành một mô hình hành vi bỏ phiếu quyết định kết quả của quy tắc.
Nguyên nhân là do cách tiếp cận chiếm đoạt trực tiếp các giao dịch của Sui rất khác so với cách tiếp cận của blockchain chính thống trong việc giải quyết vấn đề tin tặc.
Đây không phải là lần đầu tiên sự đồng thuận bị can thiệp, nhưng đây là lần im lặng nhất
Về mặt lịch sử:
Ethereum đã sử dụng hard fork để khôi phục lại các giao dịch chuyển tiền nhằm bù đắp tổn thất trong sự cố The DAO năm 2016, nhưng quyết định này đã dẫn đến sự chia tách chuỗi Ethereum và Ethereum Classic. Quá trình này gây nhiều tranh cãi, nhưng cuối cùng các nhóm khác nhau đã hình thành nên những niềm tin đồng thuận khác nhau.
Cộng đồng Bitcoin cũng đã trải qua những thách thức kỹ thuật tương tự: lỗ hổng tràn giá trị vào năm 2010 đã được các nhà phát triển khẩn trương khắc phục và các quy tắc đồng thuận đã được nâng cấp, xóa hoàn toàn khoảng 18,4 tỷ bitcoin được tạo ra bất hợp pháp.
Đây là mô hình hard fork tương tự, khôi phục sổ cái về trước khi xảy ra sự cố và sau đó người dùng vẫn có thể tự quyết định hệ thống sổ cái nào sẽ tiếp tục sử dụng.
So với hard fork DAO, Sui không chọn cách chia tách chuỗi mà thay vào đó nhắm mục tiêu chính xác vào sự cố này bằng cách nâng cấp giao thức và cấu hình các bí danh . Khi làm như vậy, Sui đã giữ nguyên tính liên tục của chuỗi và hầu hết các quy tắc đồng thuận, nhưng cũng chứng minh rằng giao thức cơ bản có thể được sử dụng để thực hiện các hoạt động giải cứu có mục tiêu.
Vấn đề là việc hoàn nguyên theo kiểu fork trong lịch sử là sự lựa chọn niềm tin của người dùng; “Những sửa đổi theo kiểu giao thức” của Sui là những chuỗi đưa ra quyết định thay cho bạn.
Không phải chìa khóa, không phải tiền xu của bạn? Tôi e là không còn nữa.
Về lâu dài, điều này có nghĩa là khái niệm “ Không phải chìa khóa của bạn, không phải tiền của bạn ” bị phá vỡ trên chuỗi Sui: ngay cả khi khóa riêng của người dùng còn nguyên vẹn, mạng lưới vẫn có thể chặn dòng tài sản và chuyển hướng tài sản thông qua những thay đổi trong thỏa thuận tập thể.
Nếu điều này trở thành tiền lệ để blockchain ứng phó với các sự cố bảo mật quy mô lớn trong tương lai, hoặc thậm chí được coi là một thông lệ có thể được thực hiện lại.
“Khi một chuỗi có thể phá vỡ các quy tắc vì công lý, nó cũng có tiền lệ phá vỡ mọi quy tắc.”
Một khi tài trợ phúc lợi công cộng đã thành công, lần tiếp theo có thể là một hoạt động nằm trong vùng xám đạo đức.
Vậy thì chuyện gì sẽ xảy ra?
Tin tặc đã đánh cắp tiền của người dùng, vậy việc bỏ phiếu nhóm có thể lấy đi tiền của anh ta không?
Việc bỏ phiếu dựa trên việc ai có nhiều tiền hơn (pos) hay nhiều người hơn? Nếu những người có nhiều tiền hơn thắng thì những nhà sản xuất cuối cùng mà Lưu Từ Hân mô tả sẽ sớm xuất hiện. Nếu bên nào có nhiều người hơn thắng thì đám đông cũng sẽ nổi dậy.
Theo hệ thống truyền thống, việc thu nhập bất hợp pháp không được bảo vệ là điều bình thường, và việc đóng băng và chuyển tiền là hoạt động thường xuyên của các ngân hàng truyền thống.
Nhưng thực tế là điều này không thể đạt được về mặt kỹ thuật chính là nguyên nhân sâu xa dẫn đến sự phát triển của ngành công nghiệp blockchain.
Vấn đề tuân thủ quy định của ngành vẫn tiếp tục diễn biến phức tạp. Ngày nay, số dư tài khoản có thể bị đóng băng và sửa đổi vì tin tặc, nhưng ngày mai, số dư có thể bị sửa đổi tùy ý do các yếu tố địa chính trị hoặc xung đột. Nếu chuỗi trở thành một phần khu vực của công cụ.
Giá trị của ngành công nghiệp sẽ bị nén lại rất nhiều và cùng lắm thì nó cũng chỉ là một hệ thống tài chính kém hữu ích khác.
Đây cũng là lý do vì sao tôi quyết tâm theo đuổi ngành này: Blockchain có giá trị không phải vì nó không thể bị đóng băng, mà vì ngay cả khi bạn ghét nó, nó cũng sẽ không thay đổi vì bạn.
Với quy định là xu hướng chung, liệu chuỗi có thể tự bảo vệ được linh hồn của mình không?
Ngày xưa, các chuỗi liên minh phổ biến hơn các chuỗi công khai vì chúng đáp ứng được nhu cầu quản lý của thời đại đó. Sự suy giảm của các liên minh ngày nay thực chất chỉ có nghĩa là tuân thủ nhu cầu này, chứ không phải nhu cầu của người dùng thực sự. Những người dùng được quản lý đã không còn nữa, vậy còn nhu cầu về các công cụ quản lý thì sao ?
Từ góc độ phát triển công nghiệp
Liệu sự tập trung hiệu quả có phải là giai đoạn cần thiết trong quá trình phát triển blockchain không? Nếu mục tiêu cuối cùng của phi tập trung là bảo vệ quyền lợi của người dùng, chúng ta có thể chấp nhận tập trung hóa như một biện pháp tạm thời không?
Từ “dân chủ”, trong bối cảnh quản trị trên chuỗi, thực chất là trọng số mã thông báo . Vậy nếu một hacker nắm giữ một lượng lớn SUI (hoặc nếu DAO bị hack một ngày nào đó và hacker đó kiểm soát quyền biểu quyết), thì liệu anh ta có thể bỏ phiếu hợp pháp để thanh lọc bản thân không ?
Cuối cùng, giá trị của blockchain không phải là liệu nó có thể bị đóng băng hay không, mà là ngay cả khi một nhóm có khả năng đóng băng nó, họ vẫn chọn không làm như vậy.
Tương lai của một chuỗi không được quyết định bởi kiến trúc kỹ thuật của nó mà bởi tập hợp các niềm tin mà nó chọn để bảo vệ.
