Thế tiến thoái lưỡng nan của SUI: Phân quyền hay bảo mật?

Lời nói đầu

Tiền điện tử được cho là không bị kiểm soát tập trung - đây là loại tiền tệ không thể bị đóng băng hoặc kiểm soát bởi bất kỳ ai.

Tuần trước, giao thức Cetus của Sui đã phải hứng chịu một cuộc tấn công trị giá 223 triệu đô la và nhóm đã phải đóng băng khẩn cấp 162 triệu đô la tiền quỹ, nhưng điều này cũng làm dấy lên một cuộc tranh luận gay gắt: Nếu blockchain có thể tạm dừng tiền của bạn, thì tiền điện tử có thực sự không thể ngăn cản như tuyên bố không?

Đây là câu chuyện về trò hề "phi tập trung hóa" mới nhất của tiền điện tử:

• Cách các token giả bốc hơi 223 triệu đô la trong mười phút

• Vụ đóng băng quỹ gây tranh cãi đã cứu người dùng, nhưng lại gây ra sự phẫn nộ

• Tại sao vụ hack lớn thứ hai của nhóm này lại có cảm giác quen thuộc

• Cuộc đại tu bảo mật trị giá 10 triệu đô la của Sui (và tại sao có thể vẫn chưa đủ)

Thảm họa kéo dài mười phút

Sáng ngày 22 tháng 5 có vẻ như chỉ là một ngày bình thường đối với Sui, cho đến khi có điều gì đó thay đổi. Sau đó, mọi chuyện trở nên hỗn loạn.

Cetus Protocol, sàn giao dịch phi tập trung lớn nhất của Sui với khối lượng giao dịch hàng ngày trên 200 triệu đô la, đã bị đánh cắp 223 triệu đô la chỉ trong vài phút. Hiệu quả tấn công thật đáng kinh ngạc.

Thảm họa xảy ra trong chớp mắt:

• Các đồng tiền meme chính LOFI, HIPPO và SQUIRT trên chuỗi SUI đã giảm mạnh hơn 75% chỉ trong vòng một giờ.

• Mã thông báo gốc $CETUS của Cetus Protocol đã giảm 53% trong bốn ngày qua.

Nguồn: TradingView

Kỹ thuật tấn công? Đơn giản nhưng chết người.

Những tin tặc đã triển khai các token giả vào Cetus (về cơ bản là tiền tệ kỹ thuật số trong trò chơi Cờ tỷ phú) và khai thác lỗ hổng trong hợp đồng thông minh Cetus để đánh lừa giao thức tin rằng các token vô giá trị này có giá trị thực.

Tóm lại, "hãy tưởng tượng bạn đến một sàn giao dịch đồ chơi và mang theo một số đồ chơi giả trông có giá trị nhưng thực chất chẳng có giá trị gì, sau đó bạn đổi chúng lấy đồ chơi thật và bỏ trốn", Manan Vora, người đứng đầu công ty lưu ký tiền điện tử Liminal giải thích.

Đóng băng tập trung

Đây là nơi câu chuyện bắt đầu trở nên gây tranh cãi.

Chỉ trong vòng vài giờ, 114 trình xác thực của Sui — các nút điều hành mạng — đã cùng nhau quyết định đóng băng địa chỉ của tin tặc. Không bỏ phiếu. Không có đề xuất quản trị nào. Giống như bất kỳ quyết định quản lý nào được đưa ra bởi một cơ quan tập trung. Bạn có thấy sự trớ trêu không?

Kết quả là gì? 162 triệu đô la đã được giải cứu. Và chi phí là bao nhiêu? Điều này khiến những người ủng hộ chủ nghĩa phân quyền tức giận.

Justin Bons của quỹ tiền điện tử châu Âu Cyber ​​​​Capital đã dẫn đầu sự phản đối động thái này.

Nguồn: Người dùng Twitter - Justin_Bons

Dữ liệu tiết lộ sự thật tàn khốc:

• Số nút xác minh của Sui: 114

• Số nút xác minh của Ethereum: hơn 1 triệu

• Số nút xác minh của Solana: 1153

Khi 114 Thực tế là hai thực thể có thể phối hợp để đóng băng tiền, ngay cả đối với các lý do, đặt ra những câu hỏi khó chịu về ý nghĩa thực sự của “phân quyền”.

Một pha phòng thủ quen thuộc

Đây không phải là lần đầu tiên Cetus thực hiện trò mạo hiểm này—và đó không phải là một lời khen.

Cùng nhóm này trước đây đã điều hành Crema Finance của Solana, một sàn giao dịch đã mất 9 triệu đô la vào tay tin tặc vào tháng 7 năm 2022. Vậy họ đối phó như thế nào? là trả cho tin tặc 1,6 triệu đô la để trả lại tiền. Cuối cùng, tin tặc đã chấp nhận thỏa thuận nhưng vẫn phải vào tù (các chi tiết của vụ án trùng khớp nhưng chưa bao giờ được xác nhận chính thức).

Bây giờ, khi phải đối mặt với một cuộc tấn công của tin tặc lớn hơn 25 lần so với cuộc tấn công trước đó, nhóm Cetus đã dùng đến chiêu trò cũ và đề xuất một kế hoạch giải quyết có thời hạn:

• Kế hoạch: Trả lại 217 triệu đô la và giữ lại 6 triệu đô la

• Điều khoản: Không truy tố, không thẩm vấn thêm

• Thời hạn: 48 giờ, nếu không "sẽ có hành động pháp lý"

Nhưng cộng đồng tiền điện tử không tin vào điều đó. Một người dùng đã tóm tắt: “Cùng một đội, cùng một lỗi, blockchain khác nhau. Họ có bao nhiêu cơ hội?”

Chế độ kiểm soát khủng hoảng

Khi mọi chuyện lắng xuống, dữ liệu đã vẽ nên một bức tranh ảm đạm:

• Tổng giá trị bị khóa (TVL): 2,1 tỷ đô la đến 1,7 tỷ đô la (giảm 20%)

• Mã thông báo SUI: Giảm ~15%

• Khối lượng giao dịch: Tất cả các DEX của Sui đều sụp đổ

• Lòng tin của người dùng: Bình luận trên Twitter không ngừng nghỉ

Nguồn: DefiLlama

Phản hồi của Sui được chia thành hai phần.

Đầu tiên, họ cam kết đầu tư 10 triệu đô la để cải thiện bảo mật toàn diện:

• Tăng cường kiểm toán hợp đồng thông minh

• Cải thiện chương trình tiền thưởng cho lỗ hổng bảo mật

• Giới thiệu các công cụ xác minh chính thức

• Đào tạo bảo mật cho nhà phát triển

• Thư viện bảo mật nguồn mở

Thứ hai, họ công bố sự chuyển đổi từ "trách nhiệm của nền tảng" sang "trách nhiệm chung". Nghĩa là: Chúng ta không thể làm mọi thứ, các nhà phát triển cũng phải chịu trách nhiệm.

Nó có cao quý không? Đúng. Vậy đã đủ chưa? Thị trường đã đưa ra câu trả lời.

Vào thứ Hai, token CETUS đã phục hồi 10%, từ mức giảm hoàn toàn thành chỉ là một đòn giáng mạnh. Nhưng những thách thức về kỹ thuật không chỉ dừng lại ở giá cả.

Cuộc tấn công này đã phơi bày những vấn đề cơ bản:

• Thanh khoản không đủ: Giá cả sẽ biến động mạnh là điều không thể tránh khỏi

• Lỗ hổng của Oracle: "Thủ phạm" gây ra tất cả những điều này

• Rủi ro chuỗi chéo: Khi tiền chảy vào Ethereum, trò chơi đã kết thúc

Hiện Cetus đã vá lỗ hổng hiện tại, nhưng việc khôi phục sự tin cậy không dễ như viết mã.

Vậy họ nên làm gì tiếp theo?

Quan điểm của chúng tôi

Vụ tấn công này không chỉ liên quan đến việc đánh cắp tiền, mà còn là cuộc khủng hoảng danh tính đối với tiền điện tử.

Nghịch lý phi tập trung: Các nút xác thực của Sui đã tiết kiệm được 162 triệu đô la thông qua các hành động phối hợp, chứng minh tính hiệu quả của hệ thống. Tuy nhiên, điều này cũng chứng minh rằng 114 thực thể có thể kiểm soát hiệu quả mạng lưới hệ sinh thái được cho là phi tập trung. Đây không phải là sự tự do chống kiểm duyệt mà Satoshi Nakamoto hay bất kỳ người ủng hộ phi tập trung nào mơ ước. Thay vào đó, nó giống như một đội tuần tra khu phố có vũ khí hạt nhân hơn. Nó có hiệu quả không? Đúng. Nó có phi tập trung không? Điều này đang trở thành một khái niệm tương đối.

Câu hỏi về khả năng: Khi cùng một đội phải chịu hai cuộc tấn công lớn của tin tặc do phương pháp tấn công tương tự, thì đó không còn là vận rủi nữa mà là một thói quen. Ngành công nghiệp tiền điện tử rất khoan dung với các lỗi kỹ thuật, nhưng Cetus đang thách thức giới hạn của sự khoan dung này. Phần thưởng 6 triệu đô la có thể giúp họ lấy lại được tiền, nhưng không thể khôi phục lại danh tiếng của họ. Đến một lúc nào đó, câu nói “Chúng ta sẽ làm tốt hơn vào lần sau” không còn được chấp nhận nữa.

Bài kiểm tra mức độ trưởng thành: Sui cam kết đầu tư 10 triệu đô la vào các cải tiến về an toàn và thúc đẩy mô hình "trách nhiệm chung", cho thấy tiềm năng tăng trưởng. Nhưng đây là thụ động chứ không phải chủ động. Điều quan trọng là liệu các mạng lưới blockchain có thể trưởng thành đủ nhanh để xử lý tiền của tổ chức hay không. Khi tổng giá trị khóa giảm và lòng tin mất đi, Sui không còn chỉ chiến đấu chống lại các lỗ hổng kỹ thuật nữa; họ cũng đang đấu tranh để giành vị trí của mình trong bối cảnh L1 ngày càng cạnh tranh.

Liệu cuộc tấn công của tin tặc này có tiết lộ sự thật đáng lo ngại không? Sự phân quyền hoàn hảo có thể không tương thích với việc bảo vệ người dùng. Sui đã chọn sự bảo vệ. Cuối cùng, Ethereum đã chọn sự tinh khiết. Bitcoin không bao giờ phải đưa ra lựa chọn.

Sui đang phải đối mặt với một quyết định quan trọng: liệu có nên tiến hành bỏ phiếu trên chuỗi để trả lại số tiền bị đóng băng hay không. Nếu điều này nghe quen thuộc, đó là vì Ethereum đã phải đối mặt với quyết định tương tự sau vụ hack DAO năm 2016. Quyết định fork của họ vẫn gây chia rẽ cộng đồng cho đến ngày nay.

Trong khi đó, tin tặc vẫn kiểm soát hơn 60 triệu đô la tiền trên Ethereum. Hạn chót trao thưởng cho Cetus đang đến gần. Họ sẽ lấy 6 triệu đô la rồi bỏ chạy hay sẽ mạo hiểm tất cả?

Ngành công nghiệp đang theo dõi động thái tiếp theo của Sui. Hiện nay, những người cực đoan “luật là quy tắc” đang thua những người thực dụng “người dùng muốn lấy lại tiền”.