Cetus – sàn giao dịch tạo lập thị trường tự động (AMM) phi tập trung lớn nhất trong hệ sinh thái Sui – đã bị đánh cắp hơn 200 triệu USD vào ngày hôm qua do lỗi về độ chính xác số học trong mã nguồn, cho phép kẻ tấn công tạo thanh khoản giả.
Hai giờ sau vụ tấn công, Cetus đăng thông báo:
“Hiện tại, đã xác nhận rằng một kẻ tấn công đã đánh cắp khoảng 223 triệu USD từ giao thức Cetus. Nhóm phát triển đã khóa hợp đồng để ngăn chặn thiệt hại thêm và đã đóng băng 162 triệu USD trong số đó. Chúng tôi đang làm việc cùng Quỹ Sui và các thành viên trong hệ sinh thái để tìm giải pháp tiếp theo với mục tiêu thu hồi phần tài sản còn lại. Phần lớn số tiền bị ảnh hưởng đã bị đóng băng, và chúng tôi đang nỗ lực để khôi phục lại các khoản còn lại. Báo cáo chi tiết về sự cố sẽ được công bố sau.”
Tuy nhiên, cần lưu ý rằng từ được sử dụng ở đây là “đóng băng”, chứ không phải “thu hồi”. Nói cách khác, việc số tiền này có thể được thu hồi để bồi thường cho người dùng hay không vẫn còn chưa rõ.
Ngoại trừ phần tài sản mà hacker đã chuyển lên Ethereum và quy đổi thành hơn 20.000 ETH (tương đương khoảng 60 triệu USD), phần lớn số tiền bị đánh cắp vẫn nằm trong ví của hacker trên chuỗi Sui. Việc “đóng băng” này thực chất là hành động đồng thuận giữa các validator trên mạng lưới Sui – họ đồng loạt “phớt lờ” các địa chỉ đó.
Xét một cách khách quan, hành động này đã vi phạm nguyên tắc "không kiểm duyệt" (censorship resistance) của thế giới phi tập trung và là một biện pháp mang tính tập trung hóa, gây tranh cãi mạnh mẽ trong cộng đồng.
Làm thế nào để “thu hồi” tiền sau khi đã bị đóng băng? Người sáng lập Sui cho biết nếu có thể thu hồi được, số tiền sẽ được đưa trở lại các pool thanh khoản của Cetus. Tuy nhiên, để làm được điều này, cần chuyển tài sản từ địa chỉ của hacker mà không có chữ ký của hacker. Điều này có khả thi không?
Thực tế, một kỹ sư của Solayer tên là Chaofan cho biết: Nhóm Sui đã yêu cầu các validator triển khai đoạn mã “sửa lỗi” cho phép thu hồi tiền mà không cần chữ ký của hacker. Điều này rõ ràng là một hành vi tập trung hóa và đã làm bùng nổ tranh cãi trong cộng đồng – bởi nó đồng nghĩa với việc tài sản có thể bị chuyển ra khỏi ví mà không cần chữ ký của chủ sở hữu.
(Lưu ý: Các validator của Sui phản hồi rằng họ chưa nhận được “yêu cầu” nào như vậy, và Chaofan sau đó đính chính rằng mã thu hồi vẫn chưa được triển khai.)
Tuy nhiên, đây rõ ràng là một trường hợp đặc biệt buộc phải làm, và nó cho thấy rằng mạng lưới Sui vẫn đang tồn tại một “công tắc khẩn cấp”. Nguyên nhân Sui có thể hành động như vậy là do hiện tại mạng chỉ có hơn 100 validator, phần lớn là các tổ chức có quan hệ tốt với Quỹ Sui – việc phối hợp trở nên dễ dàng. (Muốn trở thành validator Sui, cần nắm giữ hoặc huy động trên 10 triệu SUI để staking – điều mà phần lớn chỉ các tổ chức tài chính mới làm được.)
Cetus là AMM phi tập trung lớn nhất trong hệ sinh thái Sui, và các pool thanh khoản ở đây chứa đựng tài sản tiết kiệm và sinh tồn của rất nhiều người dùng. Ngoài ra, phần lớn các token dự án trên Sui cũng sử dụng pool của Cetus làm thanh khoản chính – nếu rút thanh khoản, các dự án sẽ chịu thiệt hại nặng nề. Việc thu hồi số tiền bị đánh cắp là cần thiết để bảo vệ hệ sinh thái DeFi còn non trẻ của Sui.
Nếu bạn lựa chọn “mặc kệ” toàn bộ số tiền bị đánh cắp chỉ để giữ lấy sự “phi tập trung tuyệt đối”, thì bạn giống như những người chọn ở lại Ethereum Classic (ETC) sau khi Ethereum hard fork vì sự cố The DAO. Tôi đồng tình với quan điểm: phi tập trung là mục tiêu, không phải điểm khởi đầu. Nếu tôi cần sự phi tập trung triệt để, tôi sẽ dùng Ethereum. Còn hiện tại, tôi hài lòng vì Sui có thể giúp người dùng bị ảnh hưởng trên Cetus lấy lại tài sản.
