Cetus cam kết rằng tất cả token sẽ được sử dụng để bồi thường, đếm ngược thời gian khởi động lại giao thức và thông tin chi tiết về khoản vay nền tảng phải được giữ bí mật

Sau khi Cetus Protocol gặp phải sự cố bảo mật lớn, đội ngũ đã quyết định chịu toàn bộ trách nhiệm và tuyên bố rằng 100% số token$CETUS trong tay họ sẽ được sử dụng để bồi thường cho các nạn nhân. Thông qua AMA kéo dài nhiều giờ, đồng sáng lập Cetus Henry đã phản hồi tích cực về những lo ngại từ mọi tầng lớp, bao gồm lịch trình khởi động lại, cơ chế bồi thường, kế hoạch quản trị và định hướng phát triển trong tương lai.

Đánh giá về vụ tấn công của tin tặc: thiệt hại hơn 200 triệu đô la tài sản

Vào tối ngày 22 tháng 5, giao thức Cetus đã bị tin tặc tấn công, chúng khai thác lỗ hổng trong thư viện hàm mã nguồn mở mà hợp đồng dựa vào. Thông qua Flashswap, thêm và bớt thanh khoản và các hoạt động khác, chúng đã xây dựng giá giả và nhóm quỹ, và đã đánh cắp thành công hơn 220 triệu đô tài sản. Khoảng 60 triệu đô la trong đó đã chảy vào Ethereum thông qua nhiều cầu nối xuyên chuỗi , và 160 triệu đô la còn lại đã bị đóng băng thành công trên Chuỗi sau khi đội ngũ phản ứng nhanh chóng và hợp tác với Sui Validator.

Sau khi sự cố xảy ra, đội ngũ đã nhanh chóng đình chỉ hoạt động hợp đồng, thông báo cho tất cả các đối tác hệ sinh thái, liên hệ với nhiều nhà cung cấp bảo mật và gọi cảnh sát. Hiện tại, các thủ tục báo cáo đã được hoàn tất ở nhiều quốc gia, bao gồm Hoa Kỳ và Singapore.

Đầu tư 100% token, hơn 85% tài sản có thể được thu hồi

Về vấn đề bồi thường mà người dùng quan tâm nhất, đội ngũ Cetus đã nêu rõ rằng khoản bồi thường sẽ được lấy từ thu nhập giao thức, tài sản tiền mặt và tất cả token $CETUS đội ngũ nắm giữ. Phương pháp bồi thường áp dụng cơ chế đa cấp, kết hợp với khoản vay được bảo lãnh của Sui Foundation và triển khai các hợp đồng bồi thường tương ứng cho các mức độ tổn thất khác nhau.

Hiện tại, ước tính có thể bồi thường trực tiếp từ 85,7% đến 96% tài sản . Nếu tài sản đóng băng có thể được phục hồi thông qua các biện pháp hợp pháp, tỷ lệ phục hồi chung sẽ gần như đầy đủ. Cách sử dụng tài sản được phục hồi trong tương lai cũng sẽ được quyết định bởi cuộc bỏ phiếu của DAO, bao gồm cả việc mua lại, bổ sung quỹ dự trữ hay trả lại cho cộng đồng.

Kế hoạch bồi thường hỗ trợ vay vốn của Quỹ: Không phải là 60 triệu như đồn đoán, thông tin chi tiết vẫn được giữ bí mật

Để trả lời mối quan tâm của thế giới bên ngoài về các chi tiết của khoản vay của Quỹ Sui , đội ngũ Cetus đã làm rõ cụ thể trong AMA: "Con số đồn đoán là 60 triệu đô la là không chính xác." Số tiền và điều kiện thực tế vẫn nằm trong phạm vi của thỏa thuận bảo mật (NDA) và không thể tiết lộ cho công chúng. Tuy nhiên, đội ngũ nhấn mạnh rằng đã đạt được sự đồng thuận rõ ràng với quỹ rằng khoản vay sẽ được sử dụng như một phần của cơ chế bồi thường chung để lấp đầy khoảng trống trong tài sản chưa thu hồi và giúp thỏa thuận vượt qua giai đoạn sửa chữa và khởi động lại một cách suôn sẻ.

Về việc liệu đây có phải là khoản vay không tính lãi hay không, có thể sử dụng làm phương thức hoàn trả hay không, v.v., đội ngũ hiện không thể tiết lộ các điều kiện cụ thể. Henry cho biết nhân vật của quỹ này giống như một "khoản vay bắc cầu", giúp cung cấp hỗ trợ thanh khoản trong giai đoạn đầu của quá trình bồi thường. Bản thân giao thức vẫn sẽ dựa vào tài sản tiền mặt, thu nhập giao thức và doanh thu trong tương lai làm nguồn trả nợ chính và sẽ không phát hành tiền mới hoặc làm loãng quyền của người dùng.

Đội ngũ không rút lui: Phục hồi nhanh chóng và khởi động lại sau sự cố tâm lý

Khi được hỏi liệu anh có từng nghĩ đến việc từ bỏ không, Henry thành thật nói rằng đội ngũ đã phải đối mặt với sự suy sụp về mặt tâm lý, lo lắng và mất ngủ khi sự cố bắt đầu, nhưng họ đã tập hợp lại trong vòng 24 giờ và tất cả các thành viên đều bước vào trạng thái phục hồi không ngủ. Anh nhấn mạnh: "Đây không phải là một dự án có thể rút lại. Đây là sản phẩm chúng tôi xây dựng từ đầu. Chúng tôi phải gánh vác trách nhiệm cho đến cùng".

Đội ngũ đã đầu tư 100% số token$CETUS vào kế hoạch bồi thường và sẽ không có khoản phân phối nội bộ nào được giữ lại. Ngoài ra, nếu vẫn còn thặng dư trong thu nhập giao thức, token sẽ được mua lại trong tương lai và được đưa vào Treasury do cộng đồng quản lý, và DAO sẽ quyết định việc sử dụng chúng để đảm bảo phi tập trung thực sự.

Đếm ngược đến khi giao thức khởi động lại: hoàn toàn ra mắt trong vòng 24 giờ

Giao thức Cetus đã bước vào giai đoạn đếm ngược để khởi động lại và dự kiến ​​tất cả các chức năng front-end và NHÀ CUNG CẤP THANH KHOẢN sẽ được khôi phục trong vòng 24 giờ. Ba nhiệm vụ chính sẽ được hoàn thành trước khi khởi động lại: sửa chữa dữ liệu giao dịch lịch sử, bơm thanh thanh khoản và kiểm tra bảo mật. Khi tất cả hoàn tất, thời gian ra mắt sẽ được công bố sớm nhất có thể.

Ngoài ra, đội ngũ đã cam kết tăng cường bảo mật, bao gồm mã nguồn mở hoàn toàn, thiết lập cơ chế khen thưởng Mũ trắng và xây dựng hệ thống kiểm soát rủi ro nội bộ để ngăn chặn các lỗ hổng tương tự xảy ra lần nữa.

Phạm vi bồi thường được mở rộng: bao gồm người sử dụng trực tiếp và các thỏa thuận bị thiệt hại gián tiếp

Henry cho biết sự cố này không chỉ ảnh hưởng đến người dùng Cetus mà còn ảnh hưởng đến nhiều giao thức tích hợp với cơ sở hạ tầng của Cetus. Do đó, kế hoạch bồi thường cũng sẽ bao gồm những nạn nhân gián tiếp này và phạm vi và số tiền trợ cấp sẽ được xác nhận từng cái một thông qua quá trình đăng ký.

Về nguồn gốc của lỗ hổng, Henry thừa nhận rằng đó là một lỗi logic trong thiết kế sản phẩm chứ không phải là một lỗ hổng hợp đồng đơn lẻ. Trong tương lai, khả năng xác minh mô hình kinh tế và mô phỏng tấn công cực đoan sẽ được tăng cường cơ bản.

Quản trị DAO không bị ảnh hưởng bởi việc thanh toán token và doanh thu sẽ hỗ trợ tính bền vững của giao thức

Đối diện các câu hỏi về cách duy trì hoạt động và khả năng quản trị sau khi "thanh toán token", đội ngũ Cetus đã cung cấp dữ liệu để minh họa: doanh thu trung bình hàng tháng của giao thức trong sáu tháng qua đạt 1,5 triệu đô la Mỹ và doanh thu hàng năm vượt quá 18 triệu đô la Mỹ, cho thấy rằng ngay cả khi không dựa vào token, bản thân giao thức vẫn có dòng tiền ổn định.

Quản trị DAO sẽ tiếp tục hoạt động và Cetus sẽ dần dần giải phóng quyền quản trị cho cộng đồng. Mặc dù lợi nhuận của những người đặt cược $xCETUS có thể giảm trong ngắn hạn, nhưng vẫn được kỳ vọng sẽ quay trở lại cơ chế cổ tức ổn định trong trung và dài hạn khi doanh thu phục hồi.

Không chỉ sửa chữa mà còn xây dựng lại: chiến lược thị trường, sự tin tưởng của người dùng và mối quan hệ sinh thái được nâng cấp toàn diện

Đội ngũ cho biết cuộc khủng hoảng lần không chỉ là vấn đề an toàn mà còn là bài kiểm tra toàn diện về thương hiệu, lòng tin và mô hình kinh doanh. Các chiến lược trong tương lai sẽ bao gồm:

• Tập trung vào tài sản và câu chuyện mới, giới thiệu Blue Chip, Meme và GameFi;

• Lớp công nghệ tiếp tục được cải tiến để duy trì địa vị dẫn đầu của Sui về sản phẩm;

• Tăng cường tương tác với cộng đồng và quảng bá bên ngoài để mở rộng tiếng nói thương hiệu.

Đồng thời, Cetus cũng có kế hoạch giới thiệu Launchpad để hỗ trợ các dự án mới, thiết kế cơ chế khích lệ sáng tạo và tiếp tục thúc đẩy thị trường Trung Quốc và quốc tế.

Đối diện sai lầm, hãy chọn cách chịu trách nhiệm: Đây không phải là quan hệ công chúng khủng hoảng, mà là sự tự cứu rỗi thực sự

Henry cho rằng rằng việc lựa chọn bồi thường toàn bộ không phải do áp lực, mà là trách nhiệm đạo đức đối với giao thức và cộng đồng. "Động lực của chúng tôi xuất phát từ sự hiểu biết và tham gia của chúng tôi vào hệ sinh thái Sui , chứ không phải token trong tay chúng tôi."

Trong tương lai, Cetus sẽ không còn dựa vào hỗ trợ giá token nữa mà sẽ sử dụng thu nhập giao thức và khả năng cạnh tranh của sản phẩm làm nền tảng cho hoạt động dài hạn. Công ty cũng có kế hoạch thiết lập nhiều cơ chế bảo mật phòng ngừa hơn để thúc đẩy sự phát triển ổn định hơn của toàn bộ hệ sinh thái Sui .

Trong bản cập nhật gần đây trên blog chính thức của nhà phát triển Google Chrome, có đề cập rằng Google Chrome đã thông báo trên một diễn đàn công khai vào ngày 30 tháng 5 năm 2025 rằng họ sẽ xóa bỏ sự tin cậy mặc định đối với Chunghwa Telecom và Netlock. Các viên chức từ cơ quan có thẩm quyền, Bộ Kinh tế Kỹ thuật số, cũng đã lên tiếng cho biết họ đã có được thông tin vào đầu năm và đã bắt đầu cơ chế chứng chỉ kép cho các trang web của chính phủ kể từ tháng 3, sử dụng các chứng chỉ do cơ quan chứng nhận địa phương của Đài Loan cấp để đảm bảo rằng các trang web của chính phủ có thể tiếp tục hoạt động an toàn trên tất cả các trình duyệt chính. Điều này sẽ có tác động như thế nào? Bài viết này sẽ giúp bạn phân tích.

Google: Chunghwa Telecom đã mắc lần lỗi và không còn đáng tin cậy nữa

Google Chrome cho biết theo Chính sách chương trình Chrome Root, tất cả các cơ quan cấp chứng chỉ (CA) có trong Chrome Root Store phải đảm bảo rằng giá trị chung mà họ mang lại cho người dùng cuối lớn hơn rủi ro của việc tiếp tục tin tưởng; đồng thời, hành động của các nhà điều hành CA trong việc tiết lộ hoặc phản hồi các sự cố bảo mật cũng là một trong chỉ báo đánh giá quan trọng của Chrome. Nếu có bất kỳ thiếu sót nào, Google mong đợi các nhà điều hành CA thực hiện các cải tiến cụ thể và có thể xác minh được và tiếp tục cải thiện các quy trình nội bộ của họ.

Google cho biết trong năm qua, họ lần quan sát thấy "các mô hình hành vi đáng lo ngại" từ hai công ty CA, Chunghwa Telecom và Netlock, không chỉ ảnh hưởng đến tính toàn vẹn hoạt động của họ mà còn không đáp ứng được các yêu cầu về độ tin cậy và minh bạch của Dự án Chrome Root. Google chỉ ra rằng những tình huống này đã làm suy yếu lòng tin của thế giới bên ngoài vào hai công ty này với tư cách là "nhà phát hành chứng chỉ đáng tin cậy mặc định".

Bắt đầu từ tháng 8, cảnh báo sẽ xuất hiện khi truy cập vào các trang web sử dụng dịch vụ TLS của Chunghwa Telecom

Google Chrome sẽ mặc định không tin cậy các chứng chỉ TLS mới do Chunghwa Telecom cấp kể từ ngày 1 tháng 8 năm 2025. Điều này sẽ xảy ra trong Chrome 139 trở lên trên Windows, macOS, ChromeOS, Android và Linux. Chính sách của Apple cấm sử dụng Chrome Certificate Authenticator và kho lưu trữ gốc Chrome tương ứng trên Chrome dành cho iOS.

Nếu trang web sử dụng chứng chỉ do Chunghwa Telecom cấp sau ngày 31 tháng 7 năm 2025, nội dung sau sẽ được hiển thị:

Google Chrome khuyến nghị các nhà điều hành trang web bị ảnh hưởng nên di chuyển sang các chủ sở hữu CA đáng tin cậy công khai khác càng sớm càng tốt. Nếu chứng chỉ hiện tại hết hạn sau ngày 31 tháng 7 năm 2025, hành động này phải được hoàn tất trước khi chứng chỉ hiện tại hết hạn.

Bộ Thông tin và Truyền thông: Chúng tôi đã tiếp nhận thông tin và bắt đầu chuẩn bị từ đầu năm để làm rõ Chunghwa Telecom không phải là vấn đề an ninh mạng

Để ứng phó với vấn đề này, các viên chức của Bộ Kinh tế Kỹ thuật số, cơ quan có thẩm quyền, tuyên bố rằng họ đã có được thông tin này vào đầu năm. Để ngăn chặn các trang web của chính phủ bị ảnh hưởng, họ đã triển khai cơ chế chứng nhận kép cho các trang web của chính phủ vào tháng 3, sử dụng các chứng chỉ do các cơ quan chứng nhận địa phương tại Đài Loan cấp để đảm bảo rằng các trang web của chính phủ có thể tiếp tục hoạt động an toàn trên tất cả các trình duyệt chính thống, duy trì tính ổn định và độ tin cậy của các dịch vụ kỹ thuật số công cộng.

Theo báo cáo , viên chức này nói thêm rằng sự ngờ vực của Google đối với Chunghwa Telecom không phải là vấn đề về công nghệ hoặc tiêu chuẩn bảo mật thông tin, vì chứng chỉ Bảo mật lớp truyền tải (TLS) do Chunghwa Telecom cấp phù hợp với các tiêu chuẩn quốc tế và không có vấn đề bảo mật nào. Lý do chính là việc quản lý và vận hành của Chunghwa Telecom chưa được xử lý đúng cách. Chunghwa Telecom cũng tuyên bố sẽ nỗ lực để Google lấy lại lòng tin vào tháng 3 năm sau.

Hãy tưởng tượng rằng bạn có 100 ETH nhưng không thể truy cập vào nó. Một lỗ hổng đa chuỗi bị lãng quên khiến số tiền biến mất, nhưng nó được phục hồi sau vài giờ, trở thành một "sự đảo ngược hoàn hảo" hiếm hoi trong các sự cố bảo mật crypto. Sự cố này xảy ra trong ví đa chữ ký Safe , không chỉ nêu bật rủi ro của việc thiết kế hợp đồng sớm mà không xem xét đa chuỗi , mà còn chứng minh một lần nữa sức mạnh của đội ngũ Mũ trắng trong việc giúp đỡ người dùng trên bờ vực của bóng tối.

Mất tiền tiết kiệm cả đời chỉ bằng một nút bấm? Phiên bản cũ an Safe gây ra khủng hoảng nhầm lẫn chuỗi Chuỗi

Hôm qua, người dùng crypto @khalo_0x đã đăng rằng khi anh ấy cố gắng chuyển 100 ETH từ mạng chủ Ethereum sang Base bằng công cụ cầu nối xuyên chuỗi chính thức Safe , anh ấy bất ngờ phát hiện ra rằng mình không thể kiểm soát được số tiền trên địa chỉ mục tiêu. Mặc dù địa chỉ giống nhau, nhưng ví Safe tương ứng trên Base lại thuộc về một nhóm người ký hoàn toàn khác.

Lukas Schor của đội ngũ Safe giải thích rằng nguyên nhân gốc rễ của sự cố này xuất phát từ ví thông minh Safe phiên bản v1.1.1 mà anh đã sử dụng từ năm 2020:

Phiên bản này không được thiết kế để tương thích đa chuỗi, vì vậy trên Chuỗi khác, bất kỳ ai cũng có thể triển khai hợp đồng an Safe của riêng mình tại cùng một địa chỉ. Miễn là đáp ứng được một số điều kiện nhất định, họ có thể " chạy trước việc triển khai" , khiến tiền bị chuyển nhầm sang các hợp đồng do người khác kiểm soát.

Triển khai Mũ trắng dẫn đầu: Protofire bảo vệ tiền của người dùng theo cách kín đáo

Khi Khalo đăng tin nhắn tìm kiếm sự trợ giúp, Schor và kỹ sư tschubotz.eth cũng nhanh chóng tiến hành điều tra. Họ phát hiện ra rằng địa chỉ này được triển khai bởi đội ngũ hacker Mũ trắng Protofire , những người đã phát hiện ra rủi ro Chuỗi chéo tiềm ẩn của phiên bản Safe cũ và chủ động triển khai hàng trăm địa chỉ Safe cũ trên Chuỗi Base để ngăn chặn hacker mũ đen triển khai chúng trước và sử dụng chúng để gian lận hoặc trộm cắp.

Sau khi xác minh danh tính, Protofire đã ngay lập tức trả lại toàn bộ 100 ETH cho Khalo, đưa sự cố có thể gây ra tổn thất nghiêm trọng này đến một kết thúc hoàn hảo, và cho phép cộng đồng chứng kiến ​​tầm quan trọng của hệ sinh thái Mũ trắng vào thời điểm quan trọng.

Bài học rút ra từ sự cố Bybit : Cơ chế bảo mật an Safe lại được thử thách

Schor nhấn mạnh rằng sự cố này là một trường hợp cực đoan, nguyên nhân là do thiếu logic bảo vệ cho việc triển khai đa chuỗi trong phiên bản trước. Phiên bản hiện tại đã đảm bảo tính nhất quán để tránh triển khai không đúng cách. Ngoài ra, công cụ chính thức dựa trên Giao thức LIFI được sử dụng cho Chuỗi chéo lần đã được cập nhật và một cơ chế nhắc nhở bổ sung sẽ được thêm vào:

Nếu Chuỗi mục tiêu đã có mã nhưng cài đặt của người ký khác với Chuỗi này, một cảnh báo rõ ràng sẽ được đưa ra để tránh người dùng nhầm tài khoản của họ với những tài khoản rơi vào bẫy.

Tuy nhiên, chúng ta vẫn nhớ một sự cố bảo mật lớn liên quan đến Safe vào đầu năm nay: vụ hack Bybit . Tin tặc đã đánh cắp 1,5 tỷ đô la tài sản bằng cách hack vào các thiết bị của nhà phát triển Safe và can thiệp vào giao diện người dùng của nó. Mặc dù hai sự cố này có bản chất khác nhau, nhưng cả hai đều cho thấy những thách thức cốt lõi về bảo mật của Safe như một ví thông minh.

(Sự thật đằng sau vụ tấn công Bybit đã được tiết lộ: giao diện đầu cuối của ví đa chữ ký Safe đã bị tấn công và can thiệp, và các cuộc tấn công Chuỗi cung ứng lại một lần nữa trở thành mối lo ngại )

Chúng ta có thể học được gì từ sự cố này? Các vấn đề mới về quyền tự quản trong tương lai đa chuỗi

Đối tác của Dragonfly là @hosseeb đã mô tả sự cố này là "một trong những câu chuyện crypto thú vị nhất trong những năm gần đây" và nhấn mạnh rằng hy vọng của thế giới crypto không nằm ở việc loại bỏ hoàn toàn rủi ro mà nằm ở việc ai đó lựa chọn làm điều đúng đắn khi rủi ro xảy ra:

Xin kính cẩn nghiêng mình trước Protofire và đội ngũ Safe , cùng tất cả các hacker Mũ trắng đang làm việc chăm chỉ để thế giới crypto an toàn hơn. Đôi khi, crypto không phải là xấu.

Sự cố mất mát và phục hồi này nhắc nhở chúng ta rằng: " Mặc dù ví tiền crypto mang lại quyền kiểm soát có chủ quyền cho người dùng, nhưng chúng cũng đi kèm với rủi ro tự lưu giữ cao hơn". Như Khalo đã nói: "Sau khi tránh mọi vụ lừa đảo trong tám năm, chúng tôi đã thua vì lỗi UX". Đây không phải là trường hợp cá biệt, mà là nỗi đau của toàn bộ hệ sinh thái đa chuỗi trong quá trình phát triển.

Chỉ với thiết kế giao thức hoàn thiện hơn, hệ thống cảnh báo sớm thông minh hơn và nhiều nhân vật như Protofire, chúng ta mới có thể thực sự tiến tới một thế giới crypto an toàn hơn và thân thiện hơn với người dùng.