Cetus - 作为Sui生态系统中最大的去中心化自动做市商(AMM)交易所 - 昨天因源代码中的数学精度错误,被黑客盗取了超过2亿美元,使攻击者能够创建虚假流动性。
攻击发生两小时后,Cetus发布公告:
"目前已确认,一名黑客从Cetus协议中盗取了约2.23亿美元。开发团队已锁定合约以防止进一步损失,并冻结了其中1.62亿美元。我们正在与Sui基金会和生态系统成员合作,寻找下一步解决方案,目标是追回剩余资产。大部分受影响资金已被冻结,我们正努力恢复剩余部分。关于此事件的详细报告将稍后公布。"
然而,需要注意的是,这里使用的是"冻结"一词,而非"追回"。换句话说,这些资金是否可以被追回以补偿用户仍不清楚。
除了黑客已转移到以太坊并兑换成超过2万个ETH(约合6000万美元)的资产外,大部分被盗资金仍留在黑客在Sui链上的钱包中。这种"冻结"实际上是Sui网络验证者之间的共识 - 他们集体"忽视"这些地址。
客观来看,这一行为违反了去中心化世界的"不可审查"原则,是一种具有高度中心化特征的做法,在社群中引发了强烈争议。
如何在冻结后"追回"资金?Sui的创始人表示,如果可以追回,资金将被退还到Cetus的流动性池。然而,要做到这一点,需要在没有黑客签名的情况下转移资产。这是否可行?
事实上,Solayer的一位工程师Chaofan表示:Sui团队已要求验证者部署一段"修复代码",允许在没有黑客签名的情况下追回资金。这显然是一种中心化行为,并在社群中引发了争议 - 因为这意味着资产可以在未经所有者签名的情况下被转移。
(注:Sui的验证者回应称他们尚未收到此类"要求",Chaofan随后澄清追回代码尚未部署。)
然而,这显然是一个必须处理的特殊情况,它表明Sui网络仍然存在一个"紧急开关"。Sui能够这样行动的原因是目前网络仅有100多个验证者,其中大部分是与Sui基金会关系良好的组织 - 协调变得容易。(成为Sui验证者需要持有或筹集超过1000万SUI进行质押 - 这通常只有金融机构才能做到。)
Cetus是Sui生态系统中最大的去中心化AMM,其流动性池中包含了许多用户的储蓄和生存资产。此外,Sui上的大多数项目代币也使用Cetus的流动性池 - 如果撤出流动性,这些项目将遭受重大损失。追回被盗资金对于保护Sui脆弱的DeFi生态系统至关重要。
如果为了保持"绝对去中心化"而选择完全不管被盗资金,那么你就像是在The DAO事件后选择留在Ethereum Classic (ETC)的人。我同意这个观点:去中心化是目标,而非起点。如果我需要彻底的去中心化,我会使用以太坊。但目前,我很高兴Sui能帮助Cetus上受影响的用户追回资产。
