Cetus - 作為Sui生態系統中最大的去中心化自動做市商(AMM)交易所 - 昨天因原始碼中的數學精度錯誤,被駭客盜取了超過2億美元,使攻擊者能夠建立虛假流動性。
攻擊發生兩小時後,Cetus釋出公告:
"目前已確認,一名駭客從Cetus協議中盜取了約2.23億美元。開發團隊已鎖定合約以防止進一步損失,並凍結了其中1.62億美元。我們正在與Sui基金會和生態系統成員合作,尋找下一步解決方案,目標是追回剩餘資產。大部分受影響資金已被凍結,我們正努力恢復剩餘部分。關於此事件的詳細報告將稍後公佈。"
然而,需要注意的是,這裡使用的是"凍結"一詞,而非"追回"。換句話說,這些資金是否可以被追回以補償使用者仍不清楚。
除了駭客已轉移到以太坊並兌換成超過2萬個ETH(約合6000萬美元)的資產外,大部分被盜資金仍留在駭客在Sui鏈上的錢包中。這種"凍結"實際上是Sui網路驗證者之間的共識 - 他們集體"忽視"這些地址。
客觀來看,這一行為違反了去中心化世界的"不可審查"原則,是一種具有高度中心化特徵的做法,在社群中引發了強烈爭議。
如何在凍結後"追回"資金?Sui的創始人表示,如果可以追回,資金將被退還到Cetus的流動性池。然而,要做到這一點,需要在沒有駭客簽名的情況下轉移資產。這是否可行?
事實上,Solayer的一位工程師Chaofan表示:Sui團隊已要求驗證者部署一段"修復程式碼",允許在沒有駭客簽名的情況下追回資金。這顯然是一種中心化行為,並在社群中引發了爭議 - 因為這意味著資產可以在未經所有者簽名的情況下被轉移。
(注:Sui的驗證者回應稱他們尚未收到此類"要求",Chaofan隨後澄清追回程式碼尚未部署。)
然而,這顯然是一個必須處理的特殊情況,它表明Sui網路仍然存在一個"緊急開關"。Sui能夠這樣行動的原因是目前網路僅有100多個驗證者,其中大部分是與Sui基金會關係良好的組織 - 協調變得容易。(成為Sui驗證者需要持有或籌集超過1000萬SUI進行質押 - 這通常只有金融機構才能做到。)
Cetus是Sui生態系統中最大的去中心化AMM,其流動性池中包含了許多使用者的儲蓄和生存資產。此外,Sui上的大多數專案代幣也使用Cetus的流動性池 - 如果撤出流動性,這些專案將遭受重大損失。追回被盜資金對於保護Sui脆弱的DeFi生態系統至關重要。
如果為了保持"絕對去中心化"而選擇完全不管被盜資金,那麼你就像是在The DAO事件後選擇留在Ethereum Classic (ETC)的人。我同意這個觀點:去中心化是目標,而非起點。如果我需要徹底的去中心化,我會使用以太坊。但目前,我很高興Sui能幫助Cetus上受影響的使用者追回資產。
