Từ sự kiện Cetus nhìn nhận cuộc chiến niềm tin cơ bản trong ngành Blockchain

Tổng kết sự kiện

Vào ngày 22 tháng 5 năm 2025, DEX lớn nhất trong hệ sinh thái chuỗi công cộng Sui, Cetus, đã bị tấn công bởi hacker, dẫn đến sự sụp đổ giá của nhiều cặp giao dịch, gây thiệt hại hơn 220 triệu đô la. Sau sự kiện, các bên liên quan đã thực hiện một loạt các biện pháp ứng phó:

• Ngày 22 tháng 5: Cetus tạm dừng hợp đồng, hacker đã chuyển khoảng 60 triệu USD qua chuỗi, còn lại 162 triệu USD vẫn trên chuỗi Sui. Các nút xác thực nhanh chóng thêm địa chỉ hacker vào "danh sách đen từ chối dịch vụ", đóng băng tài sản.
• Ngày 23-24 tháng 5: Cetus bắt đầu sửa lỗi và cập nhật hợp đồng. Sui mở mã PR, giải thích sẽ tiến hành thu hồi vốn thông qua cơ chế bí danh với danh sách trắng.
• 26 tháng 5 - 29 tháng 5: Sui khởi động bỏ phiếu quản trị trên chuỗi, hơn 2/3 trọng số nút xác thực ủng hộ việc thực hiện nâng cấp giao thức, chuyển tài sản của hacker đến địa chỉ lưu ký.
• 30 tháng 5 - đầu tháng 6: Cập nhật giao thức có hiệu lực, giao dịch hash được chỉ định được thực hiện, tài sản của hacker bị "chuyển đi hợp pháp".

Phân tích nguyên lý tấn công

Kẻ tấn công đã lợi dụng việc vay mượn nhanh để cho vay một lượng lớn haSUI, khiến giá trong pool giao dịch giảm mạnh. Sau đó, họ tạo ra các vị thế thanh khoản trong một khoảng giá cực hẹp, làm tăng ảnh hưởng của sai số tính toán.

Tấm ảnh của cuộc tấn công là do lỗi tràn số nguyên trong hàm get_delta_a của Cetus. Kẻ tấn công tuyên bố thêm tính thanh khoản lớn, nhưng thực tế chỉ đầu tư 1 mã thông báo. Do điều kiện kiểm tra tràn của checked_shlw sai, hệ thống đã đánh giá rất thấp số lượng haSUI cần thiết, khiến kẻ tấn công có thể thu được tính thanh khoản lớn với chi phí rất thấp.

Biện pháp ứng phó của Sui

Sui đã thực hiện các biện pháp ở hai giai đoạn "đóng băng" và "thu hồi":

1. Giai đoạn đóng băng: Sử dụng cơ chế Danh sách từ chối và sự đồng thuận của nút để hoàn thành việc đóng băng tài chính.

2. Giai đoạn thu hồi: Bằng cách nâng cấp giao thức trên chuỗi, bỏ phiếu cộng đồng và thực hiện giao dịch được chỉ định để vượt qua danh sách đen.

Sui đã giới thiệu cơ chế bí danh địa chỉ, cho phép các giao dịch cụ thể vượt qua kiểm tra an ninh, thực hiện việc chuyển tiền mà không cần chữ ký của hacker. Cách làm này đã lật đổ sự đồng thuận không thể thay đổi truyền thống của blockchain.

Ảnh hưởng và suy nghĩ của ngành

1. Thách thức của niềm tin cơ bản

Sự kiện Cetus đã phá vỡ sự đồng thuận truyền thống về tính "không thể thay đổi" của Blockchain. Cách làm của Sui khác với phương thức xử lý hard fork trước đây, trực tiếp thực hiện "cứu trợ" có mục tiêu thông qua việc nâng cấp giao thức, điều này có nghĩa là triết lý "Không phải chìa khóa của bạn, không phải đồng tiền của bạn" đã bị phá vỡ trên chuỗi Sui.

2. Quyền quyết định của chuỗi và tính công bằng

Cách làm của Sui đã gây ra tranh cãi về quyền quyết định trên chuỗi. Trong tương lai, liệu có xuất hiện "rửa trắng bỏ phiếu hợp pháp" dựa trên trọng số token không? Mô hình này có thể dẫn đến sự xuất hiện của xã hội "người sản xuất cuối cùng" không?

3. Cân bằng giữa quản lý và phi tập trung

Ngành công nghiệp Blockchain đang phải đối mặt với thách thức làm thế nào để đạt được sự cân bằng giữa việc đáp ứng nhu cầu quản lý và giữ nguyên bản chất phi tập trung. Việc quá thiên về quản lý có thể dẫn đến việc blockchain trở thành "một hệ thống tài chính khác khó sử dụng hơn".

4. Hướng phát triển ngành

Giá trị của Blockchain không nằm ở việc có thể đóng băng tài sản hay không, mà nằm ở việc ngay cả khi có khả năng làm như vậy, cũng chọn không làm. Tương lai của một dự án Blockchain sẽ được quyết định bởi bộ niềm tin mà nó lựa chọn để bảo vệ.

Trong khi theo đuổi hiệu quả và an toàn, ngành công nghiệp blockchain cần thận trọng xem xét những ảnh hưởng lâu dài mà mỗi hành động vượt qua giới hạn có thể mang lại. Chỉ khi kiên trì với các giá trị cốt lõi, blockchain mới có thể thực sự thực hiện tiềm năng cách mạng của mình, chứ không phải trở thành phiên bản sao của hệ thống tài chính truyền thống.