Viết bởi: Shisijun
Sự cố này là thắng lợi của nhà đầu tư chứ không phải của người sử dụng, và là bước thụt lùi cho sự phát triển của ngành.
Bitcoin đi về bên trái, Sui đi về bên phải, và mọi động thái làm rung chuyển sự phân cấp của ngành công nghiệp này đều mang lại niềm tin mạnh mẽ hơn vào Bitcoin.
Điều thế giới cần không chỉ là một cơ sở hạ tầng tài chính toàn cầu tốt hơn, mà còn luôn có một nhóm người cần không gian cho sự tự do.
Ngày xửa ngày xưa, các chuỗi liên minh phổ biến hơn các chuỗi công khai vì chúng đáp ứng được nhu cầu quản lý của thời đại đó. Sự suy giảm của các liên minh ngày nay thực chất chỉ đơn giản là tuân thủ nhu cầu này, chứ không phải nhu cầu của người dùng thực sự. Nếu những người dùng được quản lý bị mất đi, thì nhu cầu về các công cụ quản lý thì sao?
1. Bối cảnh
Vào ngày 22 tháng 5 năm 2025, Cetus, sàn giao dịch phi tập trung (DEX) lớn nhất trong hệ sinh thái chuỗi công khai Sui, đã bị tin tặc tấn công. Thanh khoản giảm mạnh trong chốc lát, giá của nhiều cặp giao dịch sụp đổ và tổn thất vượt quá 220 triệu đô la Mỹ.
Tính đến thời điểm báo chí đưa tin, dòng thời gian như sau:
- Sáng ngày 22 tháng 5, tin tặc đã tấn công Cetus và rút 230 triệu đô la. Cetus đã khẩn cấp đình chỉ hợp đồng và đưa ra thông báo
- Chiều ngày 22 tháng 5, hacker đã chuyển khoảng 60 triệu đô la Mỹ qua chuỗi, số tiền còn lại là 162 triệu đô la Mỹ vẫn nằm trong địa chỉ chuỗi Sui. Nút xác minh Sui đã nhanh chóng hành động để thêm địa chỉ hacker vào "Danh sách từ chối" và đóng băng số tiền.
- Vào tối ngày 22 tháng 5, Sui CPO @emanabio đã tweet để xác nhận: Quỹ đã bị đóng băng và việc hoàn trả sẽ sớm bắt đầu
- Vào ngày 23 tháng 5, Cetus bắt đầu sửa các lỗ hổng và cập nhật hợp đồng
- Vào ngày 24 tháng 5, Sui đã công khai PR, giải thích rằng tiền sẽ được thu hồi thông qua việc đặt bí danh và đưa vào danh sách trắng.
- Vào ngày 26 tháng 5, Sui đã khởi xướng một cuộc bỏ phiếu quản trị trên chuỗi, đề xuất liệu có nên triển khai nâng cấp giao thức và chuyển tài sản của tin tặc đến một địa chỉ lưu ký hay không.
- Vào ngày 29 tháng 5, kết quả bỏ phiếu đã được công bố, với hơn 2/3 số nút xác minh ủng hộ việc nâng cấp giao thức.
- Từ ngày 30 tháng 5 đến đầu tháng 6, việc nâng cấp giao thức có hiệu lực, băm giao dịch được chỉ định đã được thực hiện và tài sản của tin tặc đã được "chuyển giao hợp pháp"
2. Nguyên lý tấn công
Có rất nhiều bài viết về nguyên tắc sự kiện trong ngành và ở đây chúng tôi chỉ đưa ra tổng quan về các nguyên tắc cốt lõi:
Theo quan điểm của quá trình tấn công:
Kẻ tấn công đầu tiên đã sử dụng khoản vay nhanh để vay khoảng 10.024.321,28 haSUI, khiến giá của nhóm giao dịch ngay lập tức giảm xuống.
99,90%. Lệnh bán lớn này khiến giá mục tiêu giảm từ khoảng 1,8956×10^19 xuống 1,8425×10^19, gần như chạm đáy.
Kẻ tấn công sau đó đã tạo một vị thế thanh khoản trên Cetus với phạm vi cực kỳ hẹp (Tick giới hạn dưới 300000, giới hạn trên 300200 và độ rộng phạm vi chỉ là 1,00496621%). Phạm vi hẹp như vậy khuếch đại tác động của các lỗi tính toán tiếp theo lên số lượng mã thông báo cần thiết.
Nguyên tắc cốt lõi của cuộc tấn công:
Vấn đề là có một lỗ hổng tràn số nguyên trong hàm get_delta_a được Cetus sử dụng để tính toán số lượng token cần thiết. Kẻ tấn công cố tình tuyên bố rằng một lượng thanh khoản khổng lồ (khoảng 10^37 đơn vị) sẽ được thêm vào, nhưng thực tế chỉ có 1 token được đưa vào hợp đồng.
Do lỗi trong điều kiện phát hiện tràn của checked_shlw, hợp đồng bị cắt ở vị trí cao trong quá trình tính toán dịch chuyển sang trái, khiến hệ thống đánh giá thấp nghiêm trọng lượng haSUI cần thiết, do đó trao đổi một lượng thanh khoản khổng lồ với chi phí rất nhỏ.
Do lỗi trong điều kiện phát hiện tràn của checked_shlw, hợp đồng bị cắt ở vị trí cao trong quá trình tính toán dịch chuyển sang trái, khiến hệ thống đánh giá thấp nghiêm trọng lượng haSUI cần thiết, do đó trao đổi một lượng thanh khoản khổng lồ với chi phí rất nhỏ.
Về mặt kỹ thuật, lỗ hổng bảo mật trên bắt nguồn từ thực tế là Cetus đã sử dụng mặt nạ và điều kiện phán đoán không chính xác trong hợp đồng thông minh Move, khiến bất kỳ giá trị nào nhỏ hơn 0xffffffffffffffff << 192 đều có thể vượt qua được quá trình phát hiện; và sau khi dịch chuyển sang trái 64 bit, dữ liệu bậc cao sẽ bị cắt bớt và hệ thống tin rằng đã thu được lượng thanh khoản lớn chỉ bằng cách thu thập một vài mã thông báo.
Sau sự cố, hai hành động chính thức đã được đưa ra: "đóng băng" so với "phục hồi", bao gồm hai giai đoạn:
- Giai đoạn đóng băng được hoàn thành bằng Danh sách từ chối + sự đồng thuận của nút;
- Giai đoạn phục hồi yêu cầu nâng cấp giao thức trên chuỗi + bỏ phiếu cộng đồng + thực hiện giao dịch được chỉ định để bỏ qua danh sách đen.
3. Cơ chế đóng băng của Sui
Bản thân Sui Chain có cơ chế Deny List đặc biệt, cho phép đóng băng tiền của hacker. Không chỉ vậy, tiêu chuẩn token của Sui còn có chế độ “token được quản lý” với chức năng đóng băng tích hợp.
Đợt đóng băng khẩn cấp này đã tận dụng tính năng này: nút xác thực nhanh chóng thêm các địa chỉ liên quan đến số tiền bị đánh cắp vào tệp cấu hình cục bộ. Về lý thuyết, mỗi nhà điều hành nút có thể sửa đổi TransactionDenyConfig để cập nhật danh sách đen, nhưng để đảm bảo tính nhất quán của mạng, Sui Foundation, với tư cách là nhà xuất bản cấu hình ban đầu, đã tiến hành điều phối tập trung.
Đầu tiên, nền tảng chính thức phát hành bản cập nhật cấu hình có chứa địa chỉ của tin tặc và trình xác thực có hiệu lực đồng bộ theo cấu hình mặc định, do đó, tiền của tin tặc tạm thời được "niêm phong" trên chuỗi. Thực ra có một yếu tố tập trung cao độ đằng sau điều này.
Để giải cứu các nạn nhân khỏi các quỹ bị đóng băng, nhóm Sui đã ngay lập tức triển khai bản vá cơ chế danh sách trắng.
Đây là để chuyển tiền trở lại sau đó. Các giao dịch hợp pháp có thể được xây dựng trước và đăng ký trong danh sách trắng, và có thể được thực thi ngay cả khi địa chỉ quỹ vẫn nằm trong danh sách đen.
Tính năng mới này transaction_allow_list_skip_all_checks cho phép thêm trước các giao dịch cụ thể vào "danh sách miễn trừ", cho phép các giao dịch này bỏ qua mọi kiểm tra bảo mật, bao gồm chữ ký, quyền, danh sách đen, v.v.
Cần lưu ý rằng bản vá danh sách trắng không thể trực tiếp đánh cắp tài sản của tin tặc; nó chỉ cung cấp cho một số giao dịch nhất định khả năng bỏ qua việc đóng băng và việc chuyển giao tài sản thực tế vẫn yêu cầu chữ ký hợp pháp hoặc mô-đun cấp phép hệ thống bổ sung để hoàn tất.
Trên thực tế, các chương trình đóng băng phổ biến trong ngành thường xảy ra ở cấp độ hợp đồng mã thông báo và được kiểm soát bởi nhiều chữ ký của đơn vị phát hành.
Lấy USDT do Tether phát hành làm ví dụ. Hợp đồng của nó có chức năng danh sách đen tích hợp sẵn và công ty phát hành có thể đóng băng địa chỉ bất hợp pháp, khiến việc chuyển USDT trở nên bất khả thi. Giải pháp này yêu cầu nhiều chữ ký để khởi tạo yêu cầu đóng băng trên chuỗi và nó chỉ thực sự được thực hiện sau khi nhiều chữ ký đạt được sự đồng thuận, do đó có sự chậm trễ trong việc thực hiện.
Mặc dù cơ chế đóng băng của Tether có hiệu quả, nhưng số liệu thống kê cho thấy quy trình đa chữ ký thường có "thời gian cửa sổ", tạo cơ hội cho tội phạm lợi dụng.
Ngược lại, quá trình đóng băng của Sui xảy ra ở cấp độ giao thức cơ bản và được vận hành tập thể bởi các nút xác thực, thực hiện nhanh hơn nhiều so với các lệnh gọi hợp đồng thông thường.
Trong mô hình này, để thực thi đủ nhanh, điều đó có nghĩa là việc quản lý các nút xác thực này phải được thống nhất ở mức độ cao.
3. Nguyên tắc thực hiện “tái chế theo kiểu chuyển giao” của Sui
Điều thậm chí còn đáng ngạc nhiên hơn là Sui không chỉ đóng băng tài sản của tin tặc mà còn có kế hoạch "chuyển và thu hồi" số tiền bị đánh cắp thông qua các nâng cấp trên chuỗi.
Vào ngày 27 tháng 5, Cetus đã đề xuất một kế hoạch bỏ phiếu cộng đồng để nâng cấp giao thức và gửi các khoản tiền bị đóng băng đến một ví ký quỹ đa chữ ký. Sau đó, Sui Foundation đã khởi xướng một cuộc bỏ phiếu quản trị trên chuỗi.
Vào ngày 29 tháng 5, kết quả bỏ phiếu đã được công bố và khoảng 90,9% người xác thực đã ủng hộ kế hoạch. Sui chính thức tuyên bố rằng sau khi đề xuất được thông qua, "tất cả các khoản tiền bị đóng băng trong hai tài khoản tin tặc sẽ được khôi phục vào ví đa chữ ký mà không có chữ ký của tin tặc".
Không cần chữ ký của tin tặc, đây quả là một tính năng độc đáo, chưa từng có phương pháp sửa chữa nào như vậy trong ngành công nghiệp blockchain.
Theo GitHub PR chính thức của Sui, chúng ta biết rằng giao thức đã giới thiệu cơ chế đặt bí danh địa chỉ. Bản nâng cấp bao gồm: chỉ định trước các quy tắc đặt bí danh trong ProtocolConfig, để một số giao dịch được phép có thể coi chữ ký hợp lệ là được gửi từ tài khoản tin tặc.
Theo GitHub PR chính thức của Sui, chúng ta biết rằng giao thức đã giới thiệu cơ chế đặt bí danh địa chỉ. Bản nâng cấp bao gồm: chỉ định trước các quy tắc đặt bí danh trong ProtocolConfig, để một số giao dịch được phép có thể coi chữ ký hợp lệ là được gửi từ tài khoản tin tặc.
Cụ thể, danh sách băm giao dịch cứu hộ cần thực hiện được liên kết với địa chỉ đích (tức là địa chỉ của tin tặc) và bất kỳ người thực hiện nào ký và công bố các bản tóm tắt giao dịch cố định này đều được coi là đã khởi tạo giao dịch với tư cách là chủ sở hữu địa chỉ tin tặc hợp lệ. Đối với các giao dịch cụ thể này, hệ thống nút xác thực sẽ bỏ qua kiểm tra Danh sách từ chối.
Ở cấp độ mã, Sui đã thêm phán đoán sau vào logic xác minh giao dịch: khi một giao dịch bị danh sách đen chặn, hệ thống sẽ duyệt qua những người ký và kiểm tra xem protocol_config.is_tx_allowed_via_aliasing(sender, signer, tx_digest) có đúng không.
Miễn là có người ký đáp ứng quy tắc bí danh, nghĩa là giao dịch được đánh dấu là được phép thông qua, thì lỗi chặn trước đó sẽ bị bỏ qua và quá trình đóng gói và thực hiện bình thường sẽ tiếp tục.
4. Quan điểm
160 triệu, phá vỡ những niềm tin sâu sắc nhất của ngành công nghiệp
Liên quan đến sự cố Cetus, theo quan điểm cá nhân của tôi, cơn bão này có thể sẽ qua nhanh, nhưng mô hình này sẽ không bị lãng quên vì nó đã phá vỡ nền tảng của ngành và phá vỡ sự đồng thuận truyền thống rằng blockchain không thể bị can thiệp trong cùng một tập hợp sổ cái.
Trong thiết kế blockchain, hợp đồng là luật và mã là trọng tài.
Nhưng trong sự cố này, quy tắc đã thất bại, sự quản lý đã can thiệp và quyền lực đã bị lật đổ, hình thành nên một mô hình mà trong đó hành vi bỏ phiếu quyết định kết quả của quy tắc.
Nguyên nhân là do cách tiếp cận chiếm đoạt trực tiếp các giao dịch của Sui rất khác so với cách tiếp cận của blockchain chính thống trong việc giải quyết vấn đề tin tặc.
Đây không phải là lần đầu tiên sự đồng thuận bị can thiệp, nhưng đây là lần im lặng nhất
Về mặt lịch sử:
- Ethereum đã sử dụng hard fork để khôi phục các giao dịch chuyển tiền nhằm bù đắp cho các khoản lỗ trong sự cố The DAO năm 2016, nhưng quyết định này đã dẫn đến sự chia tách chuỗi Ethereum và Ethereum Classic. Quá trình này gây tranh cãi, nhưng cuối cùng các nhóm khác nhau đã hình thành các niềm tin đồng thuận khác nhau.
- Cộng đồng Bitcoin cũng đã trải qua những thách thức kỹ thuật tương tự: lỗ hổng tràn giá trị vào năm 2010 đã được các nhà phát triển khẩn trương khắc phục và các quy tắc đồng thuận đã được nâng cấp, xóa hoàn toàn khoảng 18,4 tỷ bitcoin được tạo ra bất hợp pháp.
Đây là mô hình hard fork tương tự, khôi phục sổ cái về trước khi xảy ra sự cố và sau đó người dùng vẫn có thể tự quyết định hệ thống sổ cái nào sẽ tiếp tục sử dụng.
So với hard fork DAO, Sui không chọn chia tách chuỗi, mà nhắm mục tiêu chính xác vào sự cố này bằng cách nâng cấp giao thức và cấu hình bí danh. Khi làm như vậy, Sui duy trì tính liên tục của chuỗi và hầu hết các quy tắc đồng thuận không thay đổi, nhưng cũng cho thấy giao thức cơ bản có thể được sử dụng để triển khai "hoạt động cứu hộ" có mục tiêu.
Vấn đề là "việc khôi phục nhánh" theo lịch sử là sự lựa chọn của người dùng; "sửa đổi giao thức" của Sui là chuỗi đưa ra quyết định thay bạn.
Không phải chìa khóa, không phải tiền xu của bạn? Tôi e là không còn nữa.
Về lâu dài, điều này có nghĩa là khái niệm "Không phải chìa khóa của bạn, không phải tiền của bạn" bị phá vỡ trên chuỗi Sui: ngay cả khi khóa riêng của người dùng còn nguyên vẹn, mạng lưới vẫn có thể chặn dòng tài sản và chuyển hướng tài sản thông qua những thay đổi trong thỏa thuận tập thể.
Nếu điều này trở thành tiền lệ để blockchain ứng phó với các sự cố bảo mật quy mô lớn trong tương lai, hoặc thậm chí được coi là một thông lệ có thể được thực hiện lại.
“Khi một chuỗi có thể phá vỡ các quy tắc vì công lý, nó cũng có tiền lệ phá vỡ mọi quy tắc.”
Một khi đã thành công trong việc "lấy tiền từ thiện", lần sau có thể lại là một hoạt động nằm trong "vùng xám về đạo đức".
Vậy thì chuyện gì sẽ xảy ra?
Tin tặc đã đánh cắp tiền của người dùng, vậy việc bỏ phiếu nhóm có thể lấy đi tiền của anh ta không?
Việc bỏ phiếu dựa trên ai có nhiều tiền hơn (pos) hay ai có nhiều người hơn? Nếu người có nhiều tiền hơn thắng, thì nhà sản xuất cuối cùng mà Lưu Từ Hân mô tả sẽ sớm xuất hiện. Nếu người có nhiều người hơn thắng, thì đám đông cũng sẽ nổi lên.
Theo hệ thống truyền thống, việc thu nhập bất hợp pháp không được bảo vệ là điều bình thường, và việc đóng băng và chuyển tiền là hoạt động thường xuyên của các ngân hàng truyền thống.
Việc bỏ phiếu dựa trên ai có nhiều tiền hơn (pos) hay ai có nhiều người hơn? Nếu người có nhiều tiền hơn thắng, thì nhà sản xuất cuối cùng mà Lưu Từ Hân mô tả sẽ sớm xuất hiện. Nếu người có nhiều người hơn thắng, thì đám đông cũng sẽ nổi lên.
Theo hệ thống truyền thống, việc thu nhập bất hợp pháp không được bảo vệ là điều bình thường, và việc đóng băng và chuyển tiền là hoạt động thường xuyên của các ngân hàng truyền thống.
Nhưng thực tế là điều này không thể đạt được về mặt kỹ thuật chính là nguyên nhân sâu xa dẫn đến sự phát triển của ngành công nghiệp blockchain.
Bây giờ, cây gậy lớn của sự tuân thủ trong ngành tiếp tục lên men. Hôm nay, nó có thể đóng băng và sửa đổi số dư tài khoản cho tin tặc, và ngày mai nó có thể thực hiện các sửa đổi tùy ý cho các yếu tố địa lý và các yếu tố xung đột. Nếu chuỗi trở thành một công cụ một phần theo khu vực.
Giá trị của ngành công nghiệp này sẽ bị thu hẹp đáng kể và cùng lắm thì nó cũng chỉ là một hệ thống tài chính kém hữu ích khác.
Đây cũng là lý do vì sao tôi quyết tâm theo đuổi ngành này: "Blockchain có giá trị không phải vì nó không thể bị đóng băng, mà vì ngay cả khi bạn ghét nó, nó cũng sẽ không thay đổi vì bạn".
Với quy định là xu hướng chung, liệu chuỗi có thể tự bảo vệ được linh hồn của mình không?
Ngày xửa ngày xưa, các chuỗi liên minh phổ biến hơn các chuỗi công khai vì chúng đáp ứng được nhu cầu quản lý của thời đại đó. Sự suy giảm của các liên minh ngày nay thực chất chỉ đơn giản là tuân thủ nhu cầu này, chứ không phải nhu cầu của người dùng thực sự. Những người dùng được quản lý đã mất đi, vậy còn nhu cầu về các công cụ quản lý thì sao?
Từ góc độ phát triển công nghiệp
Liệu tập trung hóa hiệu quả có phải là một giai đoạn cần thiết trong quá trình phát triển blockchain không? Nếu mục tiêu cuối cùng của phi tập trung hóa là bảo vệ lợi ích của người dùng, chúng ta có thể chấp nhận tập trung hóa như một biện pháp chuyển tiếp không?
Từ "dân chủ" trong bối cảnh quản trị trên chuỗi thực sự được tính theo trọng số token. Vậy nếu một hacker nắm giữ một lượng lớn SUI (hoặc nếu DAO bị hack một ngày nào đó và hacker kiểm soát quyền biểu quyết), anh ta cũng có thể "bỏ phiếu hợp pháp để tẩy trắng bản thân" không?
Cuối cùng, giá trị của blockchain không phải là liệu nó có thể bị đóng băng hay không, mà là ngay cả khi một nhóm có khả năng đóng băng nó, họ vẫn chọn không làm như vậy.
Tương lai của một chuỗi không được quyết định bởi kiến trúc kỹ thuật của nó mà bởi tập hợp các niềm tin mà nó chọn để bảo vệ.
Tất cả bình luận