撰文:Alex Liu,Foresight News
Sui 生态最大的去中心化 AMM 交易所 Cetus 于昨日因数值精度的代码问题被攻击者虚构流动性盗走了超 2 亿美元。
被盗 2 小时后,Cetus 发文表示:「截止目前已确认一名攻击者从 Cetus 协议窃取了约 2.23 亿美元,团队采取行动锁定了合约,以防止进一步的资金盗窃,已冻结1.62 亿美元的被盗资金。目前正在与 Sui 基金会及其他生态系统成员合作,制定下一步解决方案,目标是追回剩余的被盗资金。大部分受影响的资金已暂停使用,我们正在积极寻求恢复剩余资金的途径。完整的事件报告将稍后公布。」
需要注意的是,此处的用词是「冻结」而非「追回」。也就是说,这笔资金是否能拿回补偿受损用户,还是未知数。而 Sui 官方更详细的说明了该过程。
除去黑客跨链到以太坊主网并兑换为超两万枚 ETH 的资金(约 6000 万美元)外,多数被盗资金仍在黑客的 Sui 链地址中。而该部分资产的「冻结」,实质上是 Sui 的验证者联合起来「审查(censor)」了相关地址——大家约定好了无视他。
客观来说,这违背了去中心化世界「抗审查(Censorship Resistant)」的准则,属于中心化的操作,已经在社区引发了极大的争议。
而这笔钱在「冻结」后如何拿回来呢?Sui 联创提到将恢复的资金放回 Cetus 流动性池,基于能拿回这笔钱的前提。
简单点讲:「冻结」是让黑客在 Sui 链上的签名无效,交易无法上链,资金困在地址中;那么「追回」需要的是无需黑客的签名,就将他地址中的资产转移走。这是可能做到的吗?
事实上,Solayer 的工程师 Chaofan 表示 Sui 团队已经在要求每一个 Sui 上的验证者部署一段修复代码,以便让他们可以在攻击者不签名的情况下「追回」这笔钱。这显然是中心化的,激起了社区更大的争论 —— 在你没有签名的情况下,资产就可以被从地址上转移走。
(注意:Sui 验证者反馈表示并没有收到「要求」,Chaofan 后续也表示 Sui 验证者目前没有部署相关代码。)
但是这显然是不得已的特例,说明目前 Sui 的去中心化,有一个应急情况下的「开关」。Sui 之所以能够这样,原因在于仅 100 出头的验证者数,并且多数验证者都是与 Sui 基金会关系良好的机构,易于协调。(Sui 验证者需要自有或吸引超千万枚 SUI 代币的质押,通常只有机构拥有这样的资金能力。)
笔者是支持这样的做法的。Cetus 是 Sui 上最大的去中心化 AMM 交易所,流动性池中是无数人的积蓄、赖以生存的资金。同时,许多 Sui 项目代币的主要流动性池都部署在 Cetus 上,流动性被撤对这些生态项目是难以承受的损失。可以说,拿回这笔钱,是对之前正欣欣向荣发展但远谈不上成熟的 Sui DeFi 生态必要的保护。
如果说为了坚守「去中心化」的教条,宁愿让这一切毁掉的话,似乎属于在以太坊 The DAO 硬分叉后选择坚守 ETC(以太经典)的原教旨主义了。笔者比较认可下面的观点:去中心化是目标,而不是起点。在目前阶段,如果我追求极致的去中心化,我会选择使用以太坊。而现在我为 Sui 能帮助在 Cetus 中受损的用户追回资金感到高兴。
Sui 上 Bucket Protocol 创始人对事件的反思
