前言
资本的力量再次占据了上风,而普通用户的利益却被无情碾压,这样的发展对整个行业而言无疑是一种倒退。
当比特币坚守去中心化理念时,Sui却走向了另一条道路。每一次动摇行业根基的行为出现,都会让人们对比特币的信仰变得更加坚定。
这个世界需要的不仅是一套更完善的全球金融基础设施,更重要的是永远保留一片自由的天地。
曾几何时,联盟链的风头盖过公链,正是因为它迎合了当时的监管需求。如今联盟链日渐式微,恰恰证明单纯满足监管需求并非用户的真实诉求。当被监管的用户逐渐流失,监管工具的存在又有什么意义呢?
事件背景
2025年5月22日,Sui公链生态遭遇重大打击,其最大的去中心化交易所Cetus遭到黑客攻击,导致流动性瞬间蒸发,多个交易对价格崩盘,损失金额高达2.2亿美元。
事件发展脉络清晰呈现:5月22日上午,黑客成功套取2.3亿美元后,Cetus紧急暂停合约并发布公告;当天下午,黑客已转出约6000万美元,剩余1.62亿美元仍滞留在Sui链上。Sui验证节点迅速反应,将被盗资金地址列入”拒绝服务黑名单”实施冻结。
当晚,Sui首席产品官@emanabio在推特确认资金冻结状态,并表示将很快启动归还程序。次日,Cetus开始修复漏洞并更新合约。5月24日,Sui通过开源PR解释将采用别名机制和白名单进行资金回收。三天后,Sui发起链上治理投票,决定是否执行协议升级将被盗资金转入托管地址。5月29日投票结果显示,超过三分之二验证节点支持该方案,协议升级随即进入执行阶段。
攻击原理
这次攻击的核心原理已经有多方专业分析,其攻击流程颇具戏剧性:黑客首先通过闪电贷借入大量haSUI,制造巨额卖单导致交易池价格暴跌99.9%,几乎清空了目标池。随后,攻击者在Cetus上设置了极其狭窄的流动性区间,放大了后续计算误差的影响。
真正的技术漏洞在于Cetus的get_delta_a函数存在整数溢出问题。攻击者声称要添加天文数字般的流动性,实际却只投入1个代币。由于checked_shlw的溢出检测条件错误,系统严重低估了所需haSUI数量,使得攻击者以极小代价获取了巨额流动性。从技术角度看,这个漏洞源于Move智能合约中错误的掩码和判断条件,导致左移64位时高位数据被截断。
事件后续发展分为两个关键阶段:首先是依靠Deny List和节点共识完成的冻结阶段,随后是通过链上协议升级、社区投票和指定交易执行的资金追回阶段。
Sui的冻结机制
Sui链内置的Deny List机制在此次事件中发挥了关键作用。值得注意的是,Sui的代币标准本身就包含”受监管代币”模式,具备内置冻结功能。这次应急冻结正是利用了这一特性:验证节点通过本地配置文件快速添加了被盗资金地址。虽然理论上每个节点运营者都可以自行更新黑名单,但为了确保一致性,Sui基金会作为配置发布方进行了统一协调。
为了进一步帮助受害者,Sui团队推出了白名单机制补丁。这个名为transaction_allow_list_skip_all_checks的新特性允许预先登记特定交易,使其可以绕过所有安全检查。需要明确的是,白名单本身并不能直接转移资产,真正的资产转移仍需合法签名或系统权限模块来完成。
与传统冻结方案相比,Sui的模式展现出明显优势。以USDT为例,其合约层面的冻结需要多重签名达成一致,存在执行延迟。而Sui的协议级冻结由验证节点集体操作,执行速度更快。但这种高效率的背后,是验证节点管理的高度集中化。
Sui的”转账式回收”实现原理
Sui的处理方式开创了行业先例:不仅冻结了黑客资产,还计划通过链上升级直接转移被盗资金。5月27日,Cetus提出社区投票方案,建议升级协议将被冻结资金转入多签托管钱包。投票结果显示近91%的验证者支持该方案,这意味着黑客账户中的资金将在无需其签名的情况下被强制回收。
从技术实现看,Sui引入了地址别名机制。在ProtocolConfig中预先设定别名规则,使某些特定交易可以将合法签名视为来自黑客账户。具体来说,系统会将预先确定的救援交易哈希与黑客地址绑定,任何签署并发布这些固定交易摘要的执行者都被视为有效的账户所有者。验证节点会对这些特定交易绕过Deny List检查,在代码层面通过protocol_config.is_tx_allowed_via_aliasing函数进行判断。
观点
1.6亿,撕开的是行业最深的底层信仰
Cetus事件或许会逐渐平息,但它开创的模式将长久影响行业。这套做法从根本上动摇了区块链不可篡改的共识基础。在传统区块链设计中,合约就是法律,代码就是裁判。但这次事件中,治理干预超越了代码规则,形成了”投票裁决代码结果”的新模式。Sui直接挪用交易的做法,与主流区块链处理黑客事件的方式存在本质差异。
这不是第一次”篡改共识”,但却是最静默的一次
回顾历史,以太坊2016年The DAO事件通过硬分叉回滚转账,最终导致以太坊与以太坊经典的分裂;比特币在2010年也通过紧急修复消除了184亿枚非法生成的比特币。这些案例都采用了硬分叉模式,让用户自行选择账本体系。而Sui没有选择分裂链条,而是通过协议升级实现精准干预,保持了链的连续性。关键区别在于:历史上的分叉回滚由用户选择信仰,而Sui的协议修正是由链代为决定。
Not Your Key, Not Your Coin?恐怕Not Anymore.
长远来看,这意味着”Not your keys, not your coins”的理念在Sui链上被彻底瓦解。即便用户持有完整私钥,网络仍可通过集体协议变更阻止资产流动并重定向资金。如果这成为行业惯例,后果将难以预料。当一条链能以”正义”之名打破规则,它也就为打破任何规则开创了先例。今天的”公益抢钱”可能演变成明天的”道德模糊操作”。
监管大势所趋,链能否守住自己的灵魂?
在合规化浪潮下,区块链行业正面临严峻考验。传统金融体系中,冻结与划转是常规操作,但区块链的价值恰恰在于其技术上的不可干预性。如果今天可以为黑客事件冻结资金,明天就可能为各种地缘因素修改账户余额。当区块链沦为区域性金融工具,其核心价值将大幅缩水,最终不过是另一套效率低下的金融系统罢了。
区块链的真正价值不在于能否冻结资产,而在于即便具备冻结能力,也选择坚守原则。一条链的未来,不取决于技术架构,而在于它选择守护的信仰。当去中心化的灵魂被妥协,区块链就失去了存在的意义。
声明:文章不代表CHAINTT观点及立场,不构成本平台任何投资建议。投资决策需建立在独立思考之上,本文内容仅供参考,风险 自担!转载请注明出处:https://www.chaintt.cn/20610.html
