Quan điểm: Hacker đã đánh cắp tiền, vậy nên Sui có thể cướp lại được không?
Tuyển chọn TechFlowTuyển chọn TechFlow
Quan điểm: Hacker đã đánh cắp tiền, vậy nên Sui có thể cướp lại được không?
Giá trị của blockchain không nằm ở việc có thể đóng băng hay không, mà nằm ở chỗ ngay cả khi tập thể có khả năng đóng băng, họ vẫn chọn không làm điều đó.
Chuyên sâu báo cáo Web3Tác giả: Thập Tứ Quân
Sự việc lần này là chiến thắng của vốn, chứ không phải của người dùng, và đối với sự phát triển ngành còn là một bước lùi.
Bitcoin rẽ trái, Sui rẽ phải. Mỗi khi có hành động nào làm lung lay tính phi tập trung trong ngành, niềm tin vào Bitcoin lại càng được củng cố mạnh mẽ hơn.
Thế giới cần không chỉ một hệ thống cơ sở hạ tầng tài chính toàn cầu tốt hơn, mà luôn tồn tại một nhóm người nhất định cần một không gian tự do.
Trước kia, chuỗi liên minh từng thịnh hành hơn chuỗi công khai vì nó đáp ứng nhu cầu quản lý thời điểm đó. Sự suy yếu hiện nay của chuỗi liên minh thực chất cho thấy rằng việc chỉ tuân theo yêu cầu quản lý không phải là nhu cầu thật sự của người dùng. Nếu mất đi những người dùng bị quản lý, thì còn cần công cụ quản lý nào nữa?
1. Bối cảnh sự việc
Ngày 22 tháng 5 năm 2025, sàn giao dịch phi tập trung (DEX) lớn nhất hệ sinh thái chuỗi công Sui – Cetus – bị tấn công bởi tin tặc, thanh khoản giảm mạnh ngay lập tức, giá nhiều cặp giao dịch sụp đổ, thiệt hại trên 220 triệu USD.
Tính đến thời điểm bài viết, diễn biến như sau:
-
Sáng ngày 22/5: Tin tặc tấn công Cetus, rút ra 230 triệu USD, Cetus tạm dừng hợp đồng khẩn cấp và công bố thông báo
-
Chiều ngày 22/5: Tin tặc chuyển khoảng 60 triệu USD qua chuỗi khác, số tiền còn lại 162 triệu USD vẫn nằm trong địa chỉ trên mạng Sui. Các nút xác thực Sui nhanh chóng hành động, đưa địa chỉ tin tặc vào "Danh sách từ chối dịch vụ (Deny List)", đóng băng tài sản
-
Tối ngày 22/5: CPO Sui @emanabio đăng tweet xác nhận: Tài sản đã bị đóng băng, việc hoàn trả sẽ sớm bắt đầu
-
Ngày 23/5: Cetus bắt đầu sửa lỗi và cập nhật hợp đồng
-
Ngày 24/5: Sui công bố PR mã nguồn mở, giải thích sắp thu hồi tài sản thông qua cơ chế bí danh (aliasing) và whitelist
-
Ngày 26/5: Sui khởi động bỏ phiếu quản trị trên chuỗi, đề xuất nâng cấp giao thức để chuyển tài sản tin tặc sang địa chỉ ủy thác
-
Ngày 29/5: Kết quả bỏ phiếu công bố, trên 2/3 trọng số nút xác thực ủng hộ; chuẩn bị thực hiện nâng cấp giao thức
-
Từ ngày 30/5 đến đầu tháng 6: Nâng cấp giao thức có hiệu lực, băm giao dịch được chỉ định được thực thi, tài sản tin tặc bị "chuyển đi hợp pháp"
2. Nguyên lý tấn công
Về nguyên lý sự việc, ngành đã có nhiều bài phân tích, ở đây chỉ tóm lược cốt lõi:
Theo quy trình tấn công:
Kẻ tấn công trước tiên sử dụng flash loan vay khoảng 10.024.321,28 haSUI, khiến giá trong pool giảm ngay lập tức tới 99,90%. Lệnh bán khổng lồ này làm giá mục tiêu giảm từ khoảng 1,8956×10^19 xuống 1,8425×10^19, gần như làm sạch toàn bộ pool.
Sau đó, kẻ tấn công tạo vị thế thanh khoản trên Cetus với khoảng cách cực hẹp (tick dưới 300000, trên 300200, độ rộng chỉ 1,00496621%). Khoảng cách hẹp này khuếch đại ảnh hưởng sai số tính toán lên lượng token cần thiết.
Nguyên lý then chốt của vụ tấn công:
Nằm ở hàm get_delta_a trong Cetus dùng để tính lượng token cần thiết, tồn tại lỗ hổng tràn số nguyên. Kẻ tấn công cố ý khai báo muốn thêm thanh khoản khổng lồ (khoảng 10^37 đơn vị), nhưng thực tế chỉ gửi vào hợp đồng 1 token.
Do điều kiện kiểm tra tràn checked_shlw sai, hệ thống bị cắt bỏ bit cao khi dịch trái, khiến phần mềm đánh giá rất thấp lượng haSUI cần thiết, từ đó đổi lấy lượng thanh khoản khổng lồ với chi phí cực nhỏ.
Xét về mặt kỹ thuật, lỗ hổng này bắt nguồn từ việc Cetus sử dụng sai mặt nạ và điều kiện kiểm tra trong hợp đồng thông minh Move, khiến mọi giá trị nhỏ hơn 0xffffffffffffffff << 192 đều có thể vượt qua kiểm tra; sau khi dịch trái 64 bit, dữ liệu bit cao bị cắt bỏ, hệ thống chỉ thu ít token nhưng lại cho rằng đã nhận được thanh khoản lớn.
Sau sự việc xảy ra, xuất hiện 2 thao tác chính thức: "đóng băng" vs "thu hồi", gồm hai giai đoạn:
-
Giai đoạn đóng băng hoàn thành nhờ Deny List + đồng thuận nút;
-
Giai đoạn thu hồi cần nâng cấp giao thức trên chuỗi + bỏ phiếu cộng đồng + thực thi giao dịch được chỉ định để vượt qua danh sách đen.
3. Cơ chế đóng băng của Sui
Bản thân chuỗi Sui đã có cơ chế Deny List (danh sách từ chối) đặc biệt, dùng để đóng băng tài sản tin tặc lần này. Không chỉ vậy, tiêu chuẩn token của Sui cũng có chế độ "token được giám sát", tích hợp sẵn chức năng đóng băng.
Việc đóng băng khẩn cấp lần này tận dụng đặc điểm này: các nút xác thực nhanh chóng thêm địa chỉ liên quan đến tài sản bị đánh cắp vào file cấu hình cục bộ. Về lý thuyết, mỗi người vận hành nút có thể tự sửa TransactionDenyConfig để cập nhật danh sách đen, nhưng để đảm bảo tính nhất quán mạng, Quỹ Sui với tư cách ban đầu phát hành cấu hình đã tiến hành phối hợp tập trung.
Quỹ trước tiên chính thức phát hành bản cập nhật cấu hình chứa địa chỉ tin tặc, các nút xác thực đồng bộ theo cấu hình mặc định, từ đó tài sản tin tặc tạm thời bị "niêm phong" trên chuỗi — đằng sau thực tế này tồn tại yếu tố tập trung hóa cao độ.
Để cứu nạn nhân khỏi tài sản bị đóng băng, đội ngũ Sui tiếp tục tung bản vá cơ chế whitelist (danh sách trắng).
Đây là bổ sung cho thao tác chuyển lại tài sản sau này. Có thể dựng sẵn giao dịch hợp lệ và đăng ký vào whitelist, dù địa chỉ tài sản vẫn nằm trong danh sách đen, vẫn có thể buộc thực thi.
Tính năng mới transaction_allow_list_skip_all_checks cho phép đưa giao dịch cụ thể vào "danh sách miễn kiểm tra" trước, khiến các giao dịch này có thể bỏ qua mọi kiểm tra an ninh, bao gồm chữ ký, quyền hạn, danh sách đen, v.v.
Cần lưu ý rằng, bản vá whitelist không thể trực tiếp chiếm đoạt tài sản tin tặc; nó chỉ trao quyền cho một số giao dịch khả năng vượt qua lệnh đóng băng, việc chuyển tài sản thực sự vẫn cần chữ ký hợp lệ hoặc mô-đun quyền hạn hệ thống bổ sung để hoàn tất.
Thực tế, phương án đóng băng chủ lưu trong ngành thường xảy ra ở cấp độ hợp đồng token, do bên phát hành kiểm soát đa chữ ký.
Lấy USDT do Tether phát hành làm ví dụ, hợp đồng tích hợp hàm danh sách đen, công ty phát hành có thể đóng băng địa chỉ vi phạm, khiến chúng không thể chuyển USDT. Phương án này cần đa chữ ký khởi tạo yêu cầu đóng băng trên chuỗi, chỉ thực thi khi đạt đồng thuận, do đó tồn tại độ trễ thực hiện.
Mặc dù cơ chế đóng băng của Tether hiệu quả, nhưng thống kê cho thấy quy trình đa chữ ký thường có "khoảng trống", tạo cơ hội cho tội phạm.
So với đó, việc đóng băng của Sui xảy ra ở cấp độ giao thức nền tảng, do các nút xác thực cùng thao tác, tốc độ thực hiện nhanh hơn nhiều so với gọi hợp đồng thông thường.
Theo mô hình này, để thực hiện đủ nhanh, đồng nghĩa việc quản lý các nút xác thực bản thân phải cực kỳ thống nhất.
3. Nguyên lý thực hiện "thu hồi bằng chuyển khoản" của Sui
Đáng kinh ngạc hơn, Sui không chỉ đóng băng tài sản tin tặc, mà còn lên kế hoạch "chuyển và thu hồi" tài sản bị đánh cắp thông qua nâng cấp trên chuỗi.
Ngày 27/5, Cetus đề xuất phương án bỏ phiếu cộng đồng, yêu cầu nâng cấp giao thức để chuyển tài sản bị đóng băng vào ví đa chữ ký ủy thác. Quỹ Sui ngay sau đó khởi động bỏ phiếu quản trị trên chuỗi.
Ngày 29/5, kết quả bỏ phiếu công bố, khoảng 90,9% trọng số nút xác thực ủng hộ phương án. Sui chính thức tuyên bố, một khi đề xuất thông qua, "toàn bộ tài sản bị đóng băng trong hai tài khoản tin tặc sẽ được thu hồi vào ví đa chữ ký mà không cần chữ ký của tin tặc".
"Không cần chữ ký của tin tặc" – đặc điểm khác biệt đến mức nào! Trong ngành blockchain chưa từng có cách sửa chữa nào như thế.
Theo PR GitHub chính thức của Sui, giao thức giới thiệu cơ chế bí danh địa chỉ (address aliasing). Nội dung nâng cấp bao gồm: trong ProtocolConfig chỉ định trước quy tắc bí danh, khiến một số giao dịch cho phép xem chữ ký hợp lệ như được gửi từ tài khoản tin tặc.
Cụ thể, danh sách băm giao dịch cứu trợ sẽ thực thi được liên kết với địa chỉ đích (tức địa chỉ tin tặc), bất kỳ ai ký và phát hành bản tóm tắt giao dịch cố định này đều được coi là chủ sở hữu tài khoản tin tặc hợp lệ khởi tạo giao dịch. Đối với các giao dịch cụ thể này, hệ thống nút xác thực sẽ bỏ qua kiểm tra Deny List.
Xét ở cấp độ mã nguồn, Sui thêm điều kiện kiểm tra vào logic xác minh giao dịch: khi một giao dịch bị chặn bởi danh sách đen, hệ thống duyệt qua người ký, kiểm tra protocol_config.is_tx_allowed_via_aliasing(sender, signer, tx_digest) có đúng hay không.
Chỉ cần tồn tại một người ký thỏa mãn quy tắc bí danh, giao dịch này được đánh dấu là được phép, bỏ qua lỗi chặn trước đó, tiếp tục đóng gói và thực thi bình thường.
4. Quan điểm
160 triệu, xé toạc niềm tin sâu xa nhất của ngành
Sự việc Cetus, theo quan điểm cá nhân tôi, cơn sóng gió này có thể nhanh chóng trôi qua, nhưng mô hình này sẽ không bị lãng quên, vì nó đã đảo lộn nền tảng ngành, phá vỡ sự đồng thuận truyền thống về bất biến sổ cái trong cùng một hệ thống blockchain.
Trong thiết kế blockchain, hợp đồng là luật pháp, mã nguồn là trọng tài.
Nhưng trong sự việc này, mã nguồn thất bại, quản trị can thiệp, quyền lực áp đảo, hình thành mô hình dùng hành vi bỏ phiếu quyết định kết quả mã nguồn.
Chính vì vậy, cách Sui trực tiếp di chuyển giao dịch lần này khác biệt lớn so với cách xử lý vấn đề tin tặc trong blockchain chủ lưu.
Đây không phải lần đầu "sửa đổi đồng thuận", nhưng là lần im lặng nhất
Xét theo lịch sử:
-
Sự kiện The DAO năm 2016 trên Ethereum từng dùng hard fork để hoàn tác giao dịch bù đắp tổn thất, nhưng quyết định này dẫn đến sự chia tách thành hai chuỗi Ethereum và Ethereum Classic, quá trình gây tranh cãi dữ dội, nhưng cuối cùng là do các nhóm khác nhau hình thành niềm tin đồng thuận riêng.
-
Cộng đồng Bitcoin cũng từng trải qua thử thách kỹ thuật tương tự: lỗ hổng tràn giá trị năm 2010 được nhà phát triển sửa chữa khẩn cấp và nâng cấp quy tắc đồng thuận, xóa sổ hoàn toàn khoảng 18,4 tỷ BTC được tạo trái phép.
Đều là mô hình hard fork giống nhau, hoàn tác sổ cái về thời điểm trước sự cố, sau đó người dùng vẫn có thể tự quyết định tiếp tục sử dụng trên hệ thống sổ cái nào.
So với hard fork DAO, Sui không chọn chia tách chuỗi, mà dùng cách nâng cấp giao thức kết hợp cơ chế bí danh để chính xác nhắm mục tiêu vào sự kiện lần này. Làm như vậy, Sui giữ được tính liên tục của chuỗi và hầu hết quy tắc đồng thuận không đổi, nhưng đồng thời cũng cho thấy giao thức nền tảng có thể được dùng để thực hiện "hành động cứu trợ" có chủ đích.
Vấn đề là, "hoàn tác kiểu phân nhánh" trong lịch sử là lựa chọn niềm tin của người dùng; còn "sửa đổi kiểu giao thức" của Sui là chuỗi thay bạn ra quyết định.
Not Your Key, Not Your Coin? Có lẽ không còn nữa.
Xét về dài hạn, điều này có nghĩa niềm tin "Not your keys, not your coins" bị phá vỡ trên chuỗi Sui: dù khóa riêng của người dùng đầy đủ, mạng vẫn có thể thông qua thay đổi giao thức tập thể để ngăn chặn lưu thông tài sản và chuyển hướng tài sản.
Nếu điều này trở thành tiền lệ cho blockchain xử lý sự cố an ninh lớn trong tương lai, thậm chí được coi là thói quen có thể tuân theo.
"Khi một chuỗi có thể phá vỡ quy tắc vì chính nghĩa, nó cũng đã tạo tiền lệ phá vỡ mọi quy tắc."
Một khi đã có lần "cướp tiền vì lợi ích công" thành công, lần sau có thể là thao tác ở "vùng mờ đạo đức".
Vậy sẽ xảy ra gì?
Tin tặc đúng là đã ăn cắp tiền người dùng, vậy cả cộng đồng bỏ phiếu, có thể cướp lại tiền của hắn không?
Cơ sở bỏ phiếu là dựa vào ai có nhiều tiền (pos) hay ai đông người? Nếu người có tiền thắng, thì "sở hữu cuối cùng" trong tiểu thuyết Lưu Từ Huyễn sẽ nhanh chóng đến; nếu người đông thắng, thì đám đông vô tri cũng sẽ nổi sóng.
Trong chế độ truyền thống, tài sản bất hợp pháp không được bảo vệ là chuyện rất bình thường, đóng băng và chuyển khoản đều là thao tác thông thường của ngân hàng truyền thống.
Nhưng chính vì không thể thực hiện điểm này về mặt lý thuyết kỹ thuật, chẳng phải đó là gốc rễ phát triển của ngành blockchain sao?
Hiện nay cây gậy tuân thủ ngành đang tiếp tục phát triển, hôm nay có thể đóng băng vì tin tặc, sửa đổi số dư tài khoản, vậy ngày mai có thể vì yếu tố địa chính trị, yếu tố mâu thuẫn, mà tùy ý sửa đổi. Nếu chuỗi trở thành công cụ khu vực.
Vậy giá trị ngành sẽ bị thu hẹp nghiêm trọng, tối đa chỉ là một hệ thống tài chính khác kém hiệu quả hơn mà thôi.
Cũng là lý do tôi kiên định với ngành: "Blockchain không có giá trị vì không thể đóng băng, mà có giá trị vì dù bạn ghét nó, nó cũng không thay đổi vì bạn."
Trào lưu quản lý đang lên, liệu chuỗi có giữ được linh hồn của mình?
Trước kia, chuỗi liên minh từng thịnh hành hơn chuỗi công khai vì nó đáp ứng nhu cầu quản lý thời điểm đó. Sự suy yếu hiện nay của chuỗi liên minh thực chất cho thấy rằng việc chỉ tuân theo yêu cầu quản lý không phải là nhu cầu thật sự của người dùng. Nếu mất đi những người dùng bị quản lý, thì còn cần công cụ quản lý nào nữa.
Xét từ góc độ phát triển ngành
Hiệu quả tập trung hóa, liệu có phải giai đoạn tất yếu của phát triển blockchain? Nếu mục tiêu cuối cùng của phi tập trung là bảo vệ lợi ích người dùng, ta có thể chấp nhận tập trung hóa như biện pháp chuyển tiếp?
Khái niệm "dân chủ" trong ngữ cảnh quản trị chuỗi thực chất là "cân nặng theo token". Vậy nếu tin tặc nắm lượng lớn SUI (hoặc một ngày nào đó DAO bị hack, tin tặc kiểm soát quyền biểu quyết), liệu hắn có thể "bỏ phiếu hợp pháp hóa chính mình"?
Cuối cùng, giá trị của blockchain không nằm ở việc có thể đóng băng hay không, mà nằm ở chỗ dù cộng đồng có khả năng đóng băng, nhưng chọn không làm như vậy.
Tương lai của một chuỗi không do kiến trúc kỹ thuật quyết định, mà do niềm tin mà nó chọn bảo vệ để quyết định.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
