很多人疑惑,Sui 官方稱@CetusProtocol 被黑客攻擊後,驗證者網絡協調「凍結」了黑客地址,挽回了 1.6 億美元。究竟是如何做到的?去中心化難道是「謊言」嗎?以下,從技術視角試着分析下:
跨鏈橋轉移的部分:黑客攻擊成功後,立即通過跨鏈橋將部分 USDC 等資產轉移到以太坊等其他鏈。這部分資金已經無法追回,因爲一旦離開 Sui 生態,驗證者就無能爲力了。
仍在 Sui 鏈上的部分:還有相當數量的被盜資金仍存放在黑客控制的 Sui 地址中。這部分資金成了「凍結」的目標。
而根據官方公告,「大量驗證者識別了被盜資金地址,正在忽略這些地址上的交易」。
——具體如何實現呢?
1、驗證者層面的交易過濾——簡單說就是驗證者集體「裝瞎」:
驗證者在交易池(mempool)階段直接忽略黑客地址的交易;
這些交易技術上完全有效,但就是不給你打包上鍊;
黑客的資金就這樣被「軟禁」在地址裏;
2、Move 對象模型的關鍵機制——Move 語言的對象模型讓這種「凍結」變得可行:
轉移必須上鍊:黑客雖然控制着 Sui 地址裏的大量資產,但要轉移這些 USDC、SUI 等對象,必須發起交易並被驗證者打包確認;
驗證者掌握生殺大權:驗證者拒絕打包,對象就永遠動不了;
結果:黑客名義上「擁有」這些資產,實際上一點辦法都沒有。
就像你有一張銀行卡,但所有 ATM 都拒絕爲你服務。錢在卡里,但你取不出來。有了 SUI 驗證節點的持續監控和干涉(ATM),黑客地址裏的 SUI 等代幣將無法流通,這些被盜資金現在就像被「銷燬」了一樣,客觀上起到了「通縮」作用?
當然,除了驗證者臨時協調外,Sui 可能在系統層面預設了拒絕列表功能。如果確實如此,那麼流程可能是:相關權限方(如 Sui Foundation 或通過治理)將黑客地址加入系統 deny_list,驗證者根據這個系統規則執行,拒絕處理黑名單地址的交易。
而無論是臨時協調還是按系統規則執行,都需要大部分驗證者能夠統一行動。顯然,Sui 的驗證者網絡權力分佈仍然過於集中,少數節點就能控制全網的關鍵決策。
而 Sui 的驗證者過於集中問題也不是 PoS 鏈的孤例——從以太坊到 BSC,大部分 PoS 網絡都面臨類似的驗證者集中度風險,只是 Sui 這次把問題暴露得比較明顯。
——號稱去中心化的網絡,怎麼能有如此強的中心化「凍結」能力?
更要命的是,Sui 官方表示要將凍結資金返回給 pool,但如果真是驗證者「拒絕打包交易」,這些資金理論上應該永遠動不了。Sui 是如何做到返還的呢?這進一步挑戰了 Sui 這條鏈的去中心化特性!
難道,除了少數集中的驗證者拒絕交易之外,官方甚至有系統層面的超級權限直接修改資產歸屬?(需要 Sui 進一步給出「凍結」細節)
在具體細節披露之前,有必要圍繞去中心化的權衡做一下探討:
緊急應急響應干涉,犧牲一點去中心化一定是壞事嗎?如果遇到黑客攻擊,整個鏈毫無作爲就一定是用戶想要的嗎?
我想說的是,大家自然不希望錢落入黑客之手,但此舉一來令市場更擔心的是,凍結標準完全「主觀化」:什麼算「被盜資金」?誰來定義?邊界在哪裏?今天凍結黑客,明天凍結誰?這種先例一開,公鏈最核心的抗審查價值就徹底破產了,必然會造成用戶信任問題的受損。
去中心化不是非黑即白,Sui 選擇了在用戶保護和去中心化之間的特定平衡點。關鍵癥結在於缺乏透明的治理機制和明確的邊界標準。
現階段區塊鏈項目大多在做這種權衡,但用戶有權知道真相,而不是被「完全去中心化」的標籤誤導。
