Sui 準備直接沒收黑客地址的資金,但也引起「去中心化」大討論
撰文:Alex Liu,Foresight News
Sui 生態最大的去中心化 AMM 交易所 Cetus 於昨日因數值精度的代碼問題被攻擊者虛構流動性盜走了超 2 億美元。
被盜 2 小時後,Cetus 發文表示:「截止目前已確認一名攻擊者從 Cetus 協議竊取了約 2.23 億美元,團隊採取行動鎖定了合約,以防止進一步的資金盜竊,已凍結 1.62 億美元的被盜資金。目前正在與 Sui 基金會及其他生態系統成員合作,制定下一步解決方案,目標是追回剩餘的被盜資金。大部分受影響的資金已暫停使用,我們正在積極尋求恢復剩餘資金的途徑。完整的事件報告將稍後公佈。」
需要注意的是,此處的用詞是「凍結」而非「追回」。也就是說,這筆資金是否能拿回補償受損用戶,還是未知數。而 Sui 官方更詳細的說明了該過程。
除去黑客跨鏈到以太坊主網並兌換爲超兩萬枚 ETH 的資金(約 6000 萬美元)外,多數被盜資金仍在黑客的 Sui 鏈地址中。而該部分資產的「凍結」,實質上是 Sui 的驗證者聯合起來「審查(censor)」了相關地址——大家約定好了無視他。
客觀來說,這違背了去中心化世界「抗審查(Censorship Resistant)」的準則,屬於中心化的操作,已經在社區引發了極大的爭議。
而這筆錢在「凍結」後如何拿回來呢?Sui 聯創提到將恢復的資金放回 Cetus 流動性池,基於能拿回這筆錢的前提。
簡單點講:「凍結」是讓黑客在 Sui 鏈上的簽名無效,交易無法上鍊,資金困在地址中;那麼「追回」需要的是無需黑客的簽名,就將他地址中的資產轉移走。這是可能做到的嗎?
事實上,Solayer 的工程師 Chaofan 發現 Sui 團隊已經在要求每一個 Sui 上的驗證者部署一段修復代碼,以便讓他們可以在攻擊者不簽名的情況下「追回」這筆錢。這顯然是中心化的,激起了社區更大的爭論 —— 在你沒有簽名的情況下,資產就可以被從地址上轉移走。
但是這顯然是不得已的特例,說明目前 Sui 的去中心化,有一個應急情況下的「開關」。Sui 之所以能夠這樣,原因在於僅 100 出頭的驗證者數,並且多數驗證者都是與 Sui 基金會關係良好的機構,易於協調。(Sui 驗證者需要自有或吸引超千萬枚 SUI 代幣的質押,通常只有機構擁有這樣的資金能力。)
筆者是支持這樣的做法的。Cetus 是 Sui 上最大的去中心化 AMM 交易所,流動性池中是無數人的積蓄、賴以生存的資金。同時,許多 Sui 項目代幣的主要流動性池都部署在 Cetus 上,流動性被撤對這些生態項目是難以承受的損失。可以說,拿回這筆錢,是對之前正欣欣向榮發展但遠談不上成熟的 Sui DeFi 生態必要的保護。
如果說爲了堅守「去中心化」的教條,寧願讓這一切毀掉的話,似乎屬於在以太坊 The DAO 硬分叉後選擇堅守 ETC(以太經典)的原教旨主義了。筆者比較認可下面的觀點:去中心化是目標,而不是起點。在目前階段,如果我追求極致的去中心化,我會選擇使用以太坊。而現在我爲 Sui 能幫助在 Cetus 中受損的用戶追回資金感到高興。
Sui 上 Bucket Protocol 創始人對事件的反思
