Nhiều người thắc mắc, Sui chính thức tuyên bố @CetusProtocol bị tấn công bởi hacker, mạng lưới xác thực đã "đóng băng" địa chỉ của hacker, thu hồi được 1,6 tỷ USD. Rốt cuộc là làm thế nào? Phải chăng phi tập trung là "lời nói dối"? Dưới đây, thử phân tích từ góc độ kỹ thuật: Phần chuyển qua cầu nối chuỗi: Sau khi hacker tấn công thành công, ngay lập tức chuyển một phần tài sản như USDC qua cầu nối chuỗi sang các chuỗi khác như Ethereum. Phần tiền này đã không thể thu hồi, vì một khi rời khỏi hệ sinh thái Sui, người xác thực không thể làm gì được. Phần vẫn còn trên chuỗi Sui: Vẫn còn một lượng lớn tiền bị đánh cắp vẫn được lưu trữ trong địa chỉ Sui do hacker kiểm soát. Phần tiền này trở thành mục tiêu "đóng băng". Theo thông báo chính thức, "nhiều người xác thực đã nhận diện địa chỉ tiền bị đánh cắp, đang bỏ qua các giao dịch trên những địa chỉ này". —— Cụ thể làm thế nào để thực hiện? 1. Lọc giao dịch ở cấp độ người xác thực —— Nói đơn giản là người xác thực tập thể "giả mù": - Người xác thực trực tiếp bỏ qua giao dịch của địa chỉ hacker ở giai đoạn bể giao dịch (mempool); - Những giao dịch này về mặt kỹ thuật hoàn toàn hợp lệ, nhưng không được đóng gói lên chuỗi; - Tiền của hacker bị "giam lỏng" trong địa chỉ như vậy; 2. Cơ chế then chốt của mô hình đối tượng Move —— Ngôn ngữ Move làm cho việc "đóng băng" này trở nên khả thi: - Chuyển phải lên chuỗi: Hacker dù kiểm soát lượng lớn tài sản trong địa chỉ Sui, nhưng để chuyển các đối tượng như USDC, SUI, phải khởi tạo giao dịch và được người xác thực đóng gói xác nhận; - Người xác thực nắm quyền sinh sát: Người xác thực từ chối đóng gói, đối tượng sẽ không bao giờ di chuyển được; - Kết quả: Hacker trên danh nghĩa "sở hữu" những tài sản này, thực tế không có cách nào. Giống như bạn có một thẻ ngân hàng, nhưng tất cả ATM đều từ chối phục vụ bạn. Tiền trong thẻ, nhưng bạn không thể rút ra. Với sự giám sát và can thiệp liên tục của các nút xác thực SUI (ATM), các token như SUI trong địa chỉ hacker sẽ không thể lưu thông, những khoản tiền bị đánh cắp này giờ giống như bị "tiêu hủy", khách quan tạo ra hiệu ứng "giảm phát"? Tất nhiên, ngoài việc phối hợp tạm thời của người xác thực, Sui có thể đã cài đặt chức năng danh sách từ chối ở cấp độ hệ thống. Nếu thực sự như vậy, thì quy trình có thể là: các bên có thẩm quyền liên quan (như Sui Foundation hoặc thông qua quản trị) đưa địa chỉ hacker vào danh sách từ chối của hệ thống, người xác thực thực hiện theo quy tắc hệ thống này, từ chối xử lý giao dịch của địa chỉ trong danh sách đen. Dù là phối hợp tạm thời hay thực hiện theo quy tắc hệ thống, đều cần phần lớn người xác thực có thể hành động thống nhất. Rõ ràng, quyền lực phân phối của mạng lưới người xác thực Sui vẫn quá tập trung, một số ít nút có thể kiểm soát các quyết định quan trọng của toàn mạng. Vấn đề tập trung người xác thực của Sui cũng không phải là trường hợp duy nhất của chuỗi PoS —— từ Ethereum đến BSC, hầu hết các mạng PoS đều đối mặt với rủi ro tập trung người xác thực tương tự, chỉ là lần này Sui đã làm lộ rõ vấn đề hơn. —— Mạng lưới được cho là phi tập trung, làm sao có thể có khả năng "đóng băng" tập trung mạnh mẽ như vậy? Điều đáng lo ngại hơn là, Sui chính thức tuyên bố sẽ trả lại tiền đóng băng cho pool, nhưng nếu thực sự là người xác thực "từ chối đóng gói giao dịch", thì về lý thuyết những khoản tiền này nên không bao giờ di chuyển được. Sui đã làm thế nào để hoàn trả? Điều này thách thức thêm đặc tính phi tập trung của chuỗi Sui! Phải chăng, ngoài việc một số ít người xác thực tập trung từ chối giao dịch, chính thức thậm chí có quyền siêu cấp ở cấp độ hệ thống để trực tiếp thay đổi quyền sở hữu tài sản? (Cần Sui cung cấp thêm chi tiết về "đóng băng") Trước khi chi tiết cụ thể được tiết lộ, cần thảo luận về sự đánh đổi xung quanh phi tập trung: Phản ứng khẩn cấp can thiệp, hy sinh một chút phi tập trung có nhất thiết là điều xấu không? Nếu gặp tấn công của hacker, toàn bộ chuỗi không làm gì có phải là điều người dùng mong muốn không? Tôi muốn nói rằng, mọi người tự nhiên không muốn tiền rơi vào tay hacker, nhưng điều này khiến thị trường lo ngại hơn là, tiêu chuẩn đóng băng hoàn toàn "chủ quan hóa": cái gì được coi là "tiền bị đánh cắp"? Ai định nghĩa? Ranh giới ở đâu? Hôm nay đóng băng hacker, ngày mai đóng băng ai? Tiền lệ này mở ra, giá trị chống kiểm duyệt cốt lõi nhất của chuỗi công khai sẽ hoàn toàn phá sản, chắc chắn sẽ gây tổn hại đến vấn đề tin tưởng của người dùng. Phi tập trung không phải là trắng đen rõ ràng, Sui đã chọn một điểm cân bằng cụ thể giữa bảo vệ người dùng và phi tập trung. Vấn đề then chốt nằm ở việc thiếu cơ chế quản trị minh bạch và tiêu chuẩn ranh giới rõ ràng. Hiện tại, hầu hết các dự án blockchain đều đang thực hiện sự đánh đổi này, nhưng người dùng có quyền biết sự thật, chứ không phải bị nhãn "hoàn toàn phi tập trung" đánh lừa.