Cetus 真的「追回」1.6 億美元被盜資金了嗎？

撰文：Alex Liu，Foresight News

Sui 生態最大的去中心化 AMM 交易所 Cetus 於昨日因數值精度的代碼問題被攻擊者虛構流動性盜走了超 2 億美元。

被盜 2 小時後，Cetus 發文表示：「截止目前已確認一名攻擊者從 Cetus 協定竊取了約 2.23 億美元，團隊採取行動鎖定了合約，以防止進一步的資金盜竊，已凍結1.62 億美元的被盜資金。 目前正在與 Sui 基金會及其他生態系統成員合作，制定下一步解決方案，目標是追回剩餘的被盜資金。 大部分受影響的資金已暫停使用，我們正在積極尋求恢復剩餘資金的途徑。 完整的事件報告將稍後公佈。」

需要注意的是，此處的用詞是「凍結」而非「追回」。 也就是說，這筆資金是否能拿回補償受損用戶，還是未知數。 而 Sui 官方更詳細的說明了該過程。

除去駭客跨鏈到乙太坊主網並兌換為超兩萬枚 ETH 的資金（約 6000 萬美元）外，多數被盜資金仍在駭客的 Sui 鏈位址中。 而該部分資產的「凍結」，實質上是 Sui 的驗證者聯合起來「審查（censor）」了相關位址——大家約定好了無視他。

客觀來說，這違背了去中心化世界「抗審查（Censorship Resistant）」的準則，屬於中心化的操作，已經在社區引發了極大的爭議。

而這筆錢在「凍結」后如何拿回來呢？ Sui 聯創提到將恢復的資金放回 Cetus 流動性池，基於能拿回這筆錢的前提。

簡單點講：「凍結」是讓駭客在 Sui 鏈上的簽名無效，交易無法上鏈，資金困在位址中; 那麼「追回」需要的是無需駭客的簽名，就將他位址中的資產轉移走。 這是可能做到的嗎？

事實上，Solayer 的工程師 Chaofan 表示 Sui 團隊已經在要求每一個 Sui 上的驗證者部署一段修復代碼，以便讓他們可以在攻擊者不簽名的情況下「追回」這筆錢。 這顯然是中心化的，激起了社區更大的爭論 —— 在你沒有簽名的情況下，資產就可以被從地址上轉移走。

（注意：Sui 驗證者反饋表示並沒有收到「要求」，Chaofan 後續也表示 Sui 驗證者目前沒有部署相關代碼。 ）

但是這顯然是不得已的特例，說明目前 Sui 的去中心化，有一個應急情況下的「開關」。 Sui 之所以能夠這樣，原因在於僅 100 出頭的驗證者數，並且多數驗證者都是與 Sui 基金會關係良好的機構，易於協調。 （Sui 驗證者需要自有或吸引超千萬枚 SUI 代幣的質押，通常只有機構擁有這樣的資金能力。 ）

筆者是支持這樣的做法的。 Cetus 是 Sui 上最大的去中心化 AMM 交易所，流動性池中是無數人的積蓄、賴以生存的資金。 同時，許多 Sui 專案代幣的主要流動性池都部署在 Cetus 上，流動性被撤對這些生態專案是難以承受的損失。 可以說，拿回這筆錢，是對之前正欣欣向榮發展但遠談不上成熟的 Sui DeFi 生態必要的保護。

如果說為了堅守「去中心化」的教條，寧願讓這一切毀掉的話，似乎屬於在乙太坊 The DAO 硬分叉后選擇堅守 ETC（乙太經典）的原教旨主義了。 筆者比較認可下面的觀點：去中心化是目標，而不是起點。 在目前階段，如果我追求極致的去中心化，我會選擇使用乙太坊。 而現在我為 Sui 能説明在 Cetus 中受損的使用者追回資金感到高興。

Sui 上 Bucket Protocol 創始人對事件的反思