Cetus 真的「追回」1.6 亿美元被盗资金了吗？

撰文：Alex Liu，Foresight News

Sui 生态最大的去中心化 AMM 交易所 Cetus 于昨日因数值精度的代码问题被攻击者虚构流动性盗走了超 2 亿美元。

被盗 2 小时后，Cetus 发文表示：「截止目前已确认一名攻击者从 Cetus 协议窃取了约 2.23 亿美元，团队采取行动锁定了合约，以防止进一步的资金盗窃，已冻结1.62 亿美元的被盗资金。目前正在与 Sui 基金会及其他生态系统成员合作，制定下一步解决方案，目标是追回剩余的被盗资金。大部分受影响的资金已暂停使用，我们正在积极寻求恢复剩余资金的途径。完整的事件报告将稍后公布。」

需要注意的是，此处的用词是「冻结」而非「追回」。也就是说，这笔资金是否能拿回补偿受损用户，还是未知数。而 Sui 官方更详细的说明了该过程。

除去黑客跨链到以太坊主网并兑换为超两万枚 ETH 的资金（约 6000 万美元）外，多数被盗资金仍在黑客的 Sui 链地址中。而该部分资产的「冻结」，实质上是 Sui 的验证者联合起来「审查（censor）」了相关地址——大家约定好了无视他。

客观来说，这违背了去中心化世界「抗审查（Censorship Resistant）」的准则，属于中心化的操作，已经在社区引发了极大的争议。

而这笔钱在「冻结」后如何拿回来呢？Sui 联创提到将恢复的资金放回 Cetus 流动性池，基于能拿回这笔钱的前提。

简单点讲：「冻结」是让黑客在 Sui 链上的签名无效，交易无法上链，资金困在地址中；那么「追回」需要的是无需黑客的签名，就将他地址中的资产转移走。这是可能做到的吗？

事实上，Solayer 的工程师 Chaofan 表示 Sui 团队已经在要求每一个 Sui 上的验证者部署一段修复代码，以便让他们可以在攻击者不签名的情况下「追回」这笔钱。这显然是中心化的，激起了社区更大的争论 —— 在你没有签名的情况下，资产就可以被从地址上转移走。

（注意：Sui 验证者反馈表示并没有收到「要求」，Chaofan 后续也表示 Sui 验证者目前没有部署相关代码。）

但是这显然是不得已的特例，说明目前 Sui 的去中心化，有一个应急情况下的「开关」。Sui 之所以能够这样，原因在于仅 100 出头的验证者数，并且多数验证者都是与 Sui 基金会关系良好的机构，易于协调。（Sui 验证者需要自有或吸引超千万枚 SUI 代币的质押，通常只有机构拥有这样的资金能力。）

笔者是支持这样的做法的。Cetus 是 Sui 上最大的去中心化 AMM 交易所，流动性池中是无数人的积蓄、赖以生存的资金。同时，许多 Sui 项目代币的主要流动性池都部署在 Cetus 上，流动性被撤对这些生态项目是难以承受的损失。可以说，拿回这笔钱，是对之前正欣欣向荣发展但远谈不上成熟的 Sui DeFi 生态必要的保护。

如果说为了坚守「去中心化」的教条，宁愿让这一切毁掉的话，似乎属于在以太坊 The DAO 硬分叉后选择坚守 ETC（以太经典）的原教旨主义了。笔者比较认可下面的观点：去中心化是目标，而不是起点。在目前阶段，如果我追求极致的去中心化，我会选择使用以太坊。而现在我为 Sui 能帮助在 Cetus 中受损的用户追回资金感到高兴。

Sui 上 Bucket Protocol 创始人对事件的反思