Vào ngày 22 tháng 5, Cetus, giao thức DEX hàng đầu trong hệ sinh thái Sui, đã bị tin tặc tấn công. Một lỗ hổng xuất hiện trong hợp đồng cốt lõi của giao thức và kẻ tấn công đã lợi dụng cơ hội này để đánh cắp một lượng lớn tài sản. Sự cố đã thu hút sự chú ý rộng rãi trong một thời gian ngắn, không chỉ ảnh hưởng đến những người dùng liên quan mà còn khiến nhiều dự án của Sui phải chuyển sang trạng thái ứng phó khẩn cấp.
Nhưng những gì diễn ra sau đó không phải là sự khôi phục chuỗi hay sự can thiệp của siêu thẩm quyền, mà là một sự khởi đầu nhanh chóng: bỏ phiếu xác thực, đóng cửa dự án tự nguyện, đóng băng chuỗi tài sản, tự kiểm tra giao thức và nâng cấp... Toàn bộ quá trình cấu thành một bài tập thực sự về quản trị bảo mật tài chính trên chuỗi.
Tính đến thời điểm viết bài viết này, đã năm ngày trôi qua kể từ cuộc tấn công của tin tặc. Sự cố này đã gây ra tác động rộng rãi và làm dấy lên những cuộc thảo luận sôi nổi trong cộng đồng về "bảo mật trên chuỗi", "quản trị phi tập trung" và "ứng phó khẩn cấp về giao thức".
Bài viết này cố gắng giải thích: Lần này chính xác thì chuyện gì đã xảy ra? Trách nhiệm thuộc về ai? Hệ sinh thái của Sui phản ứng như thế nào? Chúng ta có thể học được gì từ điều này?
Cuộc tấn công diễn ra vào sáng ngày 22 tháng 5 năm 2025, nhắm vào nhóm thanh khoản CLMM của Cetus. Kẻ tấn công đã phát hiện ra lỗ hổng trong hợp đồng và sử dụng các giao dịch được xây dựng để trích xuất tài sản trong nhiều vòng hoạt động.
Quy trình cụ thể như sau:
Khoảng 10:30 UTC, cuộc tấn công bắt đầu. Tin tặc đã hạ giá trong nhóm thông qua các giao dịch bất thường, mở các vị thế thanh khoản ở vùng giá cao và khai thác lỗ hổng logic hợp đồng để đưa một lượng lớn thanh khoản "giả" bằng một lượng rất nhỏ mã thông báo.
Sau đó, tin tặc liên tục thực hiện lệnh "thêm/xóa thanh khoản" để rút tài sản thực tế khỏi nhóm.
Cuộc tấn công kéo dài khoảng 20 phút và một số hệ thống giám sát bắt đầu phát ra tiếng báo động.
40 phút sau cuộc tấn công
10:40 UTC, hệ thống giám sát của Cetus phát hiện hành vi bất thường của nhóm.
Vào lúc 10:53 UTC, nhóm Cetus đã xác nhận nguồn gốc của cuộc tấn công và thông báo cho các dự án khác trong hệ sinh thái Sui.
Vào lúc 10:57 UTC, Cetus đã ngay lập tức đóng nhóm thanh khoản cốt lõi để ngăn chặn tổn thất tiếp theo.
11:20 UTC, tất cả các hợp đồng có liên quan sẽ bị đình chỉ.
Phản ứng diễn ra nhanh chóng, nhưng tin tặc đã đánh cắp được một lượng lớn tiền.
Sau khi sự cố lan rộng, hệ sinh thái đã đưa ra phản ứng khẩn cấp trên quy mô lớn hơn:
Các trình xác thực Sui nhanh chóng bắt đầu hợp tác trên chuỗi và bỏ phiếu xem có nên từ chối đóng gói các giao dịch từ địa chỉ của tin tặc hay không;
Sau khi đạt ngưỡng staking 33%, địa chỉ của tin tặc đã bị đóng băng và các giao dịch không còn có thể được xử lý trên chuỗi.
Đây không phải là khôi phục hệ thống hoặc can thiệp nền, mà là hoạt động được trình xác thực thực hiện thông qua cơ chế đồng thuận. Trạng thái của chuỗi không bị thay đổi, giao dịch của người dùng không bị can thiệp và mọi thứ đều được hoàn thành dựa trên các quy tắc hiện có trên chuỗi.
Cái gọi là "hệ thống khôi phục" đề cập đến việc đưa trạng thái của toàn bộ mạng blockchain trở lại thời điểm nhất định trước cuộc tấn công, giống như quay ngược thời gian. Điều này thường có nghĩa là các giao dịch đã xác nhận sẽ bị xóa và lịch sử chuỗi sẽ được viết lại. "Can thiệp hậu trường" đề cập đến một cơ quan tập trung (như chủ dự án hoặc tổ chức) trực tiếp thao túng các nút hoặc quỹ và đưa ra quyết định xử lý bỏ qua các thủ tục thông thường.
Không có trường hợp nào trong số này xảy ra trong sự cố này. Người xác thực thực hiện việc đóng băng thông qua việc bỏ phiếu công khai và ra quyết định độc lập theo các quy tắc trên chuỗi, đây là hiện thân của quản trị phi tập trung.
Tình hình tài chính hiện tại thế nào?
Dữ liệu do Cetus công bố như sau:
Những tin tặc đã đánh cắp tổng cộng khoảng 230 triệu đô la Mỹ tài sản;
Trong số này, 160 triệu đô la Mỹ tài sản vẫn còn ở hai địa chỉ Sui bị đóng băng và không thể chuyển nhượng được nữa;
60 triệu đô la Mỹ tài sản đã được chuyển qua chuỗi sang Ethereum và hai địa chỉ đã biết vẫn đang được theo dõi.
Giao thức này đang thúc đẩy cộng đồng bỏ phiếu để quyết định cách trả lại tài sản và bồi thường.
Tại sao tai nạn xảy ra? Có phải vấn đề nằm ở chính sợi xích không? Hay đây là vấn đề lỗ hổng ở lớp ứng dụng?
Theo báo cáo của SlowMist và phân tích của các chuyên gia kỹ thuật, tất cả đều chỉ ra cùng một vấn đề:Nguyên nhân gốc rễ của sự cố nằm ở vấn đề với logic mã nguồn mở được sử dụng trong hợp đồng Cetus. Kẻ tấn công đã khai thác lỗi liên quan đến kiểm tra tràn dữ liệu trong hợp đồng lớp ứng dụng. Nếu lỗ hổng được phát hiện và khắc phục trước thì sẽ không có tổn thất nào xảy ra. Do đó, đây không phải là lỗ hổng trong ngôn ngữ lập trình Move.
Điều quan trọng không kém:Bản thân mạng Sui không bị tấn công và không gây ra rủi ro hệ thống nào.
Đây là "sự cố bảo mật lớp giao thức" tiêu chuẩn, không phải là sự cố bảo mật lớp chuỗi.
Sau khi Cetus bị đóng cửa, nhiều dự án trên Sui đã bắt đầu tiến hành tự kiểm tra bảo mật. Chúng tôi quan sát thấy giao thức Momentum cũng đã tạm dừng các giao dịch ngay khi cuộc tấn công xảy ra, hoàn tất kiểm toán mã toàn chuỗi và điều tra rủi ro, đồng thời khôi phục số tiền bị đánh cắp sau khi chúng bị đóng băng.
Là Dex hàng đầu trong hệ sinh thái Sui, Momentum Protocol đã ngừng giao dịch ngay lập tức và hợp tác với Sui Foundation để chặn số tiền bị đánh cắp nhằm ngăn chặn tin tặc phát tán số tiền này sang nhiều tài khoản tài sản giao dịch hơn thông qua các giao dịch Dex. Đồng thời, một cuộc tự kiểm tra toàn diện cũng được tiến hành. Sau khi kết quả tự kiểm tra là chính xác và sau khi xác nhận rằng số tiền bị đánh cắp đã được Quỹ Sui đóng băng thành công, chức năng giao dịch đã được khôi phục trước tiên.
Hiện tại:
Cetus đã hoàn tất bản sửa lỗi lỗ hổng cốt lõi và đang xem xét mã với nhóm kiểm toán;
Một kế hoạch bồi thường cho người dùng đang được xây dựng, một phần sẽ phụ thuộc vào quyết định bỏ phiếu của đề xuất quản trị sinh thái;
Các dự án Sui khác cũng đã tiếp tục hoạt động hoặc đang hoàn tất việc tăng cường bảo mật.
Toàn bộ hệ sinh thái không dừng lại. Thay vào đó, cơ chế an toàn đã được xem xét một cách có hệ thống hơn sau sự cố.
Sự việc này cho chúng ta biết điều gì?
Cuộc tấn công vào Cetus một lần nữa khiến tất cả những người xây dựng và người dùng phải đối mặt với một vấn đề thực tế:
Bảo mật giao thức dựa vào điều gì?
Câu trả lời ngày càng trở nên rõ ràng:
Tùy thuộc vào trí tuệ tập thể mà sự phân quyền mang lại, không lấy sự phân quyền làm cái cớ cho sự không hành động;
Tùy thuộc vào việc đầu tư có hệ thống liên tục, không phải một hoặc hai báo cáo kiểm toán;
Tùy thuộc vào các chế phẩm thông thường và xây dựng cơ chế, không chỉ các biện pháp khắc phục sau sự kiện;
Tùy thuộc vào thiện chí chịu trách nhiệm và hành động chủ động của mỗi người tham gia, thay vì đổ lỗi vấn đề cho "chuỗi" hoặc "công nghệ".
Chúng tôi thấy rằng tin tặc đã gây ra tổn thất, nhưng không phá hủy hệ thống;
Chúng ta cũng thấy rằng phi tập trung không phải là ẩn sau các quy tắc và đứng ngoài quan sát, mà là tự phát tập hợp lại với nhau để bảo vệ lợi nhuận và bảo vệ người dùng.
Phân cấp thực sự không phải là một khẩu hiệu, mà là một trách nhiệm
Không có vị cứu tinh nào trong cơn bão này.
Các trình xác thực Sui đã bỏ phiếu để đóng băng các giao dịch rủi ro; các giao thức khác đã hoàn tất việc tự kiểm tra bảo mật và một số đã nhanh chóng hoạt động trực tuyến trở lại; người dùng cũng đang chú ý và thúc đẩy cải tiến.
Phân quyền không phải là sự buông thả, mà là sự hợp tác có ranh giới, nguyên tắc và trách nhiệm.
Trong một hệ thống không có phần phụ trợ, sự tin cậy phải được hỗ trợ bởi mọi dòng mã, mọi cơ chế và mọi quyết định.
Sự cố này là một cuộc khủng hoảng, một thử nghiệm và một tấm gương phản chiếu.
Nó cho chúng ta biết:
Phân cấp không phải là mục tiêu mà là phương pháp. Mục tiêu là xây dựng lòng tin; sự phân quyền mang lại trí tuệ tập thể.
Sự phi tập trung là quan trọng, nhưng hiệu quả sử dụng vốn và bảo mật giao thức còn quan trọng hơn.
Cảnh sát Jeju đã bắt giữ bốn cá nhân có liên quan đến vụ cướp tiền điện tử gây tử vong của một nhà đầu tư Trung Quốc. Sự cố này nhấn mạnh mối đe dọa ngày càng tăng của các cuộc tấn công bạo lực vào các nhà đầu tư tiền điện tử do việc theo đuổi tài sản kỹ thuật số.
CatherineCảnh sát Hàn Quốc đang điều tra vụ giết người nghi liên quan đến tiền điện tử của một người đàn ông Trung Quốc tại một khách sạn sang trọng ở tỉnh Jeju. Theo hãng thông tấn Yonhap, các sĩ quan tin rằng vụ án có thể xảy ra trong một giao dịch trao đổi tiền điện tử.
XingChiBốn công dân nước ngoài đã bị bắt tại Thái Lan vì tội cướp vào ngày 8 tháng 11, khi họ ép một du khách người Ukraine, Viacheslav Leibov, chuyển 250.000 đô la Mỹ bằng tiền điện tử. Những nghi phạm, những người có mối quan hệ trước đó với nạn nhân, đã bị buộc tội cướp có vũ trang, giam giữ trái phép và cưỡng ép.
WeatherlyCộng đồng ApeCoin đang bỏ phiếu về đề xuất thành lập một khách sạn theo chủ đề APE ở Bangkok. Với gần 90% số phiếu ủng hộ và cuộc bỏ phiếu kết thúc vào ngày 31/7, liệu nó có bị gác lại?
KikyoCác nhà đầu tư có thể mua cổ phiếu token hóa của một khách sạn Hilton mới ở El Salvador trên Mạng Bitcoin Liquid, đánh dấu một cột mốc quan trọng trên thị trường vốn của đất nước.
WeiliangAurelien Michel, người tạo ra NFT "Mutant Ape Planet", nhận tội trước tòa án Hoa Kỳ vì lừa đảo các nhà đầu tư. Đối mặt với án tù 5 năm và đồng ý tịch thu 1,4 triệu USD.
Huang BoBuk Technology đang nỗ lực biến điều này thành hiện thực trong không gian du lịch bằng cách tạo ra một hệ sinh thái phân phối và thị trường thứ cấp cho việc đặt phòng khách sạn.
BitcoinworldKhông có con người, xin vui lòng, chỉ có bot. Khi đại dịch gần như kết thúc và mọi người lại tiếp tục cuộc sống hối hả và nhộn nhịp hàng ngày ở ngoài trời, du khách ...
BitcoinistKhách sạn Dubai, The Manor Hotel by JA hiện đang chấp nhận thanh toán bằng tiền điện tử. Sau khi hợp tác với Binance, giờ đây, khách có thể ...
Bitcoinist