Trung tâm
Trang chủ
Mới nhất
Hot
Thông tin chi tiết
Livestream
Tất cả
Phân tích Thị trường
Chủ đề quan trọng
Blockchain
Khác
Phòng trò chuyện
Lịch Tiền điện tử
Tin tức
Gate Blog
Thêm
Hướng dẫn cho người mới bắt đầu
Trang chủ
Mới nhất
Hot
Thông tin chi tiết
Đăng

SUI sinh thái độ bền vững thể hiện: Phản ánh an toàn sau cuộc tấn công Cetus và phân tích tiềm năng tăng lên lâu dài

FlashLoanLarryvip

Niềm tin kiên định sau cuộc khủng hoảng an ninh: Tại sao SUI vẫn có tiềm năng tăng lên lâu dài?

TL;DR

  1. Lỗ hổng Cetus xuất phát từ việc triển khai hợp đồng, chứ không phải từ SUI hoặc ngôn ngữ Move bản thân:

Cuộc tấn công này thực chất là do sự thiếu kiểm tra biên của các hàm số học trong giao thức Cetus------lỗi logic do mặt nạ quá rộng và tràn số bit gây ra, không liên quan đến mô hình an toàn tài nguyên của chuỗi SUI hoặc ngôn ngữ Move. Lỗ hổng có thể được sửa bằng "kiểm tra biên một dòng", và không ảnh hưởng đến an toàn cốt lõi của toàn bộ hệ sinh thái.

  1. Giá trị của "tập trung hợp lý" trong cơ chế SUI được thể hiện trong khủng hoảng:

Mặc dù SUI có xu hướng tập trung nhẹ với các chức năng như vòng quay xác thực DPoS và đóng băng danh sách đen, nhưng điều này lại phát huy tác dụng trong việc phản ứng với sự kiện CETUS: các xác thực viên nhanh chóng đồng bộ địa chỉ độc hại vào Danh sách từ chối, từ chối đóng gói các giao dịch liên quan, thực hiện việc đóng băng ngay lập tức hơn 160 triệu USD. Điều này về bản chất là một loại "chủ nghĩa Keynes trên chuỗi", điều chỉnh vĩ mô hiệu quả đã có tác động tích cực đến hệ thống kinh tế.

  1. Suy ngẫm và đề xuất về an toàn kỹ thuật:

Toán học và kiểm tra biên: Giới thiệu các khẳng định giới hạn trên và dưới cho tất cả các phép toán số học quan trọng (như dịch chuyển, nhân chia), và thực hiện fuzzing giá trị cực đoan và xác minh hình thức. Ngoài ra, cần tăng cường kiểm toán và giám sát: Bên cạnh kiểm toán mã thông thường, bổ sung đội ngũ kiểm toán toán học chuyên nghiệp và phát hiện hành vi giao dịch trên chuỗi theo thời gian thực, kịp thời phát hiện các phân tách bất thường hoặc khoản vay chớp nhoáng lớn;

  1. Tóm tắt và đề xuất về cơ chế bảo đảm vốn:

Trong sự kiện Cetus, SUI đã phối hợp hiệu quả với phía dự án, thành công đóng băng hơn 160 triệu USD quỹ và thúc đẩy kế hoạch bồi thường 100%, thể hiện sức mạnh ứng biến trên chuỗi và trách nhiệm sinh thái mạnh mẽ. Quỹ SUI cũng đã bổ sung 10 triệu USD cho quỹ kiểm toán, củng cố hàng rào an ninh. Trong tương lai, có thể tiếp tục thúc đẩy hệ thống theo dõi trên chuỗi, công cụ xây dựng an ninh cộng đồng, bảo hiểm phi tập trung và các cơ chế khác, hoàn thiện hệ thống bảo đảm quỹ.

  1. SUI sinh thái的多元扩张

SUI đã nhanh chóng thực hiện sự chuyển mình từ "chuỗi mới" thành "hệ sinh thái mạnh mẽ" trong chưa đầy hai năm, xây dựng một bản đồ hệ sinh thái đa dạng bao gồm stablecoin, DEX, cơ sở hạ tầng, DePIN, trò chơi và nhiều lĩnh vực khác. Tổng quy mô của stablecoin đã vượt qua 1 tỷ USD, cung cấp nền tảng thanh khoản vững chắc cho các mô-đun DeFi; TVL xếp hạng toàn cầu thứ 8, độ hoạt động giao dịch xếp thứ 5 toàn cầu, và thứ 3 trong các mạng không phải EVM (chỉ sau Bitcoin và Solana), cho thấy khả năng tham gia của người dùng và khả năng tích lũy tài sản mạnh mẽ.

1. Một chuỗi phản ứng do một cuộc tấn công gây ra

Vào ngày 22 tháng 5 năm 2025, giao thức AMM hàng đầu được triển khai trên mạng SUI là Cetus đã bị tấn công bởi hacker. Kẻ tấn công đã lợi dụng một lỗ hổng logic liên quan đến "vấn đề tràn số nguyên" để thực hiện các thao tác chính xác, dẫn đến thiệt hại hơn 200 triệu đô la tài sản. Sự kiện này không chỉ là một trong những sự cố an ninh lớn nhất trong lĩnh vực DeFi cho đến nay trong năm nay, mà còn trở thành cuộc tấn công hacker tàn phá nhất kể từ khi mạng chính SUI ra mắt.

Theo dữ liệu từ DefiLlama, TVL toàn chuỗi của SUI đã giảm mạnh hơn 3,3 triệu USD vào ngày xảy ra cuộc tấn công, số tiền khóa của giao thức Cetus còn bốc hơi 84% trong nháy mắt, giảm xuống còn 38 triệu USD. Bị ảnh hưởng liên quan, nhiều token hot trên SUI (bao gồm Lofi, Sudeng, Squirtle, v.v.) đã giảm từ 76% đến 97% chỉ trong vòng một giờ, gây ra sự quan tâm rộng rãi của thị trường về tính an toàn và sự ổn định của hệ sinh thái SUI.

Nhưng sau cơn sóng chấn động này, hệ sinh thái SUI đã thể hiện sức mạnh bền bỉ và khả năng phục hồi đáng kể. Mặc dù sự kiện Cetus đã mang lại sự dao động niềm tin trong ngắn hạn, nhưng tài chính trên chuỗi và sự hoạt động của người dùng không gặp phải sự suy giảm kéo dài, mà ngược lại, đã thúc đẩy toàn bộ hệ sinh thái nâng cao sự chú ý đối với an toàn, xây dựng cơ sở hạ tầng và chất lượng dự án.

Klein Labs sẽ tập trung vào nguyên nhân của sự kiện tấn công lần này, cơ chế đồng thuận của nút SUI, tính an toàn của ngôn ngữ MOVE và sự phát triển của hệ sinh thái SUI, để hệ thống hóa cấu trúc hệ sinh thái hiện tại của blockchain công khai còn đang ở giai đoạn phát triển sớm, và thảo luận về tiềm năng phát triển trong tương lai.

Niềm tin vững vàng sau cuộc khủng hoảng an ninh: Tại sao SUI vẫn có tiềm năng tăng lên lâu dài?

2. Phân tích nguyên nhân tấn công sự kiện Cetus

2.1 Quy trình thực hiện tấn công

Theo phân tích kỹ thuật của nhóm Slow Mist về sự kiện tấn công Cetus, hacker đã thành công khai thác một lỗ hổng tràn số học quan trọng trong giao thức, sử dụng vay chớp nhoáng, thao túng giá chính xác và lỗi hợp đồng, đã đánh cắp hơn 200 triệu USD tài sản kỹ thuật số trong thời gian ngắn. Đường tấn công có thể được chia thành ba giai đoạn chính như sau:

①Khởi động vay chớp nhoáng, thao túng giá

Tin tặc trước tiên đã lợi dụng độ trượt giá tối đa để hoán đổi 10 tỷ haSUI bằng cách sử dụng vay chớp nhoáng, vay ra một lượng lớn vốn để thao túng giá.

Cho vay chớp nhoáng cho phép người dùng vay và hoàn trả tiền trong cùng một giao dịch, chỉ cần trả phí dịch vụ, có đặc điểm đòn bẩy cao, rủi ro thấp, chi phí thấp. Tin tặc đã lợi dụng cơ chế này để kéo giảm giá thị trường trong thời gian ngắn và kiểm soát chính xác nó trong một khoảng hẹp.

Sau đó, kẻ tấn công chuẩn bị tạo ra một vị trí thanh khoản cực kỳ hẹp, đặt khoảng giá chính xác giữa mức giá thấp nhất là 300,000 và mức giá cao nhất là 300,200, với độ rộng giá chỉ là 1.00496621%.

Thông qua cách trên, hacker đã sử dụng số lượng token đủ lớn và thanh khoản khổng lồ để thành công thao túng giá haSUI. Sau đó, họ lại tiến hành thao túng một số token không có giá trị thực.

② Thêm tính thanh khoản

Kẻ tấn công tạo ra một vị thế thanh khoản hẹp, tuyên bố thêm thanh khoản, nhưng do lỗ hổng trong hàm checked_shlw, cuối cùng chỉ nhận được 1 token.

Về bản chất, điều này là do hai lý do:

  1. Thiết lập mặt nạ quá rộng: tương đương với một giới hạn thêm thanh khoản rất lớn, dẫn đến việc kiểm tra đầu vào của người dùng trong hợp đồng trở nên vô nghĩa. Tin tặc thông qua việc thiết lập tham số bất thường, cấu trúc đầu vào luôn nhỏ hơn giới hạn đó, từ đó vượt qua kiểm tra tràn.

  2. Dữ liệu tràn bị cắt: Khi thực hiện thao tác dịch chuyển n << 64 trên giá trị số n, do việc dịch chuyển vượt quá độ rộng bit hiệu quả của kiểu dữ liệu uint256 (256 bit), đã xảy ra việc cắt dữ liệu. Phần tràn ở bit cao bị tự động bỏ qua, dẫn đến kết quả phép toán thấp hơn nhiều so với dự kiến, khiến hệ thống đánh giá thấp số lượng haSUI cần thiết để đổi. Kết quả tính toán cuối cùng khoảng nhỏ hơn 1, nhưng do được làm tròn lên, cuối cùng tính ra bằng 1, tức là hacker chỉ cần thêm 1 token, có thể đổi ra một lượng thanh khoản khổng lồ.

③ Rút lui thanh khoản

Thực hiện hoàn trả khoản vay chớp nhoáng, giữ lại lợi nhuận khổng lồ. Cuối cùng rút tổng giá trị lên tới hàng trăm triệu đô la tài sản mã thông báo từ nhiều bể thanh khoản.

Tình trạng mất mát vốn nghiêm trọng, vụ tấn công đã dẫn đến việc sau đây bị đánh cắp:

  • 1290 triệu mã SUI (khoảng 5400 triệu USD)

  • 6000 triệu đô la USDC

  • 490 triệu USD Haedal Staked SUI

  • 1950 triệu USD TOILET

  • Các token khác như HIPPO và LOFI giảm từ 75--80%, thanh khoản cạn kiệt

Niềm tin vững chắc sau khủng hoảng an ninh: Tại sao SUI vẫn có tiềm năng tăng lên lâu dài?

2.2 Nguyên nhân và đặc điểm của lỗ hổng này

Lỗ hổng của Cetus lần này có ba đặc điểm:

  1. Chi phí sửa chữa cực kỳ thấp: Một mặt, nguyên nhân gốc rễ của sự cố Cetus là một sơ hở trong thư viện toán học Cetus, không phải là lỗi cơ chế giá của giao thức hay lỗi trong kiến trúc nền tảng. Mặt khác, lỗ hổng chỉ giới hạn trong chính Cetus, và không liên quan đến mã của SUI. Nguyên nhân của lỗ hổng nằm ở một điều kiện biên, chỉ cần sửa hai dòng mã là có thể loại bỏ hoàn toàn rủi ro; sau khi sửa xong có thể ngay lập tức triển khai lên mạng chính, đảm bảo logic hợp đồng sau này hoàn chỉnh, ngăn chặn lỗ hổng này.

  2. Tính ẩn danh cao: Hợp đồng đã hoạt động ổn định không gặp sự cố trong hai năm, Cetus Protocol đã thực hiện nhiều cuộc kiểm toán, nhưng không phát hiện ra lỗ hổng, lý do chính là thư viện Integer_Mate dùng cho tính toán toán học không được đưa vào phạm vi kiểm toán.

Tin tặc sử dụng giá trị cực đoan để chính xác xây dựng khoảng giao dịch, tạo ra các tình huống hiếm gặp với tính thanh khoản cực cao, mới kích hoạt logic bất thường, cho thấy những vấn đề này khó có thể phát hiện qua các bài kiểm tra thông thường. Những vấn đề này thường nằm trong vùng mù của tầm nhìn con người, vì vậy chúng đã tiềm ẩn một thời gian dài trước khi được phát hiện,

  1. Không phải vấn đề riêng của Move:

Move vượt trội hơn nhiều ngôn ngữ hợp đồng thông minh về an toàn tài nguyên và kiểm tra kiểu, được tích hợp kiểm tra gốc cho vấn đề tràn số nguyên trong các tình huống phổ biến. Lần tràn này xảy ra do việc thêm tính thanh khoản khi tính toán số lượng token cần thiết, trước tiên đã sử dụng sai giá trị để kiểm tra giới hạn, và đã thay thế phép nhân thông thường bằng phép dịch bit, trong khi nếu là phép cộng, trừ, nhân, chia thông thường thì Move sẽ tự động kiểm tra tình trạng tràn, sẽ không xảy ra vấn đề cắt bớt bit cao như vậy.

Các lỗ hổng tương tự cũng đã xuất hiện trên các ngôn ngữ khác (như Solidity, Rust), thậm chí vì thiếu bảo vệ tràn số nguyên mà dễ bị khai thác hơn; trước khi cập nhật phiên bản Solidity, việc kiểm tra tràn số rất yếu. Trong lịch sử đã xảy ra tràn số trong phép cộng, phép trừ, phép nhân, nguyên nhân trực tiếp đều là do kết quả phép toán vượt quá giới hạn. Ví dụ, các lỗ hổng trong hai hợp đồng thông minh BEC và SMT của ngôn ngữ Solidity đều đã vượt qua các câu lệnh kiểm tra trong hợp đồng bằng cách sử dụng các tham số được xây dựng cẩn thận, thực hiện chuyển tiền thừa để tấn công.

Niềm tin kiên định sau khủng hoảng an ninh: Tại sao SUI vẫn có tiềm năng tăng lên lâu dài?

3. Cơ chế đồng thuận của SUI

3.1 Giới thiệu về cơ chế đồng thuận SUI

Tổng quan:

SUI áp dụng khung ủy quyền chứng minh quyền sở hữu (DeleGated Proof of Stake, viết tắt là DPoS), mặc dù cơ chế DPoS có thể cải thiện thông lượng giao dịch, nhưng không thể cung cấp mức độ phi tập trung cao như PoW (chứng minh công việc). Do đó, mức độ phi tập trung của SUI tương đối thấp, ngưỡng quản trị tương đối cao, người dùng bình thường khó có thể trực tiếp ảnh hưởng đến quản trị mạng.

  • Số lượng người xác minh trung bình: 106

  • Thời gian trung bình của Epoch: 24 giờ

Cơ chế quy trình:

  • Ủy thác quyền lợi: Người dùng thông thường không cần tự vận hành nút, chỉ cần đặt cọc SUI và ủy thác cho các ứng viên xác thực, có thể tham gia đảm bảo an ninh mạng và phân phối phần thưởng. Cơ chế này có thể giảm bớt rào cản tham gia của người dùng thông thường, giúp họ có thể tham gia đồng thuận mạng thông qua việc "thuê" các xác thực viên đáng tin cậy. Đây cũng là một trong những lợi thế lớn của DPoS so với PoS truyền thống.

  • Đại diện cho vòng tạo khối: Một số ít các xác thực viên được chọn theo thứ tự cố định hoặc ngẫu nhiên để tạo khối, nâng cao tốc độ xác nhận và tăng lên TPS.

  • Bầu cử động: Sau mỗi chu kỳ kiểm phiếu, dựa trên trọng số bỏ phiếu, tiến hành luân chuyển động, bầu lại tập hợp các Validator, đảm bảo tính năng động của nút, nhất quán lợi ích và phi tập trung.

Lợi thế của DPoS:

  • Hiệu suất cao: Do số lượng nút xuất khối có thể kiểm soát, mạng có thể hoàn thành xác nhận trong mili giây, đáp ứng nhu cầu TPS cao.

  • Chi phí thấp: Số lượng nút tham gia đồng thuận ít hơn, băng thông mạng và tài nguyên tính toán cần thiết cho việc đồng bộ thông tin và tổng hợp chữ ký giảm đáng kể. Do đó, chi phí phần cứng và vận hành giảm, yêu cầu về sức mạnh tính toán giảm, chi phí thấp hơn. Cuối cùng, đã đạt được mức phí giao dịch người dùng thấp hơn.

  • An toàn cao: Cơ chế đặt cọc và ủy thác làm tăng đồng thời chi phí và rủi ro của cuộc tấn công; kết hợp với cơ chế tịch thu trên chuỗi, hiệu quả ngăn chặn hành vi xấu.

Đồng thời, trong cơ chế đồng thuận của SUI, đã áp dụng thuật toán dựa trên BFT (tolerance Byzantine), yêu cầu hơn hai phần ba số người xác thực phải đạt được sự đồng thuận để xác nhận giao dịch. Cơ chế này đảm bảo ngay cả khi một số nút hoạt động sai trái, mạng vẫn có thể duy trì hoạt động an toàn và hiệu quả. Khi thực hiện bất kỳ nâng cấp hoặc quyết định quan trọng nào, cũng cần phải có hơn hai phần ba số phiếu bầu mới có thể thực hiện.

Về bản chất, DPoS thực sự là một giải pháp thỏa hiệp cho tam giác không thể, thực hiện sự thỏa hiệp giữa phi tập trung và hiệu quả. DPoS trong "tam giác không thể" của an toàn - phi tập trung - khả năng mở rộng, chọn giảm số lượng nút xuất khối hoạt động để đổi lấy hiệu suất cao hơn, so với PoS hoặc PoW thuần túy đã từ bỏ một mức độ phi tập trung hoàn toàn, nhưng đã nâng cao đáng kể khả năng thông lượng mạng và tốc độ giao dịch.

Niềm tin kiên định sau khủng hoảng an ninh: Tại sao SUI vẫn có tiềm năng tăng lên lâu dài?

3.2 Trong cuộc tấn công này, SUI đã có sự tăng lên.

Cơ chế đóng băng hoạt động 3.2.1

sự kiện này

Xem bản gốc
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
  • Phần thưởng
  • 6
  • Chia sẻ
Bình luận
0/400
ser_ngmivip
· 07-11 22:04
Dùng cách cũ là được
Xem bản gốcTrả lời0
RiddleMastervip
· 07-10 12:18
SUI rất mạnh sẽ phục hồi
Xem bản gốcTrả lời0
MidnightGenesisvip
· 07-10 12:16
Đức tin cứu rỗi mọi thứ
Xem bản gốcTrả lời0
BackrowObservervip
· 07-10 12:16
Chuỗi an vẫn có chỗ trống để tiếp nhận.
Xem bản gốcTrả lời0
FOMOSapienvip
· 07-10 12:10
SUI干漆小霸王
Trả lời0
GasBankruptervip
· 07-10 12:01
coin thì phải giảm từ từ mua
Xem bản gốcTrả lời0
  • Ghim
sơ đồ trang web
Giao dịch tiền điện tử mọi lúc mọi nơi
qrCode
Quét để tải xuống ứng dụng Gate
Cộng đồng
Tiếng Việt
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)
    • Về chúng tôiCơ hội nghề nghiệpPhòng tin tứcĐối tácThoả thuận người dùngCảnh báo rủi roChính sách bảo mậtChính sách CookiePhương tiện truyền thôngBằng chứng 100% dự trữGiấy phépBảo mậtGateToken (GT)Gate ChainLịchThực thi pháp luậtHội nghị thượng đỉnhGate Ventures
    Mua coinBán coinGiao dịch giao ngayGiao dịch FuturesGiao dịch ký quỹToken đòn bẩyNFTGate PayGate LifeThẻ quà tặngGate OTCGate CharityThẻ GateGate ShopHODL & EarnVay Crypto
    Lợi ích VIPTổ chứcĐề xuất & Phản hồiThông báoTiêu chuẩn thu phíTrung tâm hỗ trợGửi yêu cầu hỗ trợĐăng ký niêm yết coinBảo mật hợp đồngTrung tâm phát triểnXác minh kênh chính thức Đăng ký thương gia P2PĐăng ký Blue V P2PChương trình Affiliate Lịch Tiền điện tửGiải pháp chuỗi chéo
    Gate LearnKhóa học về tiền điện tửThuật ngữ về tiền điện tửThị trường tiền điện tửBig DataBitcoin HalvingCrypto Wiki
    Gate © 2013-2025.