作者chcony (廢文公子)
看板DigiCurrency
標題[閒聊] SUI開大招「無私鑰轉帳」搶回駭客資金
時間Sat May 31 10:05:04 2025
https://x.com/CetusProtocol/status/1928184814118785511
https://x.com/MaxCryptoSpace/status/1928239221195821525
GPT解說:
一、事件背景與動機
2025年5月,Cetus 的集中式流動性市場(CLMM)智能合約遭駭,
約2.23億美元資金被轉出並流向兩個駭客控制地址。
Sui 驗證者迅速將這兩個地址凍結,但因無法取得私鑰,資金仍無法合法返還。
為了保護用戶利益、維護生態信任,Cetus 與 Sui 核心團隊決定採取底層治理干預,
嘗試在不分叉的情況下,透過鏈上機制一次性奪回資金。
二、關鍵技術:別名地址與一次性交易
1.別名地址(Aliased Address)機制
在 Sui 協議層面,為每個被凍結的駭客地址建立一個「別名地址」,
並預先綁定一筆只能執行一次的歸還交易,
將該地址中所有資產一次性轉入多重簽名信托
(由 Cetus、OtterSec、Sui 基金會共同管理)。
別名地址完成這筆交易後即自動失效,確保無法重複呼叫或濫用,
並保留全程透明、可審計的鏈上記錄。
2.一次性交易安全保障
系統在升級後自動執行,不需駭客私鑰。
任何嘗試對該地址做其他操作皆會被拒絕。
透過多重簽名信托,
集中分配給受影響流動性提供者(LP)與後續補償合約的資金來源,避免單點風險。
三、鏈上治理流程與投票
1.提案發起
Cetus 聯合 Sui 基金會、OtterSec 與安全審計團隊起草鏈上提案,
內容包含:
L1 層升級引入別名地址與一次性交易邏輯;
歸還資金至 Cetus–OtterSec–Sui 基金會多簽信托;
僅執行一次且不可重複。
2.投票機制
所有 Sui 驗證者皆可參與投票,Sui 基金會保持中立不投票。
需超過50%質押權益參與,且贊成票數多於反對票;
駁回率不影響結果。
3.投票結果
提案發起後短短48小時內,超過90%的驗證者投下贊成票,順利通過。
隨即在主網執行升級,兩個凍結地址觸發別名地址交易,
將約2.23億美元資金一次性轉至多重簽名信托,成功「搶回」駭客資金。
透過別名地址與一次性交易技術,
Sui 生態在不分叉的前提下,
以 L1 級治理干預完成「無私鑰轉帳」,
讓受影響用戶得以拿回資金,
並為未來類似事件提供了可複製的治理範例。
==========================================
以後沒有駭客想盜SUI了
嘻嘻
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.170.12.173 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/DigiCurrency/M.1748657108.A.7D5.html
1F:推 lnonai: 驗證者投票看似是個好機制,但是當鏈上資金在成長一百倍 05/31 11:39
2F:→ lnonai: 、一千倍,你能保證驗證者不會集體作惡嗎 05/31 11:39
3F:推 vincent0628: 同意樓上,這不是解法 05/31 12:16
4F:推 DarkerDuck: 中本聰設計的PoW最終還是證實為最去中心化的機制 05/31 12:17
5F:→ DarkerDuck: 當初中本聰設計的時候就有三個不同的各自利益群體 05/31 12:18
6F:→ DarkerDuck: 開發者是仁慈的獨裁者,只為自己的理想做開發 05/31 12:19
7F:→ DarkerDuck: (直到Blockstream木馬屠城前) 05/31 12:19
8F:→ DarkerDuck: 礦工則是只追尋利益的打工仔,甚至不管啥政府壓力 05/31 12:20
9F:→ DarkerDuck: 因此區塊鏈的運作才可以保證permissionless 05/31 12:20
10F:→ DarkerDuck: (直到政府也下來挖礦) 05/31 12:21
11F:→ DarkerDuck: 社群則是只追尋最好用電子現金的使用者 05/31 12:23
12F:→ DarkerDuck: 好用可以口耳相傳,病毒式增長直到感染全世界 05/31 12:23
13F:→ DarkerDuck: (直到被KYC/AML阻止,變成有錢人的賭博籌碼) 05/31 12:24
14F:→ DarkerDuck: 看看現在的幣都幾乎不發甚至不炒PoW幣就知道了 05/31 12:26
15F:→ DarkerDuck: 莊家就不愛PoW幣,BTC的Permissionless PoW壽命也不久 05/31 12:27
16F:→ DarkerDuck: 當初中本聰設計的三個不同利益族群 05/31 12:28
17F:→ DarkerDuck: 未來可以追尋同一個利益,或者是同時放棄 05/31 12:28
18F:推 ripple0129: 這根本短多長空的操作 05/31 12:46
19F:→ DarkerDuck: 啊~~~還少講一個PoW最棒的地方,就是在於有物理意義 05/31 12:58
20F:→ DarkerDuck: BTC maxi最愛講啥code is law,但真正的physical law 05/31 12:59
21F:推 DarkerDuck: 是熵增定理,熵增代表了唯一放諸宇宙皆準的物理箭頭 05/31 12:59
22F:→ DarkerDuck: 我當初看中本聰的論文的時候一直不明白第三節 05/31 13:01
23F:→ DarkerDuck: 時間戳伺服器,我覺得這思想也太跳躍了吧 05/31 13:01
24F:→ DarkerDuck: 端詳了好一段時間才發現這才是真正天才的思考 05/31 13:04
25F:→ DarkerDuck: 在人造的電子空間中利用熵增重建物理的時間箭頭 05/31 13:04
26F:→ DarkerDuck: 可惜這些天才巧思未來都會變成Pneumatic tube 05/31 13:06
28F:推 JaccWu: 往好處講 就是投票過了 想對駭客的資金怎麼樣都可以 05/31 13:15
29F:→ JaccWu: 往壞處講 只要投票過了 想對任何人的資金怎麼樣都可以 05/31 13:16
30F:推 nkc731210: 看看最近的幣價吧! 水鏈到此結束了。 05/31 13:35
31F:推 gajo1564: 所以說取回才是真正的考驗 這簡單粗暴 但放棄了規則 05/31 15:48
32F:→ gajo1564: 本來還想想也許可拿本就非流通的國庫sui借cetus補坑 至 05/31 15:57
33F:→ gajo1564: 少規則上是通的 國庫不夠用也幾年後的事 看來我想多了 05/31 15:57
34F:→ redsunflower: 利多啊 兄弟 幹進去 05/31 17:37
35F:推 john371911: 是不是簡單説,就像以前乙太Dao事件回滾? 05/31 20:12
36F:推 mithuang: 短多長空,這樣搞真正的大資金不會想進來的 05/31 23:46
37F:推 rupcj8: 笑死了什麼垃圾鏈 06/01 12:27
38F:→ dali17dali17: 不就跟資料庫87%像 06/01 14:14
39F:推 yobdc3692581: 這什麼共產鏈 06/01 19:56
40F:推 QMO220: 到底誰會相信這種垃圾東西 06/01 23:04
41F:推 andy7829: It's my key, not my coin. 06/02 12:18