Niềm tin kiên định sau cuộc khủng hoảng an ninh: Tại sao SUI vẫn có tiềm năng tăng lên lâu dài?

TL;DR

1. Lỗ hổng Cetus xuất phát từ việc thực hiện hợp đồng, chứ không phải từ SUI hoặc ngôn ngữ Move.

Cuộc tấn công này chủ yếu là do sự thiếu kiểm tra biên trong các hàm số học của giao thức Cetus------lỗ hổng logic do mặt nạ quá rộng và tràn bit gây ra, không liên quan đến mô hình an toàn tài nguyên của chuỗi SUI hoặc ngôn ngữ Move. Lỗi này có thể được sửa bằng "kiểm tra biên một dòng" và không ảnh hưởng đến an toàn cốt lõi của toàn bộ hệ sinh thái.

2. Giá trị của "tâm trung hợp lý" trong cơ chế SUI được thể hiện trong khủng hoảng:

Mặc dù SUI có xu hướng tập trung nhẹ với các chức năng như lượt xác thực DPoS và danh sách đen đóng băng, nhưng điều này lại hữu ích trong phản ứng sự kiện CETUS: các xác thực viên nhanh chóng đồng bộ hóa địa chỉ độc hại vào Danh sách từ chối, từ chối đóng gói các giao dịch liên quan, thực hiện việc đóng băng tức thì hơn 160 triệu USD. Điều này về bản chất là một hình thức "Keynesian trên chuỗi" tích cực, hiệu quả của việc điều chỉnh vĩ mô đã có tác động tích cực đến hệ thống kinh tế.

3. Suy ngẫm và đề xuất về an ninh kỹ thuật:

Toán học và kiểm tra biên: Đưa ra các tuyên bố giới hạn trên và dưới cho tất cả các phép toán số học chính (như dịch chuyển, nhân chia), và thực hiện fuzzing giá trị cực và xác minh hình thức. Hơn nữa, cần tăng cường kiểm toán và giám sát: Ngoài việc kiểm toán mã thông thường, cần bổ sung đội ngũ kiểm toán toán học chuyên nghiệp và phát hiện hành vi giao dịch trên chuỗi theo thời gian thực, nhằm phát hiện sớm các phân tách bất thường hoặc khoản vay chớp nhoáng lớn.

4. Tóm tắt và đề xuất về cơ chế bảo đảm tài chính:

Trong sự kiện Cetus, SUI đã phối hợp hiệu quả với các bên dự án, thành công trong việc đóng băng hơn 160 triệu đô la Mỹ và thúc đẩy kế hoạch bồi thường 100%, thể hiện sức mạnh phản ứng trên chuỗi và trách nhiệm sinh thái mạnh mẽ. Quỹ SUI cũng đã bổ sung 10 triệu đô la Mỹ cho quỹ kiểm toán, củng cố hàng rào an ninh. Trong tương lai, có thể tiếp tục thúc đẩy hệ thống theo dõi trên chuỗi, công cụ an toàn cộng đồng, bảo hiểm phi tập trung và các cơ chế khác, hoàn thiện hệ thống bảo đảm quỹ.

5. Mở rộng đa dạng hệ sinh thái SUI

SUI đã nhanh chóng thực hiện sự chuyển mình từ "chuỗi mới" đến "hệ sinh thái mạnh" trong chưa đầy hai năm, xây dựng một bức tranh hệ sinh thái đa dạng bao gồm các lĩnh vực như stablecoin, DEX, hạ tầng, DePIN, trò chơi, v.v. Tổng quy mô stablecoin vượt qua 1 tỷ USD, cung cấp nền tảng thanh khoản vững chắc cho các mô-đun DeFi; TVL xếp hạng toàn cầu thứ 8, độ hoạt động giao dịch xếp thứ 5 toàn cầu, và đứng thứ 3 trong các mạng không phải EVM (chỉ sau Bitcoin và Solana), cho thấy sức mạnh tham gia của người dùng và khả năng tích lũy tài sản mạnh mẽ.

1. Phản ứng dây chuyền do một cuộc tấn công gây ra

Vào ngày 22 tháng 5 năm 2025, giao thức AMM hàng đầu Cetus triển khai trên mạng SUI đã遭遇 một cuộc tấn công của hacker. Kẻ tấn công đã lợi dụng một lỗ hổng logic liên quan đến "vấn đề tràn số nguyên" để thực hiện thao tác chính xác, dẫn đến thiệt hại tài sản trên 200 triệu USD. Sự kiện này không chỉ là một trong những vụ tai nạn an ninh lớn nhất trong lĩnh vực DeFi cho đến nay trong năm nay, mà còn trở thành cuộc tấn công của hacker gây thiệt hại nhiều nhất kể từ khi mạng chính SUI ra mắt.

Theo dữ liệu của DefiLlama, TVL toàn chuỗi SUI đã một lần giảm mạnh hơn 330 triệu đô la vào ngày xảy ra cuộc tấn công, số tiền khóa của giao thức Cetus thậm chí đã bốc hơi 84% chỉ trong chốc lát, giảm xuống còn 38 triệu đô la. Do ảnh hưởng dây chuyền, nhiều đồng tiền nóng trên SUI (bao gồm Lofi, Sudeng, Squirtle, v.v.) đã giảm từ 76% đến 97% chỉ trong vòng một giờ, gây ra sự quan tâm rộng rãi của thị trường đối với tính an toàn và sự ổn định của hệ sinh thái SUI.

Nhưng sau làn sóng chấn động này, hệ sinh thái SUI đã thể hiện sức mạnh bền bỉ và khả năng phục hồi mạnh mẽ. Mặc dù sự kiện Cetus đã gây ra sự biến động về niềm tin trong thời gian ngắn, nhưng vốn trên chuỗi và mức độ hoạt động của người dùng không gặp phải sự suy giảm kéo dài, trái lại, nó đã thúc đẩy sự chú ý của toàn bộ hệ sinh thái đối với tính an toàn, xây dựng cơ sở hạ tầng và chất lượng dự án tăng lên rõ rệt.

Klein Labs sẽ xem xét nguyên nhân của sự cố tấn công này, cơ chế đồng thuận của nút SUI, tính bảo mật của ngôn ngữ MOVE và sự phát triển của hệ sinh thái SUI, nhằm phân tích cấu trúc hệ sinh thái hiện tại của chuỗi công khai này vẫn đang trong giai đoạn phát triển sớm, và thảo luận về tiềm năng phát triển trong tương lai.

2. Phân tích nguyên nhân tấn công sự kiện Cetus

2.1 Quy trình thực hiện tấn công

Theo phân tích kỹ thuật của đội ngũ Slow Mist về sự cố tấn công Cetus, tin tặc đã thành công trong việc khai thác một lỗ hổng tràn số học quan trọng trong giao thức, nhờ vào việc vay mượn tức thì, thao túng giá chính xác và khuyết điểm hợp đồng, đã đánh cắp hơn 200 triệu đô la tài sản số trong một thời gian ngắn. Đường tấn công có thể được chia thành ba giai đoạn chính:

①Khởi động vay chớp nhoáng, thao túng giá cả

Tin tặc trước tiên tận dụng trượt giá tối đa để hoán đổi 100 tỷ haSUI qua vay chớp nhoáng, vay ra một lượng lớn vốn, tiến hành thao túng giá cả.

Flash loan cho phép người dùng vay và trả lại tiền trong cùng một giao dịch, chỉ cần trả phí dịch vụ, với đặc tính đòn bẩy cao, rủi ro thấp và chi phí thấp. Hacker đã lợi dụng cơ chế này để hạ thấp giá thị trường trong thời gian ngắn và kiểm soát chính xác nó trong một khoảng hẹp.

Sau đó, kẻ tấn công chuẩn bị tạo ra một vị thế thanh khoản cực kỳ hẹp, xác định chính xác khoảng giá từ mức giá thấp nhất 300,000 (và mức giá cao nhất 300,200) với độ rộng giá chỉ là 1.00496621%.

Thông qua cách trên, hacker đã sử dụng đủ số lượng token lớn và thanh khoản khổng lồ, thành công thao túng giá haSUI. Sau đó, họ tiếp tục thao túng một vài token không có giá trị thực.

②Thêm tính thanh khoản

Kẻ tấn công tạo ra các vị trí thanh khoản hẹp, tuyên bố thêm thanh khoản, nhưng do hàm checked_shlw có lỗ hổng, cuối cùng chỉ thu được 1 token.

Về bản chất là do hai lý do:

1. Cài đặt mặt nạ quá rộng: tương đương với một giới hạn thêm thanh khoản cực lớn, dẫn đến việc kiểm tra đầu vào của người dùng trong hợp đồng trở nên vô nghĩa. Hacker đã thiết lập các tham số bất thường, tạo đầu vào luôn nhỏ hơn giới hạn đó, từ đó vượt qua kiểm tra tràn.

2. Dữ liệu tràn bị cắt: Khi thực hiện thao tác dịch n < < 64 trên giá trị số n, do dịch vượt quá độ rộng bit hợp lệ của kiểu dữ liệu uint256 (256 bit), đã xảy ra cắt dữ liệu. Phần tràn cao bị tự động bỏ qua, dẫn đến kết quả phép toán thấp hơn mong đợi, khiến hệ thống đánh giá thấp số lượng haSUI cần thiết để trao đổi. Kết quả tính toán cuối cùng khoảng dưới 1, nhưng do làm tròn lên, cuối cùng tính ra bằng 1, tức là hacker chỉ cần thêm 1 mã thông báo, thì có thể đổi lấy thanh khoản khổng lồ.

③Rút thanh khoản

Thực hiện việc trả nợ chớp nhoáng, giữ lại lợi nhuận khổng lồ. Cuối cùng, rút tổng giá trị lên tới hàng trăm triệu đô la từ nhiều hồ thanh khoản.

Tình hình thiệt hại tài chính nghiêm trọng, cuộc tấn công đã dẫn đến việc các tài sản sau đây bị đánh cắp:

• 12,9 triệu SUI (khoảng 54 triệu USD)

• 6000 triệu đô la USDC

• 490 triệu đô la Haedal Staked SUI

• 1950 triệu USD TOILET

• Các token khác như HIPPO và LOFI giảm 75--80%, thanh khoản cạn kiệt

2.2 Nguyên nhân và đặc điểm của lỗ hổng lần này

Lỗ hổng của Cetus có ba đặc điểm:

1. Chi phí sửa chữa cực kỳ thấp: Một mặt, nguyên nhân cơ bản của sự kiện Cetus là một thiếu sót trong thư viện toán Cetus, chứ không phải là lỗi trong cơ chế giá của giao thức, hay lỗi trong kiến trúc cơ sở. Mặt khác, lỗ hổng chỉ giới hạn trong Cetus, và không liên quan đến mã của SUI. Nguyên nhân của lỗ hổng nằm ở một điều kiện biên, chỉ cần sửa hai dòng mã là có thể loại bỏ hoàn toàn rủi ro; sau khi sửa xong có thể ngay lập tức triển khai lên mạng chính, đảm bảo logic hợp đồng sau này hoàn chỉnh, ngăn chặn lỗ hổng đó.

2. Tính ẩn giấu cao: Hợp đồng đã hoạt động ổn định không gặp sự cố trong hai năm, Cetus Protocol đã thực hiện nhiều lần kiểm toán, nhưng không phát hiện ra lỗ hổng, lý do chính là thư viện Integer_Mate được sử dụng cho tính toán toán học không nằm trong phạm vi kiểm toán.

Tin tặc đã lợi dụng giá trị cực đoan để cấu trúc chính xác khoảng giao dịch, tạo ra những tình huống rất hiếm gặp với tính thanh khoản cực cao, từ đó kích hoạt logic bất thường, cho thấy những vấn đề như vậy khó có thể phát hiện qua các bài kiểm tra thông thường. Những vấn đề này thường nằm trong vùng mù của tầm nhìn con người, vì vậy chúng đã tồn tại một thời gian dài trước khi được phát hiện.

3. Không phải vấn đề độc quyền của Move:

Move vượt trội hơn nhiều ngôn ngữ hợp đồng thông minh về bảo mật tài nguyên và kiểm tra kiểu, tích hợp kiểm tra gốc cho vấn đề tràn số nguyên trong các tình huống phổ biến. Lần tràn số này xảy ra do khi thêm tính thanh khoản, trong việc tính toán số lượng mã thông báo cần thiết, trước tiên đã sử dụng giá trị sai để kiểm tra giới hạn trên, và thay thế phép nhân thông thường bằng phép dịch bit, trong khi nếu là phép cộng, trừ, nhân, chia thông thường thì trong Move sẽ tự động kiểm tra tình huống tràn số, sẽ không xảy ra vấn đề cắt bớt bit cao như vậy.

Các lỗ hổng tương tự đã xuất hiện trong các ngôn ngữ khác (như Solidity, Rust) và thậm chí dễ bị khai thác hơn do thiếu bảo vệ tràn số nguyên; trước khi cập nhật phiên bản Solidity, việc kiểm tra tràn số rất yếu. Trong lịch sử, đã xảy ra tràn số trong phép cộng, trừ, nhân, nguyên nhân trực tiếp đều là do kết quả phép tính vượt quá giới hạn. Ví dụ, lỗ hổng trên hai hợp đồng thông minh BEC và SMT của ngôn ngữ Solidity đã bị khai thác thông qua các tham số được xây dựng cẩn thận, vượt qua các câu lệnh kiểm tra trong hợp đồng, thực hiện chuyển khoản vượt mức để tấn công.

3. Cơ chế đồng thuận của SUI

3.1 Giới thiệu về cơ chế đồng thuận SUI

Tổng quan:

SUI áp dụng khung ủy quyền chứng minh cổ phần (DeleGated Proof of Stake, viết tắt là DPoS), cơ chế DPoS mặc dù có thể tăng lên thông lượng giao dịch, nhưng không thể cung cấp mức độ phi tập trung cao như PoW (chứng minh công việc). Do đó, mức độ phi tập trung của SUI tương đối thấp, ngưỡng quản trị tương đối cao, người dùng bình thường khó có thể ảnh hưởng trực tiếp đến quản trị mạng.

• Số lượng người xác thực trung bình: 106

• Thời gian trung bình của Epoch: 24 giờ

Cơ chế quy trình:

• Ủy thác quyền lợi: Người dùng thông thường không cần tự chạy nút, chỉ cần đặt cược SUI và ủy thác cho các xác thực viên ứng cử, có thể tham gia đảm bảo an ninh mạng và phân phối thưởng. Cơ chế này có thể giảm bớt rào cản tham gia cho người dùng thông thường, cho phép họ tham gia đồng thuận mạng bằng cách "thuê" các xác thực viên đáng tin cậy. Đây cũng là một lợi thế lớn của DPoS so với PoS truyền thống.

• Đại diện cho vòng lặp xuất khối: Một số ít các xác thực được chọn theo thứ tự cố định hoặc ngẫu nhiên để xuất khối, nâng cao tốc độ xác nhận và tăng lên TPS.

• Bầu cử động : Sau mỗi chu kỳ kiểm phiếu, dựa trên trọng số phiếu bầu, thực hiện luân chuyển động, tái bầu cử tập hợp Validator, đảm bảo sự năng động của các nút, tính nhất quán về lợi ích và phi tập trung.

Lợi ích của DPoS:

• Hiệu suất cao: Do số lượng nút tạo khối có thể kiểm soát, mạng có thể hoàn thành xác nhận trong mili giây, đáp ứng nhu cầu TPS cao.

• Chi phí thấp: Số lượng nút tham gia đồng thuận ít hơn, băng thông mạng và tài nguyên tính toán cần thiết cho việc đồng bộ thông tin và tổng hợp chữ ký giảm đáng kể. Từ đó, chi phí phần cứng và vận hành giảm, yêu cầu về sức mạnh tính toán giảm, chi phí thấp hơn. Cuối cùng đạt được mức phí giao dịch cho người dùng thấp hơn.

• An toàn cao: Cơ chế staking và ủy thác làm tăng đồng thời chi phí và rủi ro của các cuộc tấn công; kết hợp với cơ chế tịch thu trên chuỗi, hiệu quả ngăn chặn các hành vi xấu.

Đồng thời, trong cơ chế đồng thuận của SUI, đã áp dụng thuật toán dựa trên BFT (Tolerant Byzantine Fault), yêu cầu hơn hai phần ba số phiếu bầu trong số các xác thực viên phải đồng nhất để xác nhận giao dịch. Cơ chế này đảm bảo rằng ngay cả khi một số lượng nhỏ các nút có hành vi xấu, mạng vẫn có thể duy trì an toàn và hoạt động hiệu quả. Mọi nâng cấp hoặc quyết định quan trọng cũng đều cần phải có hơn hai phần ba số phiếu bầu để triển khai.

Về bản chất, DPoS thực sự là một giải pháp thỏa hiệp cho tam giác không thể.