區塊鏈行業的信仰之辯：Sui事件引發的深思

在最近的一起事件中，資本的力量似乎戰勝了用戶的利益，這對行業發展可能是一種倒退。隨着每一次動搖去中心化理念的舉動出現，人們對比特幣的信仰反而變得更加強烈。

世界需要的不僅僅是一套更優秀的全球化金融基礎設施，更需要始終保持一片自由的空間。回想過去，聯盟鏈曾一度比公鏈更受歡迎，正是因爲它滿足了那個時代的監管需求。如今聯盟鏈的衰落，其實也意味着單純遵從監管需求並不能滿足真實用戶的需求。

事件回顧

2025年5月22日，Sui公鏈生態中最大的去中心化交易所遭受黑客攻擊，導致流動性驟減，多個交易對價格崩塌，損失超過2.2億美元。

事件發生後，相關方迅速採取行動：

• 5月22日：交易所緊急暫停合約並發布公告；黑客跨鏈轉出部分資金；驗證節點將黑客地址列入"拒絕服務黑名單"，凍結剩餘資金。
• 5月23日至24日：交易所開始修復漏洞並更新合約；公鏈開源PR，解釋即將通過別名機制與白名單進行資金回收。
• 5月26日至29日：啓動鏈上治理投票，提議是否執行協議升級、將黑客資產轉至托管地址；投票結果顯示超過2/3驗證節點權重支持。
• 5月30日至6月初：協議升級生效，指定交易哈希被執行，黑客資產被"合法轉走"。

攻擊原理

攻擊者首先利用閃電貸借出大量代幣，導致交易池價格暴跌99.90%。隨後，攻擊者在極窄的價格區間內創建流動性頭寸，放大了後續計算誤差對所需代幣數量的影響。

攻擊核心在於交易所用於計算所需代幣數量的函數存在整數溢出漏洞。攻擊者聲明要添加巨量流動性，但實際只投入極少量代幣。由於檢測條件錯誤，系統在計算時發生高位截斷，嚴重低估了所需代幣數量，使攻擊者以極小成本換取了巨量流動性。

公鏈的應對措施

公鏈採取了"凍結"和"追回"兩個階段的操作：

1. 凍結階段：利用內置的拒絕列表機制和節點共識完成。
2. 追回階段：通過鏈上協議升級、社區投票和指定交易執行繞過黑名單。

公鏈的代幣標準本身就帶有"受監管代幣"模式，具有內置凍結功能。驗證者節點可以在本地配置文件中快速添加被盜資金相關地址。爲確保網路一致性，基金會作爲最初的配置發布方進行了集中協調。

隨後，公鏈團隊推出白名單機制補丁，允許將特定交易預先加入"免檢名單"，使這些交易可以跳過所有安全檢查，包括籤名、權限和黑名單等。

"轉帳式回收"的實現

公鏈不僅凍結了黑客資產，還計劃通過鏈上升級"轉移回收"被盜資金。社區投票通過後，公鏈引入了地址別名機制。升級內容包括在協議配置中預先指定別名規則，使某些允許的交易可以將合法籤名視作來自黑客帳戶發送。

具體實現是將要執行的救援交易哈希列表與目標地址（即黑客地址）綁定，任何簽署並發布這些固定交易摘要的執行者都被視爲有效的黑客地址擁有者發起了交易。對這些特定交易，驗證者節點系統會繞過拒絕列表檢查。

行業影響與反思

這次事件顛覆了區塊鏈行業"代碼即法律"的傳統共識，形成了"投票行爲裁決代碼結果"的新模式。與以往通過硬分叉回滾交易的做法不同，這次的操作保持了鏈的連續性，但同時也表明底層協議可以被用來實施針對性的"救援行動"。

這種做法引發了對區塊鏈基本理念的質疑：如果鏈能爲了正義打破規則，它是否也有了打破任何規則的前例？這是否意味着"Not your keys, not your coins"的理念在某些鏈上被瓦解？

從長遠來看，這可能成爲區塊鏈應對大型安全事件的新模式。然而，這也帶來了一系列問題：

1. 投票的依據是什麼？是基於持有代幣數量還是人數？
2. 如果黑客控制了大量投票權，他們是否可以"合法洗白"自己的行爲？
3. 這種做法是否會導致鏈成爲地區性的工具，從而壓縮了整個行業的價值？

區塊鏈的真正價值在於，即使羣體有能力進行幹預，也選擇不這麼做。一條鏈的未來，不僅由其技術架構決定，更由它選擇守護的那套信仰來決定。在追求效率和監管的同時，如何守住去中心化的靈魂，將是整個行業需要深思的問題。