Sui生态DEX Cetus被盗资金追回：用户利益优先于去中心化原则

作者：Jessy，金色财经

5月22日，Sui生态去中心化交易所（DEX）Cetus因代码漏洞遭到黑客攻击，损失高达2.23亿美元。其中，仅有6000万美元通过跨链桥兑换为ETH被黑客成功转移，剩余的1.62亿美元则被Sui基金会协调验证节点冻结。

5月27日，社区启动投票，决定是否实施协议升级以追回被冻结在黑客控制账户中的资金。最终，在48小时内，共有114个节点参与投票，其中103个节点参与了表决，99票支持、2票反对、2票弃权，提案以90.9%的高票通过。

通过该提案后，Sui协议进行了升级，允许特定地址代表黑客地址执行两次交易，从而促进资金回收。这些交易的设计与最终恢复地址随后公布，回收的资产被转移到由Cetus、Sui基金会以及Sui社区内受信任的审计机构OtterSec共同控制的多重签名钱包中。

此次技术实现的关键在于引入了address aliasing（地址别名）功能。具体而言，协议层预先定义规则，将特定治理操作伪装成“黑客账户的合法签名”。升级后，验证节点认可这一伪造签名，从而合法化冻结资金的转移。这一过程类似于央行冻结银行账户并划转资金的操作，且无需触碰私钥。

而最初冻结资产的过程也得益于Sui内置的Deny list（冻结名单）和Regulated tokens（受监管代币）功能，直接调用冻结接口锁定了黑客地址。

强权干预的技术隐患

尽管此次操作成功追回了大部分被盗资金，但也引发了关于技术隐患的担忧。协议升级通过节点共识强制修改了资产归属，这意味着Sui官方可以在特定条件下替代任何地址进行签名，并转移其资产。

约束Sui官方行为的并非智能合约代码，而是节点投票权。然而，节点投票的结果实际上掌握在基金会资本控制的大节点手中。换言之，Sui官方的利益相关方拥有最大的话语权，即使投票也不过是形式上的流程。

用户的私钥不再是资产的绝对控制凭证，只要节点共识同意，协议层可以直接覆盖私钥权限。这种机制虽然实现了高效的资金追回和快速止损，但同时也开创了一个危险的先例——协议层可以伪造任何地址的“合法操作”，为未来可能的强权干预埋下了技术伏笔。

从这次事件来看，当用户利益与去中心化原则发生冲突时，Sui选择了站在用户利益的角度做出决策。至于是否违背了去中心化精神，对于用户和Sui来说似乎已不再重要，毕竟在面临质疑时，官方可以轻松回应称这是“投票”决定的。