事情经过
Cetus最近被黑客攻击了。损失金额不小。具体是1200万美元。他们没选择报警追查。反而主动联系黑客。提出要谈个协议。说白了就是想花钱买回被盗资金。
我看这消息时愣了一下。一般项目方被黑。第一反应是发公告。然后找安全公司。很少有人敢直接跟黑客谈判。但Cetus这么做了。他们通过链上信息找到黑客。发私信谈条件。
回赃协议具体内容
协议说得很直白。如果黑客归还资金。Cetus愿意给10%奖励。这叫"白帽奖励"。其实就是花钱买平安。项目方还承诺不追究法律责任。也不会公开黑客身份。
说实话这招挺冒险。黑客不一定会接受。搞不好反而被当软柿子捏。但Cetus可能没别的选择。他们刚完成融资。现在出事。投资人压力太大。
我以前在文章里写过类似案例。去年有个DEX被黑后。也试过这种操作。结果黑客拿了钱还是跑路了。但Cetus这次好像有点不同。黑客已经回复了消息。说在考虑。
行业里的尴尬现实
DeFi领域这种事越来越多。今年上半年就有17起大额黑客事件。总损失超过1.2亿美元。项目方经常陷入两难。追查成本太高。普通用户又等着拿回资金。
有个数据很扎心。真正能追回资金的案例不到5%。大部分项目只能默默承受。所以现在有些团队。被黑后直接宣布破产。但Cetus选择硬刚。虽然有点冒险。但至少还有希望。
我在OKX做过风控。知道这种谈判有多难。黑客都是老油条。可能同时跟多个项目谈。就看谁给的条件好。Cetus开10%不算高。之前有项目给到20%。还是没谈成。
用户该注意啥
普通用户看到这种新闻。第一反应是FUD。说项目不安全。赶紧跑路。但其实要冷静分析。Cetus这次操作。说明他们还在积极解决问题。比那些卷款跑路的强多了。
建议大家做三件事:
1. 暂时别往Cetus存钱
2. 已存的可以提出来
3. 关注官方后续公告
我自己就吃过这种亏。去年在某个小所被黑。因为没及时提现。损失了0.5个ETH。所以看到这类新闻。特别理解用户的焦虑。
我的看法
这种回赃协议其实是双刃剑。一方面显示项目方负责。另一方面可能助长黑客气焰。以后更多人会专门挑有回赃政策的项目下手。
但话说回来。现在DeFi安全形势太严峻。很多团队只有1-2个安全人员。面对专业黑客团队。就像小孩打拳王。所以出这种下策。也情有可原。
有趣的是。有些黑客现在开始"职业化"。不光要钱。还提改进建议。说是帮项目提升安全。这操作也是没谁了。
令人担忧的是。如果回赃成常态。可能形成恶性循环。项目被黑-付赎金-再被黑。最终倒霉的还是普通用户。
不过这次Cetus的做法。至少比装死强。至少他们没把用户当韭菜割。这点值得肯定。
目前谈判还在进行。希望最终能有个好结果。毕竟整个行业都在看着呢。如果这次成功了。以后可能成标准操作流程了。
大家有啥想法。欢迎在评论区聊聊。我经常帮粉丝分析这类事件。有具体问题也可以私信我。
Cetus回赃协议具体内容是什么?
Cetus遭黑客攻击后发起了回赃协议。
5月22日他们被高级智能合约攻击了。
攻击者盗取了大量用户资金。
Cetus通过链上交易正式提出和解。
黑客若归还2.09万枚ETH,
加上Sui被冻结资产,
就能拿到2324枚ETH赏金。
这约等于600万美元。
Cetus承诺不再追究责任。
话说回来,协议有时间限制。
如果黑客混币或提现,
Cetus就会全面追责。
其实呢,这是给黑客一个机会。
为什么Cetus要和黑客谈判?
Cetus冻结了两个黑客钱包地址。
但很多资金已被跨链转到以太坊。
直接追回难度很大。
所以他们选择悬赏方式。
这样可能更快拿回大部分资金。
用户损失也能减少一些。
你看,Cetus还在和执法部门合作。
他们同时采取多种措施。
一方面悬赏谈判,
另一方面准备社区投票。
其实呢,这是无奈之举。
为了尽快恢复用户信心。
项目方得想办法止损。
区块链项目常和黑客谈判吗?
区块链安全事件中,
这种谈判并不算少见。
有些项目会直接报警。
有些则选择悬赏方式。
效果要看具体情况。
有时黑客真会接受条件。
有时则完全不理睬。
Cetus这次后续有新进展。
社区投票已高票通过。
超过90%验证者支持恢复计划。
他们将把冻结资金转到多签钱包。
话说回来,协议还在执行阶段。
Cetus团队说一周内重启功能。
其实呢,安全问题一直很棘手。
项目方得不断加强审计。
