100% 赔付，Cetus 一个半小时说了 69 遍抱歉 周五晚上 9 点，本来要去鬼混的，看见深潮拉着 Cetus 开 AMA，这我得听听。这次事件我写了 2 篇文章，侧重点都在于治理流程，但对于 Cetus 并没有多提，喂拉羊？ 就等他们披露细节。 让我们潜入！ ⬇️ 实话讲，我是带着批判的念头来听 AMA 的：我倒要看看他们怎么解释自己的低级失误、怎么解释基金会强力推进的治理流程、怎么解释以后给 Sui 用户恢复信心…一半吃瓜，一半挑刺，对，就是这个心态。 但是全程一个半小时听下来，我的心被融化了，不对，是被感化了。我在一句一句“抱歉”、“对不起”、“是我们的错”、“我们一定吸取教训”声中逐渐迷失了自己…先上要点吧： ▰ 24 小时内重启 LP 池子和其他服务 ▰ 85.7% 至 96% 的用户资产可直接补偿 ▰ 团队持有的 100% CETUS 全部用于赔偿 ▰ 过去 6 个月平均月协议收入1.5m，年化 18m ▰ 基金会贷款细则未披露，Cetus 干活还贷款 团队顶着压力，用实际行动承担责任，承诺不逃避、不甩锅，赔偿、安全升级及治理改进也井然有序，是一个非常成熟的团队表现。 1️⃣ 赔偿及细节 表面看，资金缺口就是被黑客跨链跑掉的 6000 万美金，但实际影响造成的损失远不止于此。赔偿的第一顺位，肯定是用户资产了。 按 AMA 提到的 85.7% 至 96% 的用户资产可直接补偿，剩余部分在追回资产之后可逐步接近100%。 拿什么赔？ ▰ Cetus 协议当前和未来收入 ▰ 团队持有的现金 ▰ 团队持有的100% Cetus 代币 在收入层面，出事前 6 个月， @CetusProtocol 每个月协议收入差不多 150 万美金，按这个计算一年 1,800 万美金，团队持有现金未知，这两部分都是实打实的“钱”，会回购 Cetus 、Sui 或其他资产赔偿给用户。 比较意外的是，团队把所持有的 Cetus 代币 100% 拿出来（包含未解锁）做赔付，我查了一下，团队和顾问占比是 20%，一直要解锁到 2026 年底，按 MC 1 亿美金计算，这里是 2,000 万美金……哎，团队真大出血了。 对了，按这个比例一反推，Sui 基金会应该是给了大概 3,000 万美金贷款，虽然 Henry @henrybuild 说协议保密没有透露，但一算，基本也知道了。这个钱，也是要还的，利息还不知道。 假设 Cetus 能恢复现在的运营水平吧，不吃不喝，团队也得干三年半，好家伙，如果是你，你会选择坐牢打工三年半赔钱，还是直接跑路？ 怎么赔？ 不是一蹴而就的，这肯定要分批进行了。赔付比盗窃可复杂太多了，先不提错综复杂的资产、几十万受损的账户，他们能直接砸币赔付吗？肯定不行啊，这里面还有很多未解锁代币。 所以我预估不会那么快，应该先给一个明确的数字，然后配合运营，吸引一些真爱粉继续支持协议，并努力再给他们更多回报。 不过，前提明确：不会新发资产。 2️⃣ 破坏与重建 赔付不是结束，只是开始。 我之前写的时候也说过，Cetus 对 Sui 生态影响太大了，不仅仅是因为它是龙头 DEX，根深叶茂几乎流动性串联了所有Sui DiFi 生态，还有一个原因，就是Cetus 提供了最早、被生态使用最多的的Dex代码库，为Move代码的发展做出了很多的贡献。 此外包括 Binance Alpha 在内的几乎所有涉及 Sui 的交易聚合等工程，目前仍然只有 Cetus 在完成，是实质上 Sui 最大的 DeFi 基建。 说人话就是，整个 Sui DeFi 根基，大部分都是建立在 Cetus 的技术框架上的。如果从整个角度来说，赔钱真的是小事情，Sui 基金会急了也是有道理的，这不是钱的事情，是命根子都要没了。 看得见的是 Cetus 紧急暂停协议，看不见的是，他们还要通知、找到使用自己技术的团队/项目，协调看如何处理。这是一种义务，也是责任吧，所以在幕后，团队的确也是付出了艰苦卓绝的努力，不仅仅为了Cetus 自己。 可能，他们在处理这些的时候，都是强忍着巨大的情绪落差、心理压力，没有逃避，先给你个respect 吧。 团队拿出自己全部代币，那治理怎么办？这里也有意思，@KaMiaoRich 老师提问很精彩。我觉得这里团队回答得有些含糊，如果100% DPoS 治理，团队手里没有币，这再怎么协调都是危险的。 我可以理解在关键节点，社区团结一致是重要的，但……直接说了吧，努力赚钱，想办法回购吧。特殊情况下，先调整一下治理决策流程，再积极争取社区支持，只能如此了。 Haotian @tmel0211 和 风无向 @0x0xFeng 老师分别从安全专家和 DeFi 专家角度也提了关于后续重建的问题。这部分感觉是痛定思痛，被打疼了，真知道哪里错了。这次被黑，不是一个简单函数问题，是一次技术和运维边界的大问题。 之前 Cetus 活得很滋润，安全部分过度依赖审计公司，忽略了运维逻辑上的重大问题，这次也通过专家引进、开源代码、白帽奖励等方式，把安全搞搞好。 // 这是一次对去中心化理念的践踏吗？ 我把这个放在最后来聊，免得又被喷。吃饱再来谈理想，用户赔付完成再聊理念。团队并不认为通过节点治理投票冻结资产就是中心化，而是当下为了最大限度降低用户损失所必须做出的抉择。 我认可。我之前的重点也不在这里，这是执行细节，这些 Sui 基金会处理得都很好，节点投票、公开透明的提案、流程透明的执行，这已经很好。 我的重点在于，这一切是如何实现的？ 绕过私钥，这是天王老子来了都无法改变的技术事实。但通过今天的 AMA，我发现之前撰写的时候，没有强调一个基本事实：Sui 或者 Move 语言在开始这条链的时候，就允许这可能会发生，以备处理特殊状况。 所以这里再揪着去中心化来讨论，在大部分人眼里，已经不合适了。 Solana 去中心化吗？BNBChain 去中心化吗？Base 去中心化吗？在今天，Decentralized 已经变成一种技术理想，而 Permissionless，则可能会成为次选的行为准则。作为一个普通用户，我和批评我的人一样，也是用脚投票： 敢于承担责任、保护用户资产、不逃避、不推诿，管你搞什么，先支持一把再说。 <全文完>