كانت هذه الحادثة انتصارًا لرأس المال، وليس للمستخدمين، وهي بمثابة تراجع لتطور الصناعة.
بيتكوين إلى اليسار، وسوي إلى اليمين، كل حركة تهز الصناعة اللامركزية تأتي مع إيمان أقوى ببيتكوين.
العالم يحتاج إلى أكثر من مجرد بنية تحتية مالية عالمية أفضل، بل سيكون هناك دائمًا مجموعة من الناس بحاجة إلى مساحة حرة.
في وقت ما، كانت السلاسل الائتلافية أكثر ازدهارًا من السلاسل العامة، وذلك لأنها كانت تلبي احتياجات الرقابة في ذلك العصر. اليوم، تراجع الائتلاف يعني في الواقع أن مجرد الامتثال لهذه الحاجة ليس هو الطلب الحقيقي من المستخدمين. بعد فقدان المستخدمين الخاضعين للرقابة، ما الحاجة إلى أدوات الرقابة؟
1، خلفية الحدث
في 22 مايو 2025، تعرض أكبر بورصة لامركزية في نظام Sui البيئي (DEX) Cetus لهجوم هاكر، مما أدى إلى انخفاض مفاجئ في السيولة، وانهيار أسعار عدة أزواج تداول، مع خسائر تجاوزت 2.2 مليار دولار.
حتى وقت نشر هذا التقرير، الخط الزمني هو كما يلي:
في 22 مايو في الصباح، هاجم قراصنة منصة Cetus وسرقوا 2.3 مليون دولار، وعلقت Cetus العقود على الفور وأصدرت إعلانًا.
في 22 مايو بعد الظهر، قام هاكر بنقل حوالي 60 مليون دولار عبر سلسلة، ولا تزال 162 مليون دولار أخرى في عنوان سلسلة Sui، وقد اتخذت عقد التحقق من Sui إجراءات سريعة، حيث أضافت عنوان الهاكر إلى "قائمة حظر الخدمة (Deny List)"، وجمدت الأموال.
في مساء 22 مايو، أكد CPO Sui @emanabio عبر تويتر: تم تجميد الأموال، وستبدأ عملية الإرجاع قريبًا.
23 مايو، بدأت Cetus في إصلاح الثغرات وتحديث العقد
24 مايو، Sui مفتوحة المصدر PR، تشرح استرداد الأموال الذي سيتم من خلال آلية الأسماء المستعارة (aliasing) والقائمة البيضاء (whitelist)
في 26 مايو، أطلق Sui تصويت حوكمة على السلسلة، واقترح ما إذا كان يجب تنفيذ ترقية البروتوكول، ونقل أصول القراصنة إلى عنوان الوصاية.
في 29 مايو، تم الإعلان عن نتائج التصويت، حيث دعم أكثر من ثلثي وزن عقد التحقق؛ استعداد تنفيذ ترقية البروتوكول
من 30 مايو إلى أوائل يونيو، سري مفعول ترقية الاتفاقية، تم تنفيذ تجزئة التجارة المحددة، وتم "نقل" أصول القرصنة بشكل "قانوني".
2، مبدأ الهجوم
المبادئ الأساسية للحدث ذات الصلة، وقد كتبت الصناعة العديد من المقالات حول هذا، هنا فقط نظرة عامة على المبادئ الأساسية:
من حيث عملية الهجوم:
استغل المهاجمون أولاً قرض الوميض لاقتراض حوالي 10,024,321.28 من haSUI، مما أدى إلى انخفاض سعر حوض التداول على الفور.
99.90%. أدت هذه الطلبية الضخمة إلى انخفاض سعر مجموعة الأهداف من حوالي 1.8956×10^19 إلى 1.8425×10^19، مما جعلها تقريبًا تفرغ بالكامل.
بعد ذلك، أنشأ المهاجمون مركز سيولة على Cetus ضمن نطاق ضيق للغاية (حد أدنى للتكتل 300000، حد أقصى 300200، عرض النطاق فقط 1.00496621%). هذا النطاق الضيق يضخم تأثير خطأ الحسابات اللاحقة على الكمية المطلوبة من الرموز.
ومبدأ الهجوم الأساسي:
يوجد ثغرة في تجاوز السعة العددية في دالة get_delta_a المستخدمة من قبل Cetus لحساب عدد الرموز المطلوبة. يعلن المهاجم عمداً عن إضافة سيولة ضخمة (حوالي 10^37 وحدة) ولكنه يستثمر فعليًا رمزًا واحدًا فقط في العقد.
نظرًا لوجود خطأ في شرط الكشف عن تجاوز checked_shlw، حدث قطع عالي أثناء حساب الإزاحة، مما أدى إلى تقدير النظام بشكل كبير للعدد المطلوب من haSUI، وبالتالي تم الحصول على سيولة ضخمة بتكلفة منخفضة جدًا.
من الناحية الفنية، فإن الثغرة المذكورة ناتجة عن استخدام Cetus لقناع وظروف حكم خاطئة في عقد Move الذكي، مما أدى إلى أن أي قيمة أقل من 0xffffffffffffffff << 192 يمكن أن تتجاوز الكشف؛ بينما يتم قطع البيانات العليا بعد الإزاحة لليسار بمقدار 64 بت، حيث يعتقد النظام أنه حصل على سيولة ضخمة عند تلقيه عدد قليل جداً من الرموز.
بعد وقوع الحدث، تم اشتقاق عمليتين رسميتين: **"التجميد" مقابل "الاسترداد"، هما مرحلتان: **
مرحلة التجميد تعتمد على قائمة الرفض + توافق العقد.
مرحلة الاسترداد تتطلب ترقية بروتوكول على السلسلة + تصويت المجتمع + تنفيذ صفقة محددة لتجاوز القائمة السوداء.
3، آلية تجميد Sui
تحتوي سلسلة Sui على قائمة رفض خاصة بها ( والتي تحقق تجميد الأموال الناتجة عن الاختراق. وليس ذلك فحسب، بل إن معيار الرموز في Sui يحتوي أيضاً على وضع "رموز خاضعة للتنظيم"، مع وظيفة تجميد مدمجة.
هذه التجميد الطارئ يستخدم هذه الميزة: أضاف مشغلو العقدة المُصادق عليها بسرعة العناوين المتعلقة بالأموال المسروقة في ملف التكوين المحلي. نظريًا، يمكن لكل مشغل عقدة تعديل TransactionDenyConfig لتحديث القائمة السوداء بنفسه، لكن لضمان اتساق الشبكة، قامت مؤسسة Sui، بصفتها الجهة المُصدرة للتكوين الأصلي، بالتنسيق المركزي.
أصدرت المؤسسة أولاً تحديثًا تكوينًا رسميًا يحتوي على عنوان القراصنة، مما يجعل المدققين يتزامنون بموجب التكوين الافتراضي، وبالتالي يتم "ختم" أموال القراصنة مؤقتًا على السلسلة. ومع ذلك، هناك في الواقع عوامل مركزة للغاية وراء ذلك.
لإنقاذ الضحايا من الأموال المجمدة، أطلق فريق Sui على الفور قائمة بيضاء )Whitelist( كتصحيح آلية.
هذا يتعلق بإجراءات إعادة تحويل الأموال في المستقبل. يمكن إعداد معاملات قانونية مسبقًا وتسجيلها في القائمة البيضاء، حتى لو كان عنوان الأموال لا يزال في القائمة السوداء، يمكن تنفيذ ذلك بالقوة.
تتيح هذه الميزة الجديدة transaction\_allow\_list\_skip\_all\_checks إضافة معاملات محددة مسبقًا إلى "قائمة الإعفاء"، مما يسمح لهذه المعاملات بتجاوز جميع فحوصات الأمان، بما في ذلك التوقيعات، والأذونات، والقوائم السوداء، وغيرها.
من المهم أن نلاحظ أن تصحيح القائمة البيضاء لا يمكنه ببساطة انتزاع أصول القراصنة؛ إنه يمنح بعض المعاملات القدرة على تجاوز التجميد، ولا يزال يتعين إكمال النقل الفعلي للأصول بتوقيع قانوني أو وحدة أذونات نظام إضافية.
في الواقع، غالبًا ما تحدث الحلول المجمدة السائدة في الصناعة على مستوى عقود الرموز، وتكون تحت سيطرة التوقيع المتعدد من قبل الجهة المصدرة.
كمثال على USDT الذي تصدره Tether، فإن العقد يحتوي على وظيفة قائمة سوداء مدمجة، حيث يمكن للشركة المصدرة تجميد العناوين المخالفة، مما يمنعها من نقل USDT. تتطلب هذه الخطة توقيعًا متعددًا لبدء طلب التجميد على السلسلة، ولا يتم التنفيذ فعليًا إلا بعد أن تتفق التواقيع المتعددة، مما يؤدي إلى وجود تأخير في التنفيذ.
على الرغم من أن آلية تجميد Tether فعالة، إلا أن الإحصائيات تشير إلى أن عملية التوقيع المتعدد غالباً ما تظهر "فترات فراغ"، مما يوفر فرصة للمجرمين.
بالمقارنة، يحدث تجميد Sui على مستوى البروتوكول الأساسي، من خلال عمليات جماعية من قبل عقد التحقق، وتكون سرعة التنفيذ أسرع بكثير من استدعاءات العقود العادية.
في هذا النموذج، يجب أن يتم التنفيذ بسرعة كافية، وهذا يعني أن إدارة هذه العقد المصدقة نفسها يجب أن تكون موحدة بشكل كبير.
4، مبدأ تنفيذ "استرداد التحويل" في Sui
الأكثر إثارة للدهشة هو أن Sui لم تقم بتجميد أصول القراصنة فحسب، بل تخطط أيضًا من خلال الترقية على السلسلة "لإعادة نقل" الأموال المسروقة.
في 27 مايو، قدمت Cetus اقتراح تصويت المجتمع، الذي يطلب ترقية البروتوكول، وإرسال الأموال المجمدة إلى محفظة متعددة التوقيعات. ثم أطلق صندوق Sui تصويت حوكمة على السلسلة.
في 29 مايو، تم الإعلان عن نتائج التصويت، حيث دعم حوالي 90.9% من الوزن من قبل المدققين هذا الاقتراح. أعلنت Sui رسميًا أنه بمجرد اعتماد الاقتراح، "سيتم استرداد جميع الأموال المجمدة في حسابين هاكرين إلى محفظة متعددة التوقيع دون الحاجة إلى توقيع من الهاكر."
لا حاجة لتوقيع القراصنة، يا لها من ميزة فريدة، لم يكن هناك طريقة إصلاح مثل هذه في صناعة blockchain من قبل.
من خلال PR الرسمي لـ Sui على GitHub، يتضح أن البروتوكول قد أدرج آلية عنوان مستعار )address aliasing(. تشمل محتويات الترقية: تحديد قواعد المستعار مسبقًا في ProtocolConfig، مما يسمح لبعض المعاملات المسموح بها بمعاملات التوقيع الشرعي على أنها صادرة من حسابات القراصنة.
بشكل محدد، يتم ربط قائمة هاشات المعاملات الإنقاذية التي سيتم تنفيذها بعنوان الهدف (أي عنوان القراصنة)، ويُعتبر أي منفذ يوقع ويصدر ملخصات هذه المعاملات الثابتة مالكًا صحيحًا لعنوان القراصنة الذي بدأ المعاملة. بالنسبة لهذه المعاملات المحددة، يقوم نظام عقد التحقق بـتجاوز فحص قائمة الرفض.
من منظور الشيفرة، أضافت Sui شرطًا في منطق التحقق من المعاملات كما يلي: عندما يتم حظر معاملة بواسطة القائمة السوداء، يقوم النظام باستعراض الموقعين عليها، والتحقق مما إذا كان protocol\_config.is\_tx\_allowed\_via\_aliasing)sender, signer, tx\_digest( صحيحًا.
طالما أن هناك توقيع واحد يفي بقواعد الاسم المستعار، فإن هذه المعاملة ستعتبر مسموحة بالمرور، متجاهلة الأخطاء السابقة في الاعتراض، وستستمر في التعبئة والتنفيذ بشكل طبيعي.
5، وجهات نظر
) 1.6 مليار، ما تمزقه هو أعمق إيمان في الصناعة
حدث Cetus، من وجهة نظر الكاتب الشخصية، قد تمر هذه العاصفة بسرعة، ولكن هذا النموذج لن يُنسى، لأنه أطاح بأسس الصناعة، كما أنه كسر الإجماع التقليدي لعدم القابلية للتغيير في blockchain تحت نفس السجل.
في تصميم blockchain، العقد هو القانون، والشفرة هي الحكم.
لكن في هذه الحادثة، فشلت الشيفرة، تدخل الحوكمة، تفوق السلطة، مما شكل نمط "تصرفات التصويت تقضي على نتائج الشيفرة".
لأن طريقة سوي لاستغلال المعاملات مباشرة تختلف تمامًا عن الطريقة التي تتعامل بها سلاسل الكتل الرئيسية مع مشاكل القرصنة.
هذه ليست المرة الأولى "لتغيير الإجماع"، لكنها كانت الأكثر صمتًا
من الناحية التاريخية:
استخدمت حادثة Ethereum's 2016 DAO انقسام صلب للتراجع عن التحويلات لتعويض الخسائر ، لكن هذا القرار أدى إلى انقسام السلسلتين ، Ethereum و Ethereum Classic ، والذي كان مثيرا للجدل ، ولكن في النهاية شكلت مجموعات مختلفة معتقدات إجماعية مختلفة.
واجه مجتمع البيتكوين أيضًا تحديات تقنية مماثلة: تم إصلاح ثغرة تجاوز القيمة في عام 2010 بشكل عاجل من قبل المطورين وتم ترقية قواعد الإجماع، مما أدى إلى محو حوالي 18.4 مليار بيتكوين تم إنشاؤها بشكل غير قانوني.
هذه هي نفس نمط الانقسام الصلب، حيث يتم التراجع عن السجل إلى ما قبل المشكلة، ثم يمكن للمستخدمين أن يقرروا بأنفسهم تحت أي نظام سجلات يواصلون الاستخدام.
بالمقارنة مع الانقسام الصعب لـ DAO، لم تختار Sui تقسيم السلسلة، بل استهدفت الحدث الحالي بدقة من خلال ترقية البروتوكول وتكوين أسماء مستعارة. من خلال القيام بذلك، حافظت Sui على استمرارية السلسلة ومعظم قواعد الإجماع دون تغيير، ولكن في نفس الوقت تشير أيضًا إلى أن البروتوكول الأساسي يمكن استخدامه لتنفيذ "عمليات إنقاذ" مستهدفة.
المشكلة هي أن "العودة المتفرعة" في التاريخ كانت خيارًا من اختيار المستخدمين؛ بينما "التصحيح البروتوكولي" في Sui هو ما اتخذته السلسلة من أجلك.
ليس مفتاحك، ليس عملتك؟ أخشى أنه لم يعد كذلك.
على المدى الطويل، يعني هذا أن مفهوم "ليست مفاتيحك، ليست عملاتك" قد تم تفكيكه على سلسلة Sui: حتى إذا كانت المفاتيح الخاصة للمستخدم كاملة، لا يزال بإمكان الشبكة منع حركة الأصول وإعادة توجيه الأصول من خلال تغييرات البروتوكول الجماعية.
إذا أصبح هذا سابقة لمستقبل blockchain في التعامل مع الأحداث الأمنية الكبرى، بل وأصبح يُعتبر عادة يمكن الالتزام بها مرة أخرى.
"عندما تستطيع سلسلة ما كسر القواعد من أجل العدالة، فسيكون لديها سابقة لكسر أي قواعد."
بمجرد نجاح عملية "سرقة المال من أجل المصلحة العامة" مرة واحدة، قد تكون العملية التالية في "المنطقة الرمادية الأخلاقية".
ماذا سيحدث؟
هل يمكن لمجموعة من الناس أن تأخذ أموال الهاكر الذي سرق أموال المستخدمين من خلال التصويت؟
هل يعتمد التصويت على من لديه مال أكثر (pos) أم على من لديه عدد أكبر من الأشخاص؟ إذا انتصر من لديه مال أكثر، فإن المنتج النهائي الذي وصفه ليو تسى شين سيأتي قريبًا، وإذا انتصر من لديه عدد أكبر من الأشخاص، فسوف ترتفع أصوات الحشود الهائجة.
في النظام التقليدي، فإن عدم حماية العائدات غير القانونية أمر طبيعي للغاية، حيث أن التجميد والتحويل هما عمليتان روتينيتان في البنوك التقليدية.
لكن من الناحية النظرية التقنية لا يمكن تحقيق ذلك، أليس هو جذر تطور صناعة blockchain؟
الآن تمهيد الصناعة للتوافق مستمر في التفاعل، اليوم يمكن أن يتم تجميد الحسابات وتعديل أرصدة الحسابات بسبب القراصنة، وغدًا يمكن أن يتم إجراء تعديلات عشوائية بسبب العوامل الجغرافية أو عوامل الصراع. إذا أصبحت السلسلة أداة جزئية إقليمية.
تم تقليص قيمة تلك الصناعة بشكل كبير، وفي أفضل الأحوال، هي مجرد نظام مالي آخر غير فعال.
هذا أيضًا هو سبب إيمان الكاتب القوي بالصناعة: "لا تملك تقنية البلوك تشين قيمة لأنها لا يمكن تجميدها، بل لأنها حتى لو كنت تكرهها، فإنها لن تتغير من أجلك."
الاتجاهات التنظيمية لا مفر منها، هل يمكن للسلسلة أن تحافظ على روحها؟
كان هناك وقت كانت فيه الشبكات الائتلافية أكثر ازدهارًا من الشبكات العامة، وذلك لأنها تلبي احتياجات التنظيم في ذلك الوقت. اليوم، تراجع الشبكات الائتلافية يعني في الحقيقة أنها تلبي احتياجات تنظيمية فحسب، وليس احتياجات المستخدمين الحقيقيين. ومع فقدان المستخدمين الخاضعين للتنظيم، فما الحاجة إلى أدوات التنظيم؟
من منظور تطور الصناعة
"هل المركزية الفعالة مرحلة حتمية في تطور blockchain؟ إذا كان الهدف النهائي من اللامركزية هو حماية مصالح المستخدمين، فهل يمكننا تحمل المركزية كوسيلة انتقالية؟"
إن مصطلح "الديمقراطية" في سياق حوكمة blockchain هو في الواقع موزون حسب الرموز. فهل يمكن للهاكر، إذا كان يمتلك كمية كبيرة من SUI (أو في يوم من الأيام تم اختراق DAO، ويسيطر الهاكر على حق التصويت)، أن يقوم "بالتصويت الشرعي لغسل نفسه"؟
في النهاية، قيمة البلوكشين ليست في القدرة على التجميد، بل في أنه حتى لو كانت الجماعة قادرة على التجميد، فإنها تختار عدم القيام بذلك.
مستقبل سلسلة لا يحدده الهيكل التكنولوجي، بل تحدده العقيدة التي تختار حمايتها.
المحتوى هو للمرجعية فقط، وليس دعوة أو عرضًا. لا يتم تقديم أي مشورة استثمارية أو ضريبية أو قانونية. للمزيد من الإفصاحات حول المخاطر، يُرجى الاطلاع على إخلاء المسؤولية.
هاكر سرق المال، هل يمكن لـ Sui أن تسرق أيضًا؟
مقدمة
كانت هذه الحادثة انتصارًا لرأس المال، وليس للمستخدمين، وهي بمثابة تراجع لتطور الصناعة.
بيتكوين إلى اليسار، وسوي إلى اليمين، كل حركة تهز الصناعة اللامركزية تأتي مع إيمان أقوى ببيتكوين.
العالم يحتاج إلى أكثر من مجرد بنية تحتية مالية عالمية أفضل، بل سيكون هناك دائمًا مجموعة من الناس بحاجة إلى مساحة حرة.
في وقت ما، كانت السلاسل الائتلافية أكثر ازدهارًا من السلاسل العامة، وذلك لأنها كانت تلبي احتياجات الرقابة في ذلك العصر. اليوم، تراجع الائتلاف يعني في الواقع أن مجرد الامتثال لهذه الحاجة ليس هو الطلب الحقيقي من المستخدمين. بعد فقدان المستخدمين الخاضعين للرقابة، ما الحاجة إلى أدوات الرقابة؟
1، خلفية الحدث
في 22 مايو 2025، تعرض أكبر بورصة لامركزية في نظام Sui البيئي (DEX) Cetus لهجوم هاكر، مما أدى إلى انخفاض مفاجئ في السيولة، وانهيار أسعار عدة أزواج تداول، مع خسائر تجاوزت 2.2 مليار دولار.
حتى وقت نشر هذا التقرير، الخط الزمني هو كما يلي:
2، مبدأ الهجوم
المبادئ الأساسية للحدث ذات الصلة، وقد كتبت الصناعة العديد من المقالات حول هذا، هنا فقط نظرة عامة على المبادئ الأساسية:
من حيث عملية الهجوم:
استغل المهاجمون أولاً قرض الوميض لاقتراض حوالي 10,024,321.28 من haSUI، مما أدى إلى انخفاض سعر حوض التداول على الفور.
99.90%. أدت هذه الطلبية الضخمة إلى انخفاض سعر مجموعة الأهداف من حوالي 1.8956×10^19 إلى 1.8425×10^19، مما جعلها تقريبًا تفرغ بالكامل.
بعد ذلك، أنشأ المهاجمون مركز سيولة على Cetus ضمن نطاق ضيق للغاية (حد أدنى للتكتل 300000، حد أقصى 300200، عرض النطاق فقط 1.00496621%). هذا النطاق الضيق يضخم تأثير خطأ الحسابات اللاحقة على الكمية المطلوبة من الرموز.
ومبدأ الهجوم الأساسي:
يوجد ثغرة في تجاوز السعة العددية في دالة get_delta_a المستخدمة من قبل Cetus لحساب عدد الرموز المطلوبة. يعلن المهاجم عمداً عن إضافة سيولة ضخمة (حوالي 10^37 وحدة) ولكنه يستثمر فعليًا رمزًا واحدًا فقط في العقد.
نظرًا لوجود خطأ في شرط الكشف عن تجاوز checked_shlw، حدث قطع عالي أثناء حساب الإزاحة، مما أدى إلى تقدير النظام بشكل كبير للعدد المطلوب من haSUI، وبالتالي تم الحصول على سيولة ضخمة بتكلفة منخفضة جدًا.
من الناحية الفنية، فإن الثغرة المذكورة ناتجة عن استخدام Cetus لقناع وظروف حكم خاطئة في عقد Move الذكي، مما أدى إلى أن أي قيمة أقل من 0xffffffffffffffff << 192 يمكن أن تتجاوز الكشف؛ بينما يتم قطع البيانات العليا بعد الإزاحة لليسار بمقدار 64 بت، حيث يعتقد النظام أنه حصل على سيولة ضخمة عند تلقيه عدد قليل جداً من الرموز.
بعد وقوع الحدث، تم اشتقاق عمليتين رسميتين: **"التجميد" مقابل "الاسترداد"، هما مرحلتان: **
3، آلية تجميد Sui
تحتوي سلسلة Sui على قائمة رفض خاصة بها ( والتي تحقق تجميد الأموال الناتجة عن الاختراق. وليس ذلك فحسب، بل إن معيار الرموز في Sui يحتوي أيضاً على وضع "رموز خاضعة للتنظيم"، مع وظيفة تجميد مدمجة.
هذه التجميد الطارئ يستخدم هذه الميزة: أضاف مشغلو العقدة المُصادق عليها بسرعة العناوين المتعلقة بالأموال المسروقة في ملف التكوين المحلي. نظريًا، يمكن لكل مشغل عقدة تعديل
TransactionDenyConfigلتحديث القائمة السوداء بنفسه، لكن لضمان اتساق الشبكة، قامت مؤسسة Sui، بصفتها الجهة المُصدرة للتكوين الأصلي، بالتنسيق المركزي.أصدرت المؤسسة أولاً تحديثًا تكوينًا رسميًا يحتوي على عنوان القراصنة، مما يجعل المدققين يتزامنون بموجب التكوين الافتراضي، وبالتالي يتم "ختم" أموال القراصنة مؤقتًا على السلسلة. ومع ذلك، هناك في الواقع عوامل مركزة للغاية وراء ذلك.
لإنقاذ الضحايا من الأموال المجمدة، أطلق فريق Sui على الفور قائمة بيضاء )Whitelist( كتصحيح آلية.
هذا يتعلق بإجراءات إعادة تحويل الأموال في المستقبل. يمكن إعداد معاملات قانونية مسبقًا وتسجيلها في القائمة البيضاء، حتى لو كان عنوان الأموال لا يزال في القائمة السوداء، يمكن تنفيذ ذلك بالقوة.
تتيح هذه الميزة الجديدة
transaction\_allow\_list\_skip\_all\_checksإضافة معاملات محددة مسبقًا إلى "قائمة الإعفاء"، مما يسمح لهذه المعاملات بتجاوز جميع فحوصات الأمان، بما في ذلك التوقيعات، والأذونات، والقوائم السوداء، وغيرها.من المهم أن نلاحظ أن تصحيح القائمة البيضاء لا يمكنه ببساطة انتزاع أصول القراصنة؛ إنه يمنح بعض المعاملات القدرة على تجاوز التجميد، ولا يزال يتعين إكمال النقل الفعلي للأصول بتوقيع قانوني أو وحدة أذونات نظام إضافية.
في الواقع، غالبًا ما تحدث الحلول المجمدة السائدة في الصناعة على مستوى عقود الرموز، وتكون تحت سيطرة التوقيع المتعدد من قبل الجهة المصدرة.
كمثال على USDT الذي تصدره Tether، فإن العقد يحتوي على وظيفة قائمة سوداء مدمجة، حيث يمكن للشركة المصدرة تجميد العناوين المخالفة، مما يمنعها من نقل USDT. تتطلب هذه الخطة توقيعًا متعددًا لبدء طلب التجميد على السلسلة، ولا يتم التنفيذ فعليًا إلا بعد أن تتفق التواقيع المتعددة، مما يؤدي إلى وجود تأخير في التنفيذ.
على الرغم من أن آلية تجميد Tether فعالة، إلا أن الإحصائيات تشير إلى أن عملية التوقيع المتعدد غالباً ما تظهر "فترات فراغ"، مما يوفر فرصة للمجرمين.
بالمقارنة، يحدث تجميد Sui على مستوى البروتوكول الأساسي، من خلال عمليات جماعية من قبل عقد التحقق، وتكون سرعة التنفيذ أسرع بكثير من استدعاءات العقود العادية.
في هذا النموذج، يجب أن يتم التنفيذ بسرعة كافية، وهذا يعني أن إدارة هذه العقد المصدقة نفسها يجب أن تكون موحدة بشكل كبير.
4، مبدأ تنفيذ "استرداد التحويل" في Sui
الأكثر إثارة للدهشة هو أن Sui لم تقم بتجميد أصول القراصنة فحسب، بل تخطط أيضًا من خلال الترقية على السلسلة "لإعادة نقل" الأموال المسروقة.
في 27 مايو، قدمت Cetus اقتراح تصويت المجتمع، الذي يطلب ترقية البروتوكول، وإرسال الأموال المجمدة إلى محفظة متعددة التوقيعات. ثم أطلق صندوق Sui تصويت حوكمة على السلسلة.
في 29 مايو، تم الإعلان عن نتائج التصويت، حيث دعم حوالي 90.9% من الوزن من قبل المدققين هذا الاقتراح. أعلنت Sui رسميًا أنه بمجرد اعتماد الاقتراح، "سيتم استرداد جميع الأموال المجمدة في حسابين هاكرين إلى محفظة متعددة التوقيع دون الحاجة إلى توقيع من الهاكر."
لا حاجة لتوقيع القراصنة، يا لها من ميزة فريدة، لم يكن هناك طريقة إصلاح مثل هذه في صناعة blockchain من قبل.
من خلال PR الرسمي لـ Sui على GitHub، يتضح أن البروتوكول قد أدرج آلية عنوان مستعار )address aliasing(. تشمل محتويات الترقية: تحديد قواعد المستعار مسبقًا في
ProtocolConfig، مما يسمح لبعض المعاملات المسموح بها بمعاملات التوقيع الشرعي على أنها صادرة من حسابات القراصنة.بشكل محدد، يتم ربط قائمة هاشات المعاملات الإنقاذية التي سيتم تنفيذها بعنوان الهدف (أي عنوان القراصنة)، ويُعتبر أي منفذ يوقع ويصدر ملخصات هذه المعاملات الثابتة مالكًا صحيحًا لعنوان القراصنة الذي بدأ المعاملة. بالنسبة لهذه المعاملات المحددة، يقوم نظام عقد التحقق بـتجاوز فحص قائمة الرفض.
من منظور الشيفرة، أضافت Sui شرطًا في منطق التحقق من المعاملات كما يلي: عندما يتم حظر معاملة بواسطة القائمة السوداء، يقوم النظام باستعراض الموقعين عليها، والتحقق مما إذا كان
protocol\_config.is\_tx\_allowed\_via\_aliasing)sender, signer, tx\_digest(صحيحًا.طالما أن هناك توقيع واحد يفي بقواعد الاسم المستعار، فإن هذه المعاملة ستعتبر مسموحة بالمرور، متجاهلة الأخطاء السابقة في الاعتراض، وستستمر في التعبئة والتنفيذ بشكل طبيعي.
5، وجهات نظر
) 1.6 مليار، ما تمزقه هو أعمق إيمان في الصناعة
حدث Cetus، من وجهة نظر الكاتب الشخصية، قد تمر هذه العاصفة بسرعة، ولكن هذا النموذج لن يُنسى، لأنه أطاح بأسس الصناعة، كما أنه كسر الإجماع التقليدي لعدم القابلية للتغيير في blockchain تحت نفس السجل.
في تصميم blockchain، العقد هو القانون، والشفرة هي الحكم.
لكن في هذه الحادثة، فشلت الشيفرة، تدخل الحوكمة، تفوق السلطة، مما شكل نمط "تصرفات التصويت تقضي على نتائج الشيفرة".
لأن طريقة سوي لاستغلال المعاملات مباشرة تختلف تمامًا عن الطريقة التي تتعامل بها سلاسل الكتل الرئيسية مع مشاكل القرصنة.
هذه ليست المرة الأولى "لتغيير الإجماع"، لكنها كانت الأكثر صمتًا
من الناحية التاريخية:
هذه هي نفس نمط الانقسام الصلب، حيث يتم التراجع عن السجل إلى ما قبل المشكلة، ثم يمكن للمستخدمين أن يقرروا بأنفسهم تحت أي نظام سجلات يواصلون الاستخدام.
بالمقارنة مع الانقسام الصعب لـ DAO، لم تختار Sui تقسيم السلسلة، بل استهدفت الحدث الحالي بدقة من خلال ترقية البروتوكول وتكوين أسماء مستعارة. من خلال القيام بذلك، حافظت Sui على استمرارية السلسلة ومعظم قواعد الإجماع دون تغيير، ولكن في نفس الوقت تشير أيضًا إلى أن البروتوكول الأساسي يمكن استخدامه لتنفيذ "عمليات إنقاذ" مستهدفة.
المشكلة هي أن "العودة المتفرعة" في التاريخ كانت خيارًا من اختيار المستخدمين؛ بينما "التصحيح البروتوكولي" في Sui هو ما اتخذته السلسلة من أجلك.
ليس مفتاحك، ليس عملتك؟ أخشى أنه لم يعد كذلك.
على المدى الطويل، يعني هذا أن مفهوم "ليست مفاتيحك، ليست عملاتك" قد تم تفكيكه على سلسلة Sui: حتى إذا كانت المفاتيح الخاصة للمستخدم كاملة، لا يزال بإمكان الشبكة منع حركة الأصول وإعادة توجيه الأصول من خلال تغييرات البروتوكول الجماعية.
إذا أصبح هذا سابقة لمستقبل blockchain في التعامل مع الأحداث الأمنية الكبرى، بل وأصبح يُعتبر عادة يمكن الالتزام بها مرة أخرى.
"عندما تستطيع سلسلة ما كسر القواعد من أجل العدالة، فسيكون لديها سابقة لكسر أي قواعد."
بمجرد نجاح عملية "سرقة المال من أجل المصلحة العامة" مرة واحدة، قد تكون العملية التالية في "المنطقة الرمادية الأخلاقية".
ماذا سيحدث؟
هل يمكن لمجموعة من الناس أن تأخذ أموال الهاكر الذي سرق أموال المستخدمين من خلال التصويت؟
هل يعتمد التصويت على من لديه مال أكثر (pos) أم على من لديه عدد أكبر من الأشخاص؟ إذا انتصر من لديه مال أكثر، فإن المنتج النهائي الذي وصفه ليو تسى شين سيأتي قريبًا، وإذا انتصر من لديه عدد أكبر من الأشخاص، فسوف ترتفع أصوات الحشود الهائجة.
في النظام التقليدي، فإن عدم حماية العائدات غير القانونية أمر طبيعي للغاية، حيث أن التجميد والتحويل هما عمليتان روتينيتان في البنوك التقليدية.
لكن من الناحية النظرية التقنية لا يمكن تحقيق ذلك، أليس هو جذر تطور صناعة blockchain؟
الآن تمهيد الصناعة للتوافق مستمر في التفاعل، اليوم يمكن أن يتم تجميد الحسابات وتعديل أرصدة الحسابات بسبب القراصنة، وغدًا يمكن أن يتم إجراء تعديلات عشوائية بسبب العوامل الجغرافية أو عوامل الصراع. إذا أصبحت السلسلة أداة جزئية إقليمية.
تم تقليص قيمة تلك الصناعة بشكل كبير، وفي أفضل الأحوال، هي مجرد نظام مالي آخر غير فعال.
هذا أيضًا هو سبب إيمان الكاتب القوي بالصناعة: "لا تملك تقنية البلوك تشين قيمة لأنها لا يمكن تجميدها، بل لأنها حتى لو كنت تكرهها، فإنها لن تتغير من أجلك."
الاتجاهات التنظيمية لا مفر منها، هل يمكن للسلسلة أن تحافظ على روحها؟
كان هناك وقت كانت فيه الشبكات الائتلافية أكثر ازدهارًا من الشبكات العامة، وذلك لأنها تلبي احتياجات التنظيم في ذلك الوقت. اليوم، تراجع الشبكات الائتلافية يعني في الحقيقة أنها تلبي احتياجات تنظيمية فحسب، وليس احتياجات المستخدمين الحقيقيين. ومع فقدان المستخدمين الخاضعين للتنظيم، فما الحاجة إلى أدوات التنظيم؟
من منظور تطور الصناعة
"هل المركزية الفعالة مرحلة حتمية في تطور blockchain؟ إذا كان الهدف النهائي من اللامركزية هو حماية مصالح المستخدمين، فهل يمكننا تحمل المركزية كوسيلة انتقالية؟"
إن مصطلح "الديمقراطية" في سياق حوكمة blockchain هو في الواقع موزون حسب الرموز. فهل يمكن للهاكر، إذا كان يمتلك كمية كبيرة من SUI (أو في يوم من الأيام تم اختراق DAO، ويسيطر الهاكر على حق التصويت)، أن يقوم "بالتصويت الشرعي لغسل نفسه"؟
في النهاية، قيمة البلوكشين ليست في القدرة على التجميد، بل في أنه حتى لو كانت الجماعة قادرة على التجميد، فإنها تختار عدم القيام بذلك.
مستقبل سلسلة لا يحدده الهيكل التكنولوجي، بل تحدده العقيدة التي تختار حمايتها.