قيمة البلوكتشين ليست في إمكانية تجميدها، بل في أنه حتى إذا كانت المجموعة قادرة على التجميد، فإنها تختار عدم القيام بذلك.
كتابة: أربعة عشر君
هذه الحادثة هي انتصار للرأس المال، وليست انتصارًا للمستخدمين، بل هي تراجع لتطور الصناعة.
البيتكوين على اليسار، Sui على اليمين، كل حركة تهز الصناعة اللامركزية تظهر، تجلب إيمانًا أقوى بالبيتكوين.
العالم يحتاج إلى أكثر من مجرد بنية تحتية مالية عالمية أفضل، بل دائمًا سيكون هناك مجموعة من الناس بحاجة إلى مساحة حرة.
في فترة ما، كانت سلاسل الكتل الائتلافية أكثر شيوعًا من سلاسل الكتل العامة، وذلك لأنها كانت تلبي متطلبات الرقابة في ذلك الوقت. حاليًا، تراجع الائتلاف يعني في الواقع أن الامتثال لمتطلبات الرقابة ليس هو الطلب الحقيقي من المستخدمين. المستخدمون الذين فقدوا بسبب الرقابة، فما الحاجة إلى أدوات الرقابة؟
1، خلفية الحدث
في 22 مايو 2025، تعرض أكبر بورصة لامركزية في نظام بلوكتشين Sui (DEX) Cetus لهجوم هاكر، مما أدى إلى انخفاض مفاجئ في السيولة وتدهور أسعار العديد من أزواج التداول، مع خسائر تزيد عن 2.2 مليون دولار.
قبل إرسال المقال، الجدول الزمني كما يلي:
في 22 مايو صباحًا، هاجم القراصنة منصة Cetus وسرقوا 2.3 مليار دولار، وقامت Cetus بتعليق العقود بشكل عاجل، وأصدرت إعلانًا.
في 22 مايو بعد الظهر، قام القراصنة بتحويل حوالي 60 مليون دولار عبر السلسلة، ولا يزال 162 مليون دولار في عنوان سلسلة Sui، وقد اتخذت عقد التحقق في Sui إجراءات سريعة، حيث أضافت عنوان القراصنة إلى "قائمة الرفض (Deny List)"، وتجميد الأموال.
في مساء 22 مايو، أكد CPO Sui @emanabio عبر تويتر: تم تجميد الأموال، وستبدأ عمليات الإرجاع قريبًا.
23 مايو، بدأ Cetus في إصلاح الثغرات وتحديث العقد
24 مايو، PR مفتوح من Sui، يشرح أنه سيتم استرداد الأموال قريبًا من خلال آلية الأسماء المستعارة (aliasing) و قائمة بيضاء (whitelist)
26 مايو، أطلق Sui تصويت الحوكمة على البلوكتشين، مقترحًا ما إذا كان يجب تنفيذ ترقية البروتوكول، ونقل أصول القراصنة إلى عنوان الحفظ.
29 مايو، تم الإعلان عن نتائج التصويت، حيث دعم أكثر من 2/3 من وزن عقد التحقق؛ استعداد لتنفيذ ترقية البروتوكول
30 مايو - أوائل يونيو، سيتنفذ ترقية البروتوكول، وسيتم تنفيذ معاملات التداول المحددة، وسيتم "نقل" أصول القراصنة بشكل قانوني
2، مبدأ الهجوم
المبادئ المتعلقة بالحدث، حيث أن الصناعة قد كتبت العديد من المقالات، هنا سأقدم فقط لمحة عامة عن المبادئ الأساسية:
من حيث سير الهجوم:
استغل المهاجمون أولاً قرضًا سريعًا لاقتراض حوالي 10,024,321.28 من haSUI، مما أدى إلى انخفاض سعر حوض التداول على الفور.
99.90%. قد أدى هذا الأمر الضخم للبيع إلى انخفاض سعر حوض الهدف من حوالي 1.8956×10^19 إلى 1.8425×10^19، تقريبًا تم تصفية القاع.
ثم قام المهاجم بإنشاء مركز سيولة على Cetus ضمن نطاق ضيق للغاية (الحد الأدنى من النقاط 300000، الحد الأقصى 300200، وعرض النطاق 1.00496621% فقط). هذا النطاق الضيق زاد من تأثير خطأ الحساب اللاحق على كمية الرموز المطلوبة.
ومبدأ هجوم الجوهر:
يوجد ثغرة في تدفق الأعداد الصحيحة في دالة get_delta_a المستخدمة في Cetus لحساب عدد الرموز المطلوبة. يقوم المهاجم بالإعلان عمدًا عن إضافة سيولة ضخمة (حوالي 10^37 وحدة)، ولكنه يستثمر في الواقع 1 رمز فقط في العقد.
بسبب خطأ في شرط فحص تجاوز checked_shlw، حدث قطع في الجزء العالي خلال عملية الإزاحة، مما أدى إلى تقدير النظام بشكل خطير لعدد haSUI المطلوب، وبالتالي حصل على كمية ضخمة من السيولة بتكلفة ضئيلة.
من الناحية التقنية، فإن الثغرة المذكورة ناتجة عن استخدام Cetus لقناع وظروف حكم خاطئة في عقد Move الذكي، مما يسمح لأي قيمة أقل من 0xffffffffffffffff << 192 بتجاوز الفحص؛ بينما يتم قطع البيانات العليا بعد التحول 64 بت، حيث يعتبر النظام أنه حصل على سيولة ضخمة عند استلامه كمية ضئيلة جداً من الرموز.
بعد وقوع الحدث، نشأت عمليتان رسميتان: "التجميد" مقابل "الاسترداد"، وهما مرحلتان:
مرحلة التجميد تعتمد على قائمة الرفض + إكمال توافق العقد.
تحتاج مرحلة الاسترداد إلى ترقية بروتوكول على البلوكتشين + تصويت المجتمع + تنفيذ معاملات محددة لتجاوز القائمة السوداء.
3، آلية التجميد في Sui
توجد قائمة الرفض الخاصة داخل سلسلة Sui ( آلية قائمة الرفض ) التي حققت تجميد أموال المخترقين هذه المرة. ليس هذا فقط، في الواقع، فإن معيار رموز Sui لديه أيضًا نموذج "رموز خاضعة للتنظيم"، مع وظيفة تجميد مدمجة.
كانت هذه العملية الطارئة للتجميد هي بالضبط استخدام هذه الميزة: حيث أضافت عقدة التحقق بسرعة عنوان الأموال المسروقة في ملف التكوين المحلي. من الناحية النظرية، يمكن لكل مشغل عقدة تعديل TransactionDenyConfig لتحديث القائمة السوداء، ولكن لضمان توافق الشبكة، قامت مؤسسة Sui، باعتبارها الجهة المسؤولة عن إطلاق التكوين الأولي، بالتنسيق بشكل مركزي.
أصدرت المؤسسة أولاً تحديثًا رسميًا يتضمن عنوان الهاكر، حيث قام المدققون بمزامنة التكوين الافتراضي ليصبح ساري المفعول، مما جعل أموال الهاكر محصورة مؤقتًا على البلوكتشين، وهناك في الواقع عوامل مركزة عالية وراء ذلك.
لإنقاذ الضحايا من الأموال المجمدة، أطلق فريق Sui على الفور تصحيح آلية القائمة البيضاء (Whitelist).
هذا يتعلق بعملية إعادة تحويل الأموال في المستقبل. يمكن بناء معاملات قانونية مسبقًا وتسجيلها في القائمة البيضاء، حتى لو كانت عنوان الأموال لا يزال في القائمة السوداء، فإنه يمكن تنفيذها قسراً.
تسمح هذه الميزة الجديدة transaction_allow_list_skip_all_checks بإضافة معاملات معينة مسبقًا إلى "قائمة الإعفاء من الفحص"، مما يمكّن هذه المعاملات من تخطي جميع فحوصات الأمان، بما في ذلك التوقيع، والأذونات، والقوائم السوداء، وغيرها.
يرجى ملاحظة أن تصحيح قائمة الانتظار لا يمكنه مباشرةً الاستيلاء على أصول القراصنة؛ إنه يمنح فقط بعض المعاملات القدرة على تجاوز التجميد، ولا يزال يتعين إكمال نقل الأصول الحقيقي بتوقيع قانوني أو وحدة أذونات نظام إضافية.
في الواقع، غالبًا ما تحدث حلول التجميد السائدة في الصناعة على مستوى عقود الرموز، وتكون تحت سيطرة التوقيع المتعدد من قبل الجهة المصدرة.
كمثال على USDT الذي تصدره Tether، فإن العقد يحتوي على وظيفة قائمة سوداء مدمجة، حيث يمكن لشركة الإصدار تجميد العناوين المخالفة، مما يمنعها من نقل USDT. تتطلب هذه الخطة توقيعًا متعددًا لبدء طلب التجميد على البلوكتشين، ويتم تنفيذها فعليًا فقط بعد أن يتفق التوقيع المتعدد، مما يؤدي إلى وجود تأخير في التنفيذ.
على الرغم من أن آلية تجميد Tether فعالة، فإن الإحصائيات تُظهر أن عملية التوقيع المتعدد غالبًا ما تظهر "فترات فراغ"، مما يترك فرصة للمجرمين.
بالمقارنة، يحدث تجميد Sui على مستوى البروتوكول الأساسي، من خلال العمليات الجماعية لعقد التحقق، وسرعة التنفيذ أسرع بكثير من استدعاءات العقد العادية.
في هذا النموذج، إذا كان يجب تنفيذ الأمور بسرعة كافية، فهذا يعني أن إدارة هذه العقد المصدقين نفسها يجب أن تكون موحدة للغاية.
3، مبدأ تحقيق "استرداد التحويل" في Sui
الأكثر إثارة للدهشة هو أن Sui لم تقم فقط بتجميد أصول القراصنة، بل تخطط أيضًا من خلال ترقية على البلوكتشين "نقل الاسترداد" للأموال المسروقة.
في 27 مايو، طرحت Cetus اقتراح تصويت المجتمع، الذي يطلب ترقية البروتوكول وإرسال الأموال المجمدة إلى محفظة متعددة التوقيعات. ثم أطلق صندوق Sui تصويت حوكمة على السلسلة.
في 29 مايو، تم الإعلان عن نتائج التصويت، حيث دعم حوالي 90.9% من وزن المصادقين هذا الاقتراح. أعلنت Sui رسميًا أنه بمجرد الموافقة على الاقتراح، "ستتم استعادة جميع الأموال المجمدة في حسابين هاكر دون الحاجة إلى توقيع الهاكر إلى محفظة متعددة التوقيع."
لا حاجة لتوقيع القراصنة، يا له من ميزة مختلفة، لم يكن هناك مثل هذه الطريقة للإصلاح في صناعة البلوكتشين من قبل.
من خلال PR الرسمي لـ Sui على GitHub، يمكننا أن نرى أن البروتوكول قد أدخل آلية تمييز العناوين (address aliasing). تشمل محتويات الترقية: تحديد قواعد التمييز مسبقًا في ProtocolConfig، مما يسمح لبعض المعاملات المسموح بها بأن تُعتبر التوقيعات القانونية وكأنها مرسلة من حسابات هاكر.
بشكل أكثر تحديدًا، يتم ربط قائمة تجزئة معاملات الإنقاذ التي سيتم تنفيذها بعنوان الهدف (أي عنوان المتسلل)، ويُعتبر أي منفذ يوقع وينشر ملخصات هذه المعاملات الثابتة مالك عنوان المتسلل الذي قام بإجراء المعاملة. بالنسبة لهذه المعاملات المحددة، سيتجاوز نظام عقد التحقق فحص قائمة الرفض.
من منظور الكود، أضاف Sui في منطق التحقق من المعاملات الحكم التالي: عندما يتم اعتراض معاملة بواسطة القائمة السوداء، تقوم النظام بمراجعة الموقعين عليها، والتحقق مما إذا كانت protocol_config.is_tx_allowed_via_aliasing(sender، signer، tx_digest) صحيحة.
طالما أن هناك موقعًا معينًا يلبي قواعد الاسم المستعار، فإن هذه المعاملة تُعتبر مسموحًا بها، ويتم تجاهل الأخطاء السابقة في الاعتراض، ويتم الاستمرار في التعبئة والتنفيذ بشكل طبيعي.
4، وجهة نظر
1.6 مليار، ما تمزقه هو أعمق معتقدات القطاع
من وجهة نظر الكاتب الشخصي، قد تمر هذه الزوبعة بسرعة، ولكن هذا النموذج لن يُنسى، لأنه قد قلب أساسيات الصناعة، كما أنه كسر الإجماع التقليدي غير القابل للتغيير في البلوكتشين ضمن نفس دفتر الحسابات.
في تصميم البلوكتشين، العقد هو القانون، والشفرة هي الحكم.
لكن في هذه الحادثة، فشل الكود، وتدخل الحوكمة، وتجاوز السلطة، مما شكل نمطًا من التصويت الذي يحكم نتائج الكود.
لأن طريقة Sui في تحويل المعاملات مباشرة تختلف اختلافًا كبيرًا عن كيفية معالجة البلوكتشين الرئيسية لمشكلة القراصنة.
هذه ليست المرة الأولى التي "تتلاعب فيها بالاتفاق"، لكنها كانت الأكثر صمتًا
من الناحية التاريخية:
إيثيريوم 2016 حدث The DAO تم التراجع عن التحويلات من خلال الانقسام الصعب لتعويض الخسائر، ولكن هذا القرار أدى إلى انقسام الإيثيريوم والإيثيريوم الكلاسيكي إلى سلسلتين، وكانت العملية مثيرة للجدل، ولكن في النهاية تشكلت مجموعات مختلفة من الجماعات لتكوين معتقدات توافقية مختلفة.
واجه مجتمع البيتكوين تحديات تقنية مماثلة: تم إصلاح ثغرة تداعيات القيمة لعام 2010 بشكل عاجل من قبل المطورين وتم ترقية قواعد الإجماع ، مما أدى إلى محو حوالي 18.4 مليار عملة بيتكوين تم إنشاؤها بشكل غير قانوني.
هذه كلها نمط انقسام صلب مشابه، حيث يتم الرجوع بسجل الحسابات إلى ما قبل المشكلة، ثم يمكن للمستخدمين اختيار النظام الذي يرغبون في الاستمرار في استخدامه.
بالمقارنة مع الانقسام الصلب لـ DAO، لم تختار Sui تقسيم السلاسل، بل استهدفت الحدث الحالي بدقة من خلال ترقية البروتوكول وتكوين الأسماء المستعارة. من خلال القيام بذلك، حافظت Sui على استمرارية السلسلة واحتفظت بمعظم قواعد الإجماع دون تغيير، لكنها في الوقت نفسه تشير إلى أن البروتوكول الأساسي يمكن استخدامه لتنفيذ "إجراءات إنقاذ" مستهدفة.
المشكلة هي أن "العودة إلى الوراء بطريقة متفرعة" في التاريخ هي اختيار المستخدم للإيمان؛ بينما "تصحيح البروتوكول" في Sui هو قرار اتخذته السلسلة نيابة عنك.
ليس مفتاحك، ليس عملتك؟ أخشى أن لا يكون الأمر كذلك بعد الآن.
على المدى الطويل، يعني هذا أن مفهوم "ليس مفاتيحك، ليست عملاتك" قد تم تدميره على سلسلة Sui: حتى لو كانت مفاتيح المستخدم الخاصة كاملة، لا يزال بإمكان الشبكة منع تدفق الأصول وإعادة توجيه الأصول من خلال تغييرات بروتوكول جماعية.
إذا أصبحت هذه سابقة لمواجهة أحداث الأمان الكبيرة في المستقبل على البلوكتشين، بل وتم اعتبارها عادة يمكن الالتزام بها مرة أخرى.
"عندما تستطيع سلسلة ما كسر القواعد من أجل العدالة، فإنها بذلك قد وضعت سابقة لكسر أي قاعدة."
بمجرد نجاح مرة واحدة في "استغلال المال العام"، قد تكون المرة التالية عملية في "المنطقة الرمادية الأخلاقية".
ماذا سيحدث بعد ذلك؟
إذا كان القراصنة قد سرقوا أموال المستخدمين، فهل يمكن أن تأخذ الجماعة تصويتًا وتسرق أمواله؟
هل يعتمد التصويت على من لديه المال الكثير (POS) أم على عدد الأشخاص؟ إذا كان الفائز هو من لديه المال الكثير، فسيصل المنتج النهائي الذي وصفه ليو تسه شين بسرعة، وإذا كان الفائز هو من لديه عدد أكبر من الأشخاص، فإن الحشود الفوضوية ستبدأ في الصراخ.
في النظام التقليدي، من الطبيعي جداً أن تكون العائدات غير المشروعة غير محمية، حيث أن التجميد والتحويل هما عمليتان روتينيتان للبنوك التقليدية.
ولكن من الناحية النظرية التقنية لا يمكن تحقيق ذلك، أليس هو جذر تطور صناعة البلوكتشين؟
الآن العصا التنظيمية في الصناعة تستمر في التفاعل، اليوم يمكن تجميد الحسابات وتعديل رصيدها بسبب القراصنة، وغداً يمكن القيام بأي تعديل لأسباب جغرافية أو عوامل متناقضة. إذا أصبحت الكتلة أداة جزئية إقليمية.
تم تقليل قيمة تلك الصناعة بشكل كبير، وفي أحسن الأحوال هي مجرد نظام مالي آخر أسوأ في الاستخدام.
هذا أيضًا هو سبب إيمان الكاتب القوي بالصناعة: "البلوكتشين ليس له قيمة لأنه لا يمكن تجميده، بل لأنه حتى لو كنت تكرهه، فإنه لن يتغير من أجلك."
الاتجاهات التنظيمية تزداد قوة، هل يمكن للبلوكتشين أن يحافظ على روحه؟
في وقت ما، كانت سلسلة التحالف أكثر شعبية من السلسلة العامة، وذلك لأنها كانت تلبي احتياجات الرقابة في ذلك الوقت. اليوم، تعني تراجع التحالف في الواقع أن الالتزام بتلك الحاجة ليس هو في الحقيقة حاجة المستخدمين الفعليين. المستخدمون الذين فقدوا بسبب الرقابة، فما الحاجة إلى أدوات الرقابة بعد ذلك؟
من منظور تطور الصناعة
الكفاءة المركزية، هل هي مرحلة حتمية في تطوير البلوكتشين؟ إذا كان الهدف النهائي من اللامركزية هو حماية مصالح المستخدمين، فهل يمكننا التسامح مع المركزية كوسيلة انتقالية؟
كلمة "الديمقراطية"، في سياق حوكمة البلوكتشين، هي فعليًا ذات وزن توكن. فهل يمكن للقراصنة الذين يمتلكون كمية كبيرة من SUI (أو في يوم ما عندما يتم اختراق DAO، يتحكم القراصنة في حقوق التصويت)، أن يصوتوا "بشكل قانوني لتبرئة أنفسهم"؟
في النهاية، قيمة البلوكتشين ليست في إمكانية التجميد، بل في أنه حتى لو كانت الجماعة قادرة على التجميد، فإنها تختار عدم القيام بذلك.
مستقبل سلسلة لا يحدده الهيكل التكنولوجي، بل يحدده الإيمان الذي تختاره للحماية.
المحتوى هو للمرجعية فقط، وليس دعوة أو عرضًا. لا يتم تقديم أي مشورة استثمارية أو ضريبية أو قانونية. للمزيد من الإفصاحات حول المخاطر، يُرجى الاطلاع على إخلاء المسؤولية.
وجهة نظر: هاكر سرق المال، هل يعني ذلك أن Sui يمكنه السرقة؟
كتابة: أربعة عشر君
هذه الحادثة هي انتصار للرأس المال، وليست انتصارًا للمستخدمين، بل هي تراجع لتطور الصناعة.
البيتكوين على اليسار، Sui على اليمين، كل حركة تهز الصناعة اللامركزية تظهر، تجلب إيمانًا أقوى بالبيتكوين.
العالم يحتاج إلى أكثر من مجرد بنية تحتية مالية عالمية أفضل، بل دائمًا سيكون هناك مجموعة من الناس بحاجة إلى مساحة حرة.
في فترة ما، كانت سلاسل الكتل الائتلافية أكثر شيوعًا من سلاسل الكتل العامة، وذلك لأنها كانت تلبي متطلبات الرقابة في ذلك الوقت. حاليًا، تراجع الائتلاف يعني في الواقع أن الامتثال لمتطلبات الرقابة ليس هو الطلب الحقيقي من المستخدمين. المستخدمون الذين فقدوا بسبب الرقابة، فما الحاجة إلى أدوات الرقابة؟
1، خلفية الحدث
في 22 مايو 2025، تعرض أكبر بورصة لامركزية في نظام بلوكتشين Sui (DEX) Cetus لهجوم هاكر، مما أدى إلى انخفاض مفاجئ في السيولة وتدهور أسعار العديد من أزواج التداول، مع خسائر تزيد عن 2.2 مليون دولار.
قبل إرسال المقال، الجدول الزمني كما يلي:
2، مبدأ الهجوم
المبادئ المتعلقة بالحدث، حيث أن الصناعة قد كتبت العديد من المقالات، هنا سأقدم فقط لمحة عامة عن المبادئ الأساسية:
من حيث سير الهجوم:
استغل المهاجمون أولاً قرضًا سريعًا لاقتراض حوالي 10,024,321.28 من haSUI، مما أدى إلى انخفاض سعر حوض التداول على الفور.
99.90%. قد أدى هذا الأمر الضخم للبيع إلى انخفاض سعر حوض الهدف من حوالي 1.8956×10^19 إلى 1.8425×10^19، تقريبًا تم تصفية القاع.
ثم قام المهاجم بإنشاء مركز سيولة على Cetus ضمن نطاق ضيق للغاية (الحد الأدنى من النقاط 300000، الحد الأقصى 300200، وعرض النطاق 1.00496621% فقط). هذا النطاق الضيق زاد من تأثير خطأ الحساب اللاحق على كمية الرموز المطلوبة.
ومبدأ هجوم الجوهر:
يوجد ثغرة في تدفق الأعداد الصحيحة في دالة get_delta_a المستخدمة في Cetus لحساب عدد الرموز المطلوبة. يقوم المهاجم بالإعلان عمدًا عن إضافة سيولة ضخمة (حوالي 10^37 وحدة)، ولكنه يستثمر في الواقع 1 رمز فقط في العقد.
بسبب خطأ في شرط فحص تجاوز checked_shlw، حدث قطع في الجزء العالي خلال عملية الإزاحة، مما أدى إلى تقدير النظام بشكل خطير لعدد haSUI المطلوب، وبالتالي حصل على كمية ضخمة من السيولة بتكلفة ضئيلة.
من الناحية التقنية، فإن الثغرة المذكورة ناتجة عن استخدام Cetus لقناع وظروف حكم خاطئة في عقد Move الذكي، مما يسمح لأي قيمة أقل من 0xffffffffffffffff << 192 بتجاوز الفحص؛ بينما يتم قطع البيانات العليا بعد التحول 64 بت، حيث يعتبر النظام أنه حصل على سيولة ضخمة عند استلامه كمية ضئيلة جداً من الرموز.
بعد وقوع الحدث، نشأت عمليتان رسميتان: "التجميد" مقابل "الاسترداد"، وهما مرحلتان:
3، آلية التجميد في Sui
توجد قائمة الرفض الخاصة داخل سلسلة Sui ( آلية قائمة الرفض ) التي حققت تجميد أموال المخترقين هذه المرة. ليس هذا فقط، في الواقع، فإن معيار رموز Sui لديه أيضًا نموذج "رموز خاضعة للتنظيم"، مع وظيفة تجميد مدمجة.
كانت هذه العملية الطارئة للتجميد هي بالضبط استخدام هذه الميزة: حيث أضافت عقدة التحقق بسرعة عنوان الأموال المسروقة في ملف التكوين المحلي. من الناحية النظرية، يمكن لكل مشغل عقدة تعديل TransactionDenyConfig لتحديث القائمة السوداء، ولكن لضمان توافق الشبكة، قامت مؤسسة Sui، باعتبارها الجهة المسؤولة عن إطلاق التكوين الأولي، بالتنسيق بشكل مركزي.
أصدرت المؤسسة أولاً تحديثًا رسميًا يتضمن عنوان الهاكر، حيث قام المدققون بمزامنة التكوين الافتراضي ليصبح ساري المفعول، مما جعل أموال الهاكر محصورة مؤقتًا على البلوكتشين، وهناك في الواقع عوامل مركزة عالية وراء ذلك.
لإنقاذ الضحايا من الأموال المجمدة، أطلق فريق Sui على الفور تصحيح آلية القائمة البيضاء (Whitelist).
هذا يتعلق بعملية إعادة تحويل الأموال في المستقبل. يمكن بناء معاملات قانونية مسبقًا وتسجيلها في القائمة البيضاء، حتى لو كانت عنوان الأموال لا يزال في القائمة السوداء، فإنه يمكن تنفيذها قسراً.
تسمح هذه الميزة الجديدة transaction_allow_list_skip_all_checks بإضافة معاملات معينة مسبقًا إلى "قائمة الإعفاء من الفحص"، مما يمكّن هذه المعاملات من تخطي جميع فحوصات الأمان، بما في ذلك التوقيع، والأذونات، والقوائم السوداء، وغيرها.
يرجى ملاحظة أن تصحيح قائمة الانتظار لا يمكنه مباشرةً الاستيلاء على أصول القراصنة؛ إنه يمنح فقط بعض المعاملات القدرة على تجاوز التجميد، ولا يزال يتعين إكمال نقل الأصول الحقيقي بتوقيع قانوني أو وحدة أذونات نظام إضافية.
في الواقع، غالبًا ما تحدث حلول التجميد السائدة في الصناعة على مستوى عقود الرموز، وتكون تحت سيطرة التوقيع المتعدد من قبل الجهة المصدرة.
كمثال على USDT الذي تصدره Tether، فإن العقد يحتوي على وظيفة قائمة سوداء مدمجة، حيث يمكن لشركة الإصدار تجميد العناوين المخالفة، مما يمنعها من نقل USDT. تتطلب هذه الخطة توقيعًا متعددًا لبدء طلب التجميد على البلوكتشين، ويتم تنفيذها فعليًا فقط بعد أن يتفق التوقيع المتعدد، مما يؤدي إلى وجود تأخير في التنفيذ.
على الرغم من أن آلية تجميد Tether فعالة، فإن الإحصائيات تُظهر أن عملية التوقيع المتعدد غالبًا ما تظهر "فترات فراغ"، مما يترك فرصة للمجرمين.
بالمقارنة، يحدث تجميد Sui على مستوى البروتوكول الأساسي، من خلال العمليات الجماعية لعقد التحقق، وسرعة التنفيذ أسرع بكثير من استدعاءات العقد العادية.
في هذا النموذج، إذا كان يجب تنفيذ الأمور بسرعة كافية، فهذا يعني أن إدارة هذه العقد المصدقين نفسها يجب أن تكون موحدة للغاية.
3، مبدأ تحقيق "استرداد التحويل" في Sui
الأكثر إثارة للدهشة هو أن Sui لم تقم فقط بتجميد أصول القراصنة، بل تخطط أيضًا من خلال ترقية على البلوكتشين "نقل الاسترداد" للأموال المسروقة.
في 27 مايو، طرحت Cetus اقتراح تصويت المجتمع، الذي يطلب ترقية البروتوكول وإرسال الأموال المجمدة إلى محفظة متعددة التوقيعات. ثم أطلق صندوق Sui تصويت حوكمة على السلسلة.
في 29 مايو، تم الإعلان عن نتائج التصويت، حيث دعم حوالي 90.9% من وزن المصادقين هذا الاقتراح. أعلنت Sui رسميًا أنه بمجرد الموافقة على الاقتراح، "ستتم استعادة جميع الأموال المجمدة في حسابين هاكر دون الحاجة إلى توقيع الهاكر إلى محفظة متعددة التوقيع."
لا حاجة لتوقيع القراصنة، يا له من ميزة مختلفة، لم يكن هناك مثل هذه الطريقة للإصلاح في صناعة البلوكتشين من قبل.
من خلال PR الرسمي لـ Sui على GitHub، يمكننا أن نرى أن البروتوكول قد أدخل آلية تمييز العناوين (address aliasing). تشمل محتويات الترقية: تحديد قواعد التمييز مسبقًا في ProtocolConfig، مما يسمح لبعض المعاملات المسموح بها بأن تُعتبر التوقيعات القانونية وكأنها مرسلة من حسابات هاكر.
بشكل أكثر تحديدًا، يتم ربط قائمة تجزئة معاملات الإنقاذ التي سيتم تنفيذها بعنوان الهدف (أي عنوان المتسلل)، ويُعتبر أي منفذ يوقع وينشر ملخصات هذه المعاملات الثابتة مالك عنوان المتسلل الذي قام بإجراء المعاملة. بالنسبة لهذه المعاملات المحددة، سيتجاوز نظام عقد التحقق فحص قائمة الرفض.
من منظور الكود، أضاف Sui في منطق التحقق من المعاملات الحكم التالي: عندما يتم اعتراض معاملة بواسطة القائمة السوداء، تقوم النظام بمراجعة الموقعين عليها، والتحقق مما إذا كانت protocol_config.is_tx_allowed_via_aliasing(sender، signer، tx_digest) صحيحة.
طالما أن هناك موقعًا معينًا يلبي قواعد الاسم المستعار، فإن هذه المعاملة تُعتبر مسموحًا بها، ويتم تجاهل الأخطاء السابقة في الاعتراض، ويتم الاستمرار في التعبئة والتنفيذ بشكل طبيعي.
4، وجهة نظر
1.6 مليار، ما تمزقه هو أعمق معتقدات القطاع
من وجهة نظر الكاتب الشخصي، قد تمر هذه الزوبعة بسرعة، ولكن هذا النموذج لن يُنسى، لأنه قد قلب أساسيات الصناعة، كما أنه كسر الإجماع التقليدي غير القابل للتغيير في البلوكتشين ضمن نفس دفتر الحسابات.
في تصميم البلوكتشين، العقد هو القانون، والشفرة هي الحكم.
لكن في هذه الحادثة، فشل الكود، وتدخل الحوكمة، وتجاوز السلطة، مما شكل نمطًا من التصويت الذي يحكم نتائج الكود.
لأن طريقة Sui في تحويل المعاملات مباشرة تختلف اختلافًا كبيرًا عن كيفية معالجة البلوكتشين الرئيسية لمشكلة القراصنة.
هذه ليست المرة الأولى التي "تتلاعب فيها بالاتفاق"، لكنها كانت الأكثر صمتًا
من الناحية التاريخية:
هذه كلها نمط انقسام صلب مشابه، حيث يتم الرجوع بسجل الحسابات إلى ما قبل المشكلة، ثم يمكن للمستخدمين اختيار النظام الذي يرغبون في الاستمرار في استخدامه.
بالمقارنة مع الانقسام الصلب لـ DAO، لم تختار Sui تقسيم السلاسل، بل استهدفت الحدث الحالي بدقة من خلال ترقية البروتوكول وتكوين الأسماء المستعارة. من خلال القيام بذلك، حافظت Sui على استمرارية السلسلة واحتفظت بمعظم قواعد الإجماع دون تغيير، لكنها في الوقت نفسه تشير إلى أن البروتوكول الأساسي يمكن استخدامه لتنفيذ "إجراءات إنقاذ" مستهدفة.
المشكلة هي أن "العودة إلى الوراء بطريقة متفرعة" في التاريخ هي اختيار المستخدم للإيمان؛ بينما "تصحيح البروتوكول" في Sui هو قرار اتخذته السلسلة نيابة عنك.
ليس مفتاحك، ليس عملتك؟ أخشى أن لا يكون الأمر كذلك بعد الآن.
على المدى الطويل، يعني هذا أن مفهوم "ليس مفاتيحك، ليست عملاتك" قد تم تدميره على سلسلة Sui: حتى لو كانت مفاتيح المستخدم الخاصة كاملة، لا يزال بإمكان الشبكة منع تدفق الأصول وإعادة توجيه الأصول من خلال تغييرات بروتوكول جماعية.
إذا أصبحت هذه سابقة لمواجهة أحداث الأمان الكبيرة في المستقبل على البلوكتشين، بل وتم اعتبارها عادة يمكن الالتزام بها مرة أخرى.
"عندما تستطيع سلسلة ما كسر القواعد من أجل العدالة، فإنها بذلك قد وضعت سابقة لكسر أي قاعدة."
بمجرد نجاح مرة واحدة في "استغلال المال العام"، قد تكون المرة التالية عملية في "المنطقة الرمادية الأخلاقية".
ماذا سيحدث بعد ذلك؟
إذا كان القراصنة قد سرقوا أموال المستخدمين، فهل يمكن أن تأخذ الجماعة تصويتًا وتسرق أمواله؟
هل يعتمد التصويت على من لديه المال الكثير (POS) أم على عدد الأشخاص؟ إذا كان الفائز هو من لديه المال الكثير، فسيصل المنتج النهائي الذي وصفه ليو تسه شين بسرعة، وإذا كان الفائز هو من لديه عدد أكبر من الأشخاص، فإن الحشود الفوضوية ستبدأ في الصراخ.
في النظام التقليدي، من الطبيعي جداً أن تكون العائدات غير المشروعة غير محمية، حيث أن التجميد والتحويل هما عمليتان روتينيتان للبنوك التقليدية.
ولكن من الناحية النظرية التقنية لا يمكن تحقيق ذلك، أليس هو جذر تطور صناعة البلوكتشين؟
الآن العصا التنظيمية في الصناعة تستمر في التفاعل، اليوم يمكن تجميد الحسابات وتعديل رصيدها بسبب القراصنة، وغداً يمكن القيام بأي تعديل لأسباب جغرافية أو عوامل متناقضة. إذا أصبحت الكتلة أداة جزئية إقليمية.
تم تقليل قيمة تلك الصناعة بشكل كبير، وفي أحسن الأحوال هي مجرد نظام مالي آخر أسوأ في الاستخدام.
هذا أيضًا هو سبب إيمان الكاتب القوي بالصناعة: "البلوكتشين ليس له قيمة لأنه لا يمكن تجميده، بل لأنه حتى لو كنت تكرهه، فإنه لن يتغير من أجلك."
الاتجاهات التنظيمية تزداد قوة، هل يمكن للبلوكتشين أن يحافظ على روحه؟
في وقت ما، كانت سلسلة التحالف أكثر شعبية من السلسلة العامة، وذلك لأنها كانت تلبي احتياجات الرقابة في ذلك الوقت. اليوم، تعني تراجع التحالف في الواقع أن الالتزام بتلك الحاجة ليس هو في الحقيقة حاجة المستخدمين الفعليين. المستخدمون الذين فقدوا بسبب الرقابة، فما الحاجة إلى أدوات الرقابة بعد ذلك؟
من منظور تطور الصناعة
الكفاءة المركزية، هل هي مرحلة حتمية في تطوير البلوكتشين؟ إذا كان الهدف النهائي من اللامركزية هو حماية مصالح المستخدمين، فهل يمكننا التسامح مع المركزية كوسيلة انتقالية؟
كلمة "الديمقراطية"، في سياق حوكمة البلوكتشين، هي فعليًا ذات وزن توكن. فهل يمكن للقراصنة الذين يمتلكون كمية كبيرة من SUI (أو في يوم ما عندما يتم اختراق DAO، يتحكم القراصنة في حقوق التصويت)، أن يصوتوا "بشكل قانوني لتبرئة أنفسهم"؟
في النهاية، قيمة البلوكتشين ليست في إمكانية التجميد، بل في أنه حتى لو كانت الجماعة قادرة على التجميد، فإنها تختار عدم القيام بذلك.
مستقبل سلسلة لا يحدده الهيكل التكنولوجي، بل يحدده الإيمان الذي تختاره للحماية.