- Rubrique
18k Popularité
52k Popularité
3k Popularité
15k Popularité
30k Popularité
944 Popularité
110k Popularité
26k Popularité
26k Popularité
7k Popularité
- Épingler
18k Popularité
52k Popularité
3k Popularité
15k Popularité
30k Popularité
944 Popularité
110k Popularité
26k Popularité
26k Popularité
7k Popularité
Comment Sui « gèle » l'adresse du hacker, la décentralisation est-elle un mensonge ?
Auteur original : Haotian
Reproduit : Oliver, Mars Finance
Beaucoup de gens se demandent comment Sui a annoncé que @CetusProtocol avait été attaqué par des hackers, et que le réseau des validateurs a « gelé » l'adresse des hackers, récupérant ainsi 160 millions de dollars. Comment cela a-t-il été possible ? La décentralisation est-elle vraiment un « mensonge » ? Voici une tentative d'analyse sous un angle technique :
· Partie de la migration par la passerelle inter-chaînes : après le succès de l'attaque des hackers, une partie des actifs tels que USDC a immédiatement été transférée vers d'autres chaînes comme Ethereum via la passerelle inter-chaînes. Cette partie des fonds est désormais irrécupérable, car une fois qu'elle a quitté l'écosystème Sui, les validateurs ne peuvent plus rien faire.
· Partie encore sur la chaîne Sui : une quantité considérable de fonds volés est toujours conservée dans des adresses Sui contrôlées par des hackers. Cette partie des fonds est devenue un objectif de "gel".
Selon l’annonce officielle, « un grand nombre de validateurs ont identifié les adresses de fonds volés et ignorent les transactions sur ces adresses ».
Comment le mettre en œuvre concrètement ?
Les validateurs ignorent directement les transactions des adresses de hackers à l'étape du pool de transactions (mempool) ;
Ces transactions sont techniquement complètement valides, mais elles ne sont tout simplement pas incluses dans la chaîne.
Les fonds des hackers sont ainsi « placés sous surveillance » à l'adresse ;
Le transfert doit être enregistré sur la chaîne : Bien que les hackers contrôlent un grand nombre d'actifs dans l'adresse Sui, pour transférer ces objets comme USDC, SUI, il est nécessaire d'initier une transaction et d'être validé par les validateurs.
Les validateurs détiennent le pouvoir de vie et de mort : si un validateur refuse de créer un bloc, l'objet ne pourra jamais être déplacé.
Résultat : Les hackers « possèdent » ces actifs en théorie, mais en réalité, ils n'ont aucun moyen d'y accéder.
C’est comme si vous aviez une carte bancaire, mais que tous les distributeurs automatiques refusent de vous servir. L’argent est dans la carte, mais vous ne pouvez pas le retirer. Avec la surveillance continue et l’interférence (ATM) des validateurs SUI, les tokens tels que SUI dans l’adresse du pirate ne pourront plus circuler, et ces fonds volés sont désormais « brûlés », jouant objectivement un rôle « déflationniste » ?
Bien sûr, à l’exception de la coordination ad-hoc du validateur, Sui peut avoir une fonctionnalité de liste bloquée prédéfinie au niveau du système. Si tel est le cas, le processus peut être le suivant : l’autorité compétente (par exemple, la Fondation Sui ou par le biais de la gouvernance) ajoute l’adresse du pirate au système deny_list, et le validateur exécute conformément à cette règle du système et refuse de traiter les transactions à l’adresse de la liste noire.
Que ce soit par coordination temporaire ou par l'exécution selon des règles systématiques, il est nécessaire que la majorité des validateurs puissent agir de manière unifiée. Il est évident que la répartition du pouvoir au sein du réseau de validateurs de Sui reste trop centralisée, car quelques nœuds peuvent contrôler des décisions clés pour l'ensemble du réseau. Le problème de la concentration excessive des validateurs de Sui n'est également pas un cas isolé dans les chaînes PoS - des Ethereum à BSC, la plupart des réseaux PoS font face à un risque similaire de concentration des validateurs, mais Sui a simplement exposé le problème de manière plus évidente cette fois.
Comment un réseau prétendument décentralisé peut-il avoir une telle capacité de "gel" centralisée ?
Ce qui est encore plus grave, c'est que les responsables de Sui ont déclaré qu'ils allaient restituer les fonds gelés au pool, mais si les validateurs « refusent de regrouper les transactions », ces fonds ne devraient théoriquement jamais pouvoir être déplacés. Comment Sui compte-t-elle procéder à cette restitution ? Cela remet encore plus en question le caractère décentralisé de cette chaîne Sui !
N'est-il pas vrai qu'en dehors de quelques validateurs centralisés qui refusent les transactions, l'autorité officielle a même des super pouvoirs au niveau du système pour modifier directement la propriété des actifs ? (Sui doit fournir plus de détails sur le "gel") Avant la divulgation des détails spécifiques, il est nécessaire de discuter des compromis autour de la décentralisation :
Une intervention d'urgence dans la réponse, sacrifier un peu de décentralisation est-il toujours une mauvaise chose ? Si une attaque de hacker se produit, est-ce que c'est vraiment ce que les utilisateurs souhaitent que toute la chaîne reste inactive ?
Ce que je veux dire, c’est que les gens ne veulent naturellement pas que de l’argent tombe entre les mains de pirates informatiques, mais ce qui rend le marché encore plus inquiet, c’est que les critères de gel sont complètement « subjectifs » : qu’est-ce qui compte comme des « fonds volés » ? Qui le définit ? Où sont les frontières ? Geler les pirates informatiques aujourd’hui, geler qui demain ? Dès que ce précédent sera ouvert, la valeur anti-censure fondamentale de la chaîne publique sera complètement en faillite, ce qui causera inévitablement des dommages à la confiance des utilisateurs. La décentralisation n’est pas noire ou blanche, et Sui a choisi un équilibre spécifique entre la protection des utilisateurs et la décentralisation. Le principal point d’achoppement est l’absence de mécanismes de gouvernance transparents et de normes de délimitation claires. La plupart des projets blockchain font ce compromis à ce stade, mais les utilisateurs ont le droit de connaître la vérité et de ne pas être induits en erreur par l’étiquette de « entièrement décentralisé ».