- Тема
18k Популярність
52k Популярність
3k Популярність
15k Популярність
30k Популярність
944 Популярність
110k Популярність
26k Популярність
26k Популярність
7k Популярність
- Закріпити
18k Популярність
52k Популярність
3k Популярність
15k Популярність
30k Популярність
944 Популярність
110k Популярність
26k Популярність
26k Популярність
7k Популярність
Sui як «заморожує» адреси хакерів, чи децентралізація - це брехня?
Оригінальний автор: Haotian
Перепост: Олівер, Mars Finance
Багато людей дивуються, що Sui офіційно заявила, що після атаки хакерів на @CetusProtocol мережа валідаторів координувала "замороження" адреси хакера, що дозволило врятувати 160 мільйонів доларів. Як це вдалося зробити? Чи є децентралізація "брехнею"? Нижче спробуємо проаналізувати з технічної точки зору:
· Частина, що переноситься через крос-чейн міст: після успішної атаки хакера, частину активів, таких як USDC, одразу перенесли через крос-чейн міст на інші ланцюги, такі як Ethereum. Ці кошти вже неможливо повернути, оскільки після виходу з екосистеми Sui валідатори вже не можуть нічого вдіяти.
· Частина, що залишається на ланцюзі Sui: значна кількість вкрадених коштів все ще зберігається на адресах Sui, контрольованих хакерами. Ця частина коштів стала «замороженою» мішенню.
А відповідно до офіційного оголошення, «значна кількість валідаторів виявила адреси вкрадених коштів і ігнорує транзакції на цих адресах».
Як саме це реалізувати?
Валідатори на етапі пулу транзакцій (mempool) прямо ігнорують транзакції з адрес хакерів;
Ці торгові технології технічно повністю ефективні, але просто не дозволяють вам упакувати їх в ланцюг;
Кошти хакера таким чином були «під домашнім арештом» на адресі;
Переміщення повинно бути в ланцюзі: хоча хакер контролює велику кількість активів у адресі Sui, для переміщення цих об'єктів USDC, SUI тощо необхідно ініціювати транзакцію та підтвердити її пакуванням валідатором;
Валідатори мають владу над життям і смертю: якщо валідатор відмовляється упакувати, об'єкт ніколи не зможе рухатися;
Результат: Хакер нібито «володіє» цими активами, але насправді не має жодних можливостей.
Подібно до того, як у вас є банківська картка, але всі банкомати відмовляються вам служити. Гроші на картці, але ви не можете їх зняти. Завдяки постійному моніторингу та втручанню SUI верифікаційних вузлів (банкоматів), токени SUI на адресах хакерів не зможуть циркулювати, ці вкрадені кошти тепер подібні до «знищених», об'єктивно виконуючи функцію «дефляції»?
Звичайно, окрім тимчасової координації валідаторів, Sui може на системному рівні передбачити функцію списку відмов. Якщо це дійсно так, то процес може бути таким: відповідні уповноважені особи (наприклад, Фонд Sui або через управління) додають адреси хакерів до системного deny_list, валідатори виконують згідно з цим системним правилом, відмовляючи в обробці транзакцій адрес з чорного списку.
Незалежно від того, чи йдеться про ситуативну координацію чи застосування системних правил, більшість валідаторів повинні мати можливість діяти в унісон. Очевидно, що мережа валідаторів Sui все ще занадто централізована, і кілька вузлів можуть контролювати ключові рішення в мережі. І надмірна концентрація валідаторів Sui не є поодиноким випадком PoS-ланцюжків - від Ethereum до BSC більшість PoS-мереж стикаються з аналогічним ризиком концентрації валідаторів, але цього разу Sui виявила проблему більш очевидно.
Як може мережа, яка претендує на децентралізацію, мати таку сильну централізовану «заморожуючу» здатність?
Більш того, офіційні представники Sui заявили, що повернуть заморожені кошти до пулу, але якщо справді валідатор «відмовляється упакувати транзакцію», ці кошти теоретично мають залишитися недоступними назавжди. Як Sui планує повернути їх? Це ще більше ставить під сумнів децентралізовану природу цієї мережі!
Чи може бути так, що, за винятком невеликої кількості централізованих валідаторів, які відмовляються торгувати, чиновник навіть має суперповноваження на системному рівні безпосередньо змінювати право власності на активи? Перш ніж розкривати конкретні деталі, необхідно обговорити компроміси децентралізації:
Термінове реагування на надзвичайні ситуації, чи є жертва деякої децентралізації завжди поганою справою? Якщо статися атакі хакерів, чи дійсно користувачі хочуть, щоб вся мережа нічого не робила?
Я хочу сказати, що люди, природно, не хочуть, щоб гроші потрапляли до рук хакерів, але ще більше занепокоєння ринку викликає те, що критерії заморожування абсолютно «суб'єктивні»: що вважається «вкраденими коштами»? Хто його визначає? Де межі? Заморозити хакерів сьогодні, заморозити кого завтра? Як тільки цей прецедент буде відкритий, основна антицензурна цінність публічного ланцюга стане повністю банкрутом, що неминуче завдасть шкоди довірі користувачів. Децентралізація – це не чорне по білому, і компанія Sui обрала конкретний баланс між захистом користувачів і децентралізацією. Ключовим каменем спотикання є відсутність прозорих механізмів управління та стандартів чітких меж. Більшість блокчейн-проектів йдуть на цей компроміс на даному етапі, але користувачі мають право знати правду і не бути введеними в оману ярликом «повністю децентралізованих».