22 травня екосистема Sui DEX Cetus була обкрадена на 223 мільйони доларів. З цієї суми лише 60 мільйонів доларів було обміняно через кросчейн-мост на ETH та потрапило до кишені хакера, тоді як решту 162 мільйонів доларів було заморожено координаційними вузлами фонду Sui.
27 травня розпочалося голосування в спільноті, "щоб вирішити, чи впроваджувати оновлення протоколу для повернення коштів, заморожених на рахунках, які контролюються хакерами". В результаті оновлення протоколу, 162 мільйони коштів були успішно повернені.
Швидка реакція Фонду Sui на цю крадіжку та швидке впровадження рішення викликали значні дискусії в спільноті. З одного боку, він повернув більшість коштів, захистивши інтереси постраждалих користувачів, а з іншого боку, спосіб повернення полягав у примусовому зміненні права власності на активи через консенсус вузлів. Це перший випадок реалізації "переміщення активів без приватного ключа" на рівні публічного блокчейну.
Перед інтересами користувачів ця настільки "смілива" операція, що суперечить "духу децентралізації", просто була проігнорована.
Як здійснюється безключовий переказ активів?
22 травня екосистема DEX Sui Cetus зазнала хакерської атаки через низькорівневу помилку у своєму коді, внаслідок чого було втрачено 223 мільйони доларів. Після інциденту 162 мільйони доларів з викрадених коштів були заморожені верифікаційними вузлами, координованими фондом Sui.
27 травня Фонд Sui ініціював голосування в спільноті, метою якого було вирішити, чи впроваджувати оновлення протоколу для повернення коштів, заморожених на рахунках, контрольованих хакерами. В підсумку, протягом 48 годин, 114 вузлів з 103 взяли участь у голосуванні, 99 голосів за, 2 проти, 2 утрималися, 90,9% голосів підтримали пропозицію.
Пропозиція також означає оновлення протоколу Sui, що дозволить певній адресі представляти адресу хакера для проведення двох транзакцій з метою сприяння поверненню коштів. Ці транзакції будуть спроектовані і опубліковані після остаточного визначення адреси відновлення. Повернені активи будуть зберігатися в мультипідписковому гаманці, контрольованому аудиторами, якими є Cetus, Фонд Sui та довірені особи з громади Sui, OtterSec.
На рівні оновлення протоколу впроваджено функцію адресного псевдонімування (address aliasing). Конкретно, заздалегідь на рівні протоколу визначено правила: маскувати певні управлінські дії під "легітимний підпис хакерського рахунку", а потім вузли перевірки після оновлення визнають цей підроблений підпис, легалізуючи передачу заморожених коштів. Це дозволяє, не торкаючись приватного ключа, примусово змінювати право власності на активи через консенсус вузлів (це схоже на те, як центральний банк заморожує банківські рахунки і переведе кошти).
А як же були реалізовані найперші заморожені активи? Sui сам по собі підтримує функції списку заборонених (заморожених) та регульованих токенів, а цього разу просто було викликано інтерфейс замороження для блокування адреси хакера.
Технічні ризики, залишені внаслідок втручання влади
Хоча цей крок повернув більшість заморожених активів, це також викликає занепокоєння, оскільки оновлення протоколу примусово змінило права власності активів через консенсус вузлів, що також означає, що офіційний Sui може підписувати замість будь-якої адреси, таким чином переводячи активи з неї.
Обмеження на те, чи може офіційний Sui це зробити, полягає не в коді смарт-контракту, а в праві голосу вузлів, а результати голосування вузлів контролюються ким? Це не що інше, як великі вузли, контрольовані фондом! Іншими словами, зацікавлені сторони офіційного Sui мають найбільше право голосу, й навіть голосування є лише формальністю.
Приватний ключ користувача більше не є абсолютним підтвердженням контролю над активами, якщо тільки консенсус вузлів не погоджується, рівень протоколу може безпосередньо перекрити права доступу до приватного ключа.
Однак з іншого боку, це реалізувало високу ефективність повернення активів, швидке заморожування активів, завдяки вбудованій регуляторній функції Sui, що також дозволяє швидко зменшити збитки, голосування було завершено протягом 48 годин, і було реалізовано оновлення протоколу.
Однак, на думку автора, функція адресного псевдонімування створює небезпечний прецедент — рівень протоколу може підробляти "легітимні операції" з будь-якою адресою, що закладає технологічну основу для втручання з боку влади.
А ця серія операцій по поверненню коштів Sui є лише вибором команди публічної блокчейн-платформи, яка вирішила діяти з точки зору інтересів користувачів, коли інтереси користувачів суперечать принципам децентралізації. Щодо того, чи порушує це принципи децентралізації, здається, що це вже не має значення ні для користувачів, ні для Sui, адже у відповідь на запитання можна стверджувати, що це було вирішено шляхом "голосування".
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Cetus викрадені кошти повернені "Децентралізація" поступка інтересам користувачів
Jessy, Золотий фінансовий
22 травня екосистема Sui DEX Cetus була обкрадена на 223 мільйони доларів. З цієї суми лише 60 мільйонів доларів було обміняно через кросчейн-мост на ETH та потрапило до кишені хакера, тоді як решту 162 мільйонів доларів було заморожено координаційними вузлами фонду Sui.
27 травня розпочалося голосування в спільноті, "щоб вирішити, чи впроваджувати оновлення протоколу для повернення коштів, заморожених на рахунках, які контролюються хакерами". В результаті оновлення протоколу, 162 мільйони коштів були успішно повернені.
Швидка реакція Фонду Sui на цю крадіжку та швидке впровадження рішення викликали значні дискусії в спільноті. З одного боку, він повернув більшість коштів, захистивши інтереси постраждалих користувачів, а з іншого боку, спосіб повернення полягав у примусовому зміненні права власності на активи через консенсус вузлів. Це перший випадок реалізації "переміщення активів без приватного ключа" на рівні публічного блокчейну.
Перед інтересами користувачів ця настільки "смілива" операція, що суперечить "духу децентралізації", просто була проігнорована.
Як здійснюється безключовий переказ активів?
22 травня екосистема DEX Sui Cetus зазнала хакерської атаки через низькорівневу помилку у своєму коді, внаслідок чого було втрачено 223 мільйони доларів. Після інциденту 162 мільйони доларів з викрадених коштів були заморожені верифікаційними вузлами, координованими фондом Sui.
27 травня Фонд Sui ініціював голосування в спільноті, метою якого було вирішити, чи впроваджувати оновлення протоколу для повернення коштів, заморожених на рахунках, контрольованих хакерами. В підсумку, протягом 48 годин, 114 вузлів з 103 взяли участь у голосуванні, 99 голосів за, 2 проти, 2 утрималися, 90,9% голосів підтримали пропозицію.
Пропозиція також означає оновлення протоколу Sui, що дозволить певній адресі представляти адресу хакера для проведення двох транзакцій з метою сприяння поверненню коштів. Ці транзакції будуть спроектовані і опубліковані після остаточного визначення адреси відновлення. Повернені активи будуть зберігатися в мультипідписковому гаманці, контрольованому аудиторами, якими є Cetus, Фонд Sui та довірені особи з громади Sui, OtterSec.
На рівні оновлення протоколу впроваджено функцію адресного псевдонімування (address aliasing). Конкретно, заздалегідь на рівні протоколу визначено правила: маскувати певні управлінські дії під "легітимний підпис хакерського рахунку", а потім вузли перевірки після оновлення визнають цей підроблений підпис, легалізуючи передачу заморожених коштів. Це дозволяє, не торкаючись приватного ключа, примусово змінювати право власності на активи через консенсус вузлів (це схоже на те, як центральний банк заморожує банківські рахунки і переведе кошти).
А як же були реалізовані найперші заморожені активи? Sui сам по собі підтримує функції списку заборонених (заморожених) та регульованих токенів, а цього разу просто було викликано інтерфейс замороження для блокування адреси хакера.
Технічні ризики, залишені внаслідок втручання влади
Хоча цей крок повернув більшість заморожених активів, це також викликає занепокоєння, оскільки оновлення протоколу примусово змінило права власності активів через консенсус вузлів, що також означає, що офіційний Sui може підписувати замість будь-якої адреси, таким чином переводячи активи з неї.
Обмеження на те, чи може офіційний Sui це зробити, полягає не в коді смарт-контракту, а в праві голосу вузлів, а результати голосування вузлів контролюються ким? Це не що інше, як великі вузли, контрольовані фондом! Іншими словами, зацікавлені сторони офіційного Sui мають найбільше право голосу, й навіть голосування є лише формальністю.
Приватний ключ користувача більше не є абсолютним підтвердженням контролю над активами, якщо тільки консенсус вузлів не погоджується, рівень протоколу може безпосередньо перекрити права доступу до приватного ключа.
Однак з іншого боку, це реалізувало високу ефективність повернення активів, швидке заморожування активів, завдяки вбудованій регуляторній функції Sui, що також дозволяє швидко зменшити збитки, голосування було завершено протягом 48 годин, і було реалізовано оновлення протоколу.
Однак, на думку автора, функція адресного псевдонімування створює небезпечний прецедент — рівень протоколу може підробляти "легітимні операції" з будь-якою адресою, що закладає технологічну основу для втручання з боку влади.
А ця серія операцій по поверненню коштів Sui є лише вибором команди публічної блокчейн-платформи, яка вирішила діяти з точки зору інтересів користувачів, коли інтереси користувачів суперечать принципам децентралізації. Щодо того, чи порушує це принципи децентралізації, здається, що це вже не має значення ні для користувачів, ні для Sui, адже у відповідь на запитання можна стверджувати, що це було вирішено шляхом "голосування".