22 мая DEX Cetus экосистемы Sui был взломан, и было украдено 223 миллиона долларов. Из этой суммы только 60 миллионов долларов были обменены на ETH через кросс-цепочный мост и попали в карман хакера, в то время как оставшиеся 162 миллиона долларов были заморожены координирующими узлами фонда Sui.
27 мая стартовало голосование сообщества, "чтобы решить, следует ли реализовать обновление протокола для возврата средств, замороженных на счетах, контролируемых хакерами". В конечном итоге обновление протокола было реализовано, и 162 миллиона средств были успешно возвращены.
Быстрая реакция фонда Sui на этот инцидент с кражей и быстрое внедрение решения вызвали значительные споры в сообществе. С одной стороны, ему удалось вернуть большую часть средств и защитить интересы пострадавших пользователей, с другой стороны, способ возврата заключался в принудительном изменении прав собственности на активы через консенсус узлов, что стало первым случаем реализации "перемещения активов без ключа" на уровне публичной цепи.
В интересах пользователей эта столь "дерзкая" операция, противоречащая "духу децентрализации", была просто проигнорирована.
Как осуществляется передача активов без ключа?
22 мая экосистема DEX Sui Cetus была атакована хакерами из-за низкоуровневой ошибки в своем коде, в результате чего был потерян 223 миллиона долларов. После инцидента 162 миллиона долларов из украденных средств были заморожены координирующими валидаторами фонда Sui.
27 мая Фонд Sui организовал голосование сообщества, целью которого было решение о том, следует ли проводить обновление протокола для возврата средств, замороженных на аккаунтах, контролируемых хакерами. В конечном итоге за 48 часов 114 узлов из 103 проголосовали, 99 голосов "за", 2 "против", 2 "воздержались", и предложение было принято с высоким результатом в 90,9%.
Предложение также означает обновление протокола Sui, которое позволит конкретному адресу представлять адрес хакера для выполнения двух транзакций с целью содействия возврату средств. Эти транзакции будут спроектированы и опубликованы после окончательного определения адреса восстановления. Возвращенные активы будут храниться в мультиподписном кошельке, контролируемом аудиторами, доверенными Cetus, Фондом Sui и сообществом Sui, такими как OtterSec.
На уровне обновления протокола введена функция адресного псевдонимирования (address aliasing). Конкретно, заранее в протоколе определяются правила: определенные операции управления маскируются под «легитимную подпись хакерского счета», а затем узлы верификации после обновления признают эту подделанную подпись, что легализует перевод замороженных средств. Это позволяет, не касаясь приватного ключа, принудительно изменять право собственности на активы через консенсус узлов (это похоже на заморозку средств на банковском счете центральным банком и последующий перевод средств).
А как же были реализованы самые ранние замороженные активы? Sui сам по себе поддерживает функции Deny list (список запрещенных) и Regulated tokens (регулируемые токены), в этот раз просто был вызван интерфейс заморозки для блокировки адреса хакера.
Оставшиеся технические риски вмешательства власти
Хотя этот шаг восстановил большую часть замороженных активов, это также вызывает беспокойство, поскольку обновление протокола принудительно изменило право собственности на активы через консенсус узлов, что также означает, что официальные представители Sui могут заменить любой адрес для подписания, тем самым перемещая активы из него.
Ограничение того, может ли официальный Sui это сделать, не является кодом смарт-контракта, а правом голоса узлов, а кто же контролирует результаты голосования узлов? Это просто крупные узлы, контролируемые фондом! Это означает, что заинтересованные стороны официального Sui обладают наибольшим правом голоса, и даже голосование – это всего лишь формальность.
Частный ключ пользователя больше не является абсолютным доказательством контроля над активами; как только узловое согласие достигнуто, уровень протокола может напрямую переопределить права частного ключа.
Однако с другой стороны, это обеспечило высокую эффективность возврата активов, быструю заморозку активов благодаря встроенной регуляторной функции Sui, что также позволяет быстро ограничить убытки. Голосование было завершено в течение 48 часов, и обновление протокола было реализовано.
Но, по мнению автора, функция адресного псевдонимирования создает опасный прецедент — на уровне протокола можно подделать "законные операции" с любым адресом, что закладывает техническую основу для вмешательства власти.
А эта серия операций по возврату средств Sui на самом деле является решением, которое общественная цепь приняла с точки зрения интересов пользователей, когда интересы пользователей вступают в конфликт с принципами децентрализации. Что касается вопроса о том, нарушены ли принципы децентрализации, для пользователей и Sui это, похоже, уже не имеет значения, ведь, в конце концов, в ответ на критику можно сказать, что это было "решение голосования".
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Cetus возвращает украденные средства "Децентрализация" уступает интересам пользователей
Джесси, Золотая экономика
22 мая DEX Cetus экосистемы Sui был взломан, и было украдено 223 миллиона долларов. Из этой суммы только 60 миллионов долларов были обменены на ETH через кросс-цепочный мост и попали в карман хакера, в то время как оставшиеся 162 миллиона долларов были заморожены координирующими узлами фонда Sui.
27 мая стартовало голосование сообщества, "чтобы решить, следует ли реализовать обновление протокола для возврата средств, замороженных на счетах, контролируемых хакерами". В конечном итоге обновление протокола было реализовано, и 162 миллиона средств были успешно возвращены.
Быстрая реакция фонда Sui на этот инцидент с кражей и быстрое внедрение решения вызвали значительные споры в сообществе. С одной стороны, ему удалось вернуть большую часть средств и защитить интересы пострадавших пользователей, с другой стороны, способ возврата заключался в принудительном изменении прав собственности на активы через консенсус узлов, что стало первым случаем реализации "перемещения активов без ключа" на уровне публичной цепи.
В интересах пользователей эта столь "дерзкая" операция, противоречащая "духу децентрализации", была просто проигнорирована.
Как осуществляется передача активов без ключа?
22 мая экосистема DEX Sui Cetus была атакована хакерами из-за низкоуровневой ошибки в своем коде, в результате чего был потерян 223 миллиона долларов. После инцидента 162 миллиона долларов из украденных средств были заморожены координирующими валидаторами фонда Sui.
27 мая Фонд Sui организовал голосование сообщества, целью которого было решение о том, следует ли проводить обновление протокола для возврата средств, замороженных на аккаунтах, контролируемых хакерами. В конечном итоге за 48 часов 114 узлов из 103 проголосовали, 99 голосов "за", 2 "против", 2 "воздержались", и предложение было принято с высоким результатом в 90,9%.
Предложение также означает обновление протокола Sui, которое позволит конкретному адресу представлять адрес хакера для выполнения двух транзакций с целью содействия возврату средств. Эти транзакции будут спроектированы и опубликованы после окончательного определения адреса восстановления. Возвращенные активы будут храниться в мультиподписном кошельке, контролируемом аудиторами, доверенными Cetus, Фондом Sui и сообществом Sui, такими как OtterSec.
На уровне обновления протокола введена функция адресного псевдонимирования (address aliasing). Конкретно, заранее в протоколе определяются правила: определенные операции управления маскируются под «легитимную подпись хакерского счета», а затем узлы верификации после обновления признают эту подделанную подпись, что легализует перевод замороженных средств. Это позволяет, не касаясь приватного ключа, принудительно изменять право собственности на активы через консенсус узлов (это похоже на заморозку средств на банковском счете центральным банком и последующий перевод средств).
А как же были реализованы самые ранние замороженные активы? Sui сам по себе поддерживает функции Deny list (список запрещенных) и Regulated tokens (регулируемые токены), в этот раз просто был вызван интерфейс заморозки для блокировки адреса хакера.
Оставшиеся технические риски вмешательства власти
Хотя этот шаг восстановил большую часть замороженных активов, это также вызывает беспокойство, поскольку обновление протокола принудительно изменило право собственности на активы через консенсус узлов, что также означает, что официальные представители Sui могут заменить любой адрес для подписания, тем самым перемещая активы из него.
Ограничение того, может ли официальный Sui это сделать, не является кодом смарт-контракта, а правом голоса узлов, а кто же контролирует результаты голосования узлов? Это просто крупные узлы, контролируемые фондом! Это означает, что заинтересованные стороны официального Sui обладают наибольшим правом голоса, и даже голосование – это всего лишь формальность.
Частный ключ пользователя больше не является абсолютным доказательством контроля над активами; как только узловое согласие достигнуто, уровень протокола может напрямую переопределить права частного ключа.
Однако с другой стороны, это обеспечило высокую эффективность возврата активов, быструю заморозку активов благодаря встроенной регуляторной функции Sui, что также позволяет быстро ограничить убытки. Голосование было завершено в течение 48 часов, и обновление протокола было реализовано.
Но, по мнению автора, функция адресного псевдонимирования создает опасный прецедент — на уровне протокола можно подделать "законные операции" с любым адресом, что закладывает техническую основу для вмешательства власти.
А эта серия операций по возврату средств Sui на самом деле является решением, которое общественная цепь приняла с точки зрения интересов пользователей, когда интересы пользователей вступают в конфликт с принципами децентрализации. Что касается вопроса о том, нарушены ли принципы децентрализации, для пользователей и Sui это, похоже, уже не имеет значения, ведь, в конце концов, в ответ на критику можно сказать, что это было "решение голосования".