في 22 مايو، تم سرقة 223 مليون دولار من DEX Cetus في نظام Sui البيئي. من بين ذلك، تم تحويل 60 مليون دولار فقط عبر جسر متعدد السلاسل إلى ETH في جيب القراصنة، بينما تم تجميد 162 مليون دولار المتبقية بواسطة مؤسسة Sui التي تنسق العقد.
في 27 مايو ، تم إطلاق تصويت المجتمع "لتحديد ما إذا كان سيتم تنفيذ ترقية البروتوكول لاسترداد الأموال المجمدة في الحسابات التي يسيطر عليها المتسللون أم لا". في النهاية ، تم تحديث الاتفاقية ، وتم استرداد 162 مليون صندوق بنجاح.
من ناحية ، استعادت معظم الأموال لحماية مصالح المستخدمين المسروقين ، ومن ناحية أخرى ، كانت طريقة استرداد الأصول هي فرض تعديل ملكية الأصول من خلال توافق الآراء في العقدة ، وهي المرة الأولى التي تحقق فيها "نقل الأصول بدون مفاتيح خاصة" في طبقة السلسلة العامة.
في مواجهة مصالح المستخدمين، تم تجاهل هذه العملية "الجريئة" التي تتعارض مع "روح اللامركزية".
كيف يتم تحقيق نقل الأصول بدون مفتاح خاص؟
في 22 مايو، تعرض DEX Cetus من نظام Sui البيئي لهجوم هاكر بسبب خطأ برمجي بسيط، مما أدى إلى خسارة قدرها 2.23 مليار دولار. بعد الحادث، تم تجميد 162 مليون دولار من الأموال المسروقة من قبل مؤسسة Sui بالتنسيق مع عقد التحقق.
في 27 مايو، دفع صندوق Sui المجتمع للتصويت، حيث كانت هذه فرصة التصويت تهدف إلى تحديد ما إذا كان سيتم تنفيذ ترقية البروتوكول لاسترداد الأموال المجمدة في حسابات تحت سيطرة القراصنة. في النهاية، خلال 48 ساعة، صوت 114 عقدة وشارك 103 منهم في التصويت، حيث حصلت الاقتراحات على 99 صوتًا مؤيدًا، و2 معارضين، و2 ممتنعين، مما أدى إلى تمرير الاقتراح بنسبة 90.9%.
يبشر اعتماد الاقتراح أيضا بترقية بروتوكول Sui ، والذي سيسمح لعنوان محدد بإجراء معاملتين نيابة عن عنوان المتسلل من أجل تسهيل استرداد الأموال. سيتم تصميم هذه المعاملات والإعلان عنها بمجرد الانتهاء من عنوان الاسترداد. سيتم الاحتفاظ بالأصول المستردة في محفظة متعددة التوقيعات تسيطر عليها Cetus ومؤسسة Sui و OtterSec ، وهو مدقق حسابات موثوق به داخل مجتمع Sui.
على مستوى ترقية البروتوكول ، يتم تقديم ميزة "تعرج العنوان" ، على وجه التحديد ، يتم تعريف القواعد مسبقا في طبقة البروتوكول: يتم إخفاء إجراء حوكمة محدد في شكل "توقيع شرعي لحساب قراصنة" ، ثم يتعرف المدقق على التوقيع المزور بعد الترقية ، مما يضفي الشرعية على تحويل الأموال المجمدة. مما سبق يجعل من الممكن فرض تعديل ملكية الأصول من خلال إجماع العقدة دون لمس المفتاح الخاص (على غرار تحويل الأموال بعد أن يقوم البنك المركزي بتجميد الحساب المصرفي).
كيف تم تحقيق تجميد الأصول في البداية؟ تدعم Sui نفسها وظيفة "Deny list" (قائمة التج freeze) و"Regulated tokens" (الرموز المنظمة)، وهذه المرة تم استدعاء واجهة التجميد مباشرة لقفل عنوان القراصنة.
المخاطر التقنية الناتجة عن التدخلات القوية المتبقية
على الرغم من أن هذه الخطوة تستعيد معظم الأصول المجمدة ، إلا أنها مقلقة أيضا ، لأن ترقية البروتوكول أجبرت على تعديل ملكية الأصول من خلال إجماع العقدة ، وتشير أيضا إلى أنه يمكن لمسؤولي Sui استبدال أي عنوان للتوقيع ، وذلك لنقل الأصول بالداخل.
أليس قانون العقد الذكي هو الذي يقيد مسؤولي Sui للقيام بذلك ، ولكن حقوق التصويت للعقد ، ومن يتحكم في نتائج تصويت العقد؟ هذه ليست أكثر من عقدة كبيرة حيث تتحكم المؤسسة في رأس المال! بعبارة أخرى ، يتمتع أصحاب المصلحة الرسميون في Sui بأكبر حق في التحدث ، وحتى لو كان تصويتا ، فهو مجرد اقتراح عابر.
لم يعد مفتاح المستخدم الخاص هو الشهادة المطلقة للتحكم في الأصول، طالما أن توافق العقدة متفق عليه، يمكن أن تتجاوز طبقة البروتوكول حقوق المفتاح الخاص مباشرة.
ولكن من ناحية أخرى ، يحقق هذا استردادا فعالا للأصول ، وتجميد سريع للأصول ، ووقف الخسارة السريع بفضل وظيفة الإشراف المضمنة في Sui ، ويتم الانتهاء من التصويت في غضون 48 ساعة ، ويتم تنفيذ ترقية البروتوكول.
لكن في رأي الكاتب ، فإن ميزة aliasing العنوان قد أنشأت سابقة خطيرة - حيث يمكن لطبقة البروتوكول تزوير "العمليات الشرعية" لأي عنوان ، مما يزرع بذور التدخل السلطوي.
سلسلة عمليات Sui لاسترداد الأموال هذه المرة هي فقط أنه عندما تتعارض مصالح المستخدمين مع مبدأ اللامركزية ، يختار طرف السلسلة العامة اتخاذ القرارات من منظور مصالح المستخدمين. أما بالنسبة لما إذا كان ينتهك مبدأ اللامركزية ، فلا يبدو أنه مهم لكل من المستخدمين و Sui ، بعد كل شيء ، عند الاستجواب ، يمكن أيضا الرد على أنه تم تحديده عن طريق "التصويت".
المحتوى هو للمرجعية فقط، وليس دعوة أو عرضًا. لا يتم تقديم أي مشورة استثمارية أو ضريبية أو قانونية. للمزيد من الإفصاحات حول المخاطر، يُرجى الاطلاع على إخلاء المسؤولية.
تم استرداد الأموال المسروقة من Cetus "اللامركزية" تنازلات لمصلحة المستخدمين
جيسي، الاقتصاد الذهبي
في 22 مايو، تم سرقة 223 مليون دولار من DEX Cetus في نظام Sui البيئي. من بين ذلك، تم تحويل 60 مليون دولار فقط عبر جسر متعدد السلاسل إلى ETH في جيب القراصنة، بينما تم تجميد 162 مليون دولار المتبقية بواسطة مؤسسة Sui التي تنسق العقد.
في 27 مايو ، تم إطلاق تصويت المجتمع "لتحديد ما إذا كان سيتم تنفيذ ترقية البروتوكول لاسترداد الأموال المجمدة في الحسابات التي يسيطر عليها المتسللون أم لا". في النهاية ، تم تحديث الاتفاقية ، وتم استرداد 162 مليون صندوق بنجاح.
من ناحية ، استعادت معظم الأموال لحماية مصالح المستخدمين المسروقين ، ومن ناحية أخرى ، كانت طريقة استرداد الأصول هي فرض تعديل ملكية الأصول من خلال توافق الآراء في العقدة ، وهي المرة الأولى التي تحقق فيها "نقل الأصول بدون مفاتيح خاصة" في طبقة السلسلة العامة.
في مواجهة مصالح المستخدمين، تم تجاهل هذه العملية "الجريئة" التي تتعارض مع "روح اللامركزية".
كيف يتم تحقيق نقل الأصول بدون مفتاح خاص؟
في 22 مايو، تعرض DEX Cetus من نظام Sui البيئي لهجوم هاكر بسبب خطأ برمجي بسيط، مما أدى إلى خسارة قدرها 2.23 مليار دولار. بعد الحادث، تم تجميد 162 مليون دولار من الأموال المسروقة من قبل مؤسسة Sui بالتنسيق مع عقد التحقق.
في 27 مايو، دفع صندوق Sui المجتمع للتصويت، حيث كانت هذه فرصة التصويت تهدف إلى تحديد ما إذا كان سيتم تنفيذ ترقية البروتوكول لاسترداد الأموال المجمدة في حسابات تحت سيطرة القراصنة. في النهاية، خلال 48 ساعة، صوت 114 عقدة وشارك 103 منهم في التصويت، حيث حصلت الاقتراحات على 99 صوتًا مؤيدًا، و2 معارضين، و2 ممتنعين، مما أدى إلى تمرير الاقتراح بنسبة 90.9%.
يبشر اعتماد الاقتراح أيضا بترقية بروتوكول Sui ، والذي سيسمح لعنوان محدد بإجراء معاملتين نيابة عن عنوان المتسلل من أجل تسهيل استرداد الأموال. سيتم تصميم هذه المعاملات والإعلان عنها بمجرد الانتهاء من عنوان الاسترداد. سيتم الاحتفاظ بالأصول المستردة في محفظة متعددة التوقيعات تسيطر عليها Cetus ومؤسسة Sui و OtterSec ، وهو مدقق حسابات موثوق به داخل مجتمع Sui.
على مستوى ترقية البروتوكول ، يتم تقديم ميزة "تعرج العنوان" ، على وجه التحديد ، يتم تعريف القواعد مسبقا في طبقة البروتوكول: يتم إخفاء إجراء حوكمة محدد في شكل "توقيع شرعي لحساب قراصنة" ، ثم يتعرف المدقق على التوقيع المزور بعد الترقية ، مما يضفي الشرعية على تحويل الأموال المجمدة. مما سبق يجعل من الممكن فرض تعديل ملكية الأصول من خلال إجماع العقدة دون لمس المفتاح الخاص (على غرار تحويل الأموال بعد أن يقوم البنك المركزي بتجميد الحساب المصرفي).
كيف تم تحقيق تجميد الأصول في البداية؟ تدعم Sui نفسها وظيفة "Deny list" (قائمة التج freeze) و"Regulated tokens" (الرموز المنظمة)، وهذه المرة تم استدعاء واجهة التجميد مباشرة لقفل عنوان القراصنة.
المخاطر التقنية الناتجة عن التدخلات القوية المتبقية
على الرغم من أن هذه الخطوة تستعيد معظم الأصول المجمدة ، إلا أنها مقلقة أيضا ، لأن ترقية البروتوكول أجبرت على تعديل ملكية الأصول من خلال إجماع العقدة ، وتشير أيضا إلى أنه يمكن لمسؤولي Sui استبدال أي عنوان للتوقيع ، وذلك لنقل الأصول بالداخل.
أليس قانون العقد الذكي هو الذي يقيد مسؤولي Sui للقيام بذلك ، ولكن حقوق التصويت للعقد ، ومن يتحكم في نتائج تصويت العقد؟ هذه ليست أكثر من عقدة كبيرة حيث تتحكم المؤسسة في رأس المال! بعبارة أخرى ، يتمتع أصحاب المصلحة الرسميون في Sui بأكبر حق في التحدث ، وحتى لو كان تصويتا ، فهو مجرد اقتراح عابر.
لم يعد مفتاح المستخدم الخاص هو الشهادة المطلقة للتحكم في الأصول، طالما أن توافق العقدة متفق عليه، يمكن أن تتجاوز طبقة البروتوكول حقوق المفتاح الخاص مباشرة.
ولكن من ناحية أخرى ، يحقق هذا استردادا فعالا للأصول ، وتجميد سريع للأصول ، ووقف الخسارة السريع بفضل وظيفة الإشراف المضمنة في Sui ، ويتم الانتهاء من التصويت في غضون 48 ساعة ، ويتم تنفيذ ترقية البروتوكول.
لكن في رأي الكاتب ، فإن ميزة
aliasing العنوانقد أنشأت سابقة خطيرة - حيث يمكن لطبقة البروتوكول تزوير "العمليات الشرعية" لأي عنوان ، مما يزرع بذور التدخل السلطوي.سلسلة عمليات Sui لاسترداد الأموال هذه المرة هي فقط أنه عندما تتعارض مصالح المستخدمين مع مبدأ اللامركزية ، يختار طرف السلسلة العامة اتخاذ القرارات من منظور مصالح المستخدمين. أما بالنسبة لما إذا كان ينتهك مبدأ اللامركزية ، فلا يبدو أنه مهم لكل من المستخدمين و Sui ، بعد كل شيء ، عند الاستجواب ، يمكن أيضا الرد على أنه تم تحديده عن طريق "التصويت".