Le 22 mai, le DEX Cetus de l'écosystème Sui a été volé pour un montant de 223 millions de dollars. Parmi cela, seulement 60 millions de dollars ont été échangés en ETH via un pont inter-chaînes et sont entrés dans les poches des hackers, tandis que les 162 millions de dollars restants ont été gelés par la fondation Sui qui coordonne les nœuds.
Le 27 mai, le vote de la communauté a été lancé pour "décider s'il faut mettre en œuvre la mise à niveau du protocole afin de récupérer les fonds gelés dans les comptes contrôlés par des hackers". La mise à niveau du protocole a finalement été réalisée, et 162 millions de fonds ont été récupérés avec succès.
D’une part, il a récupéré la plupart des fonds pour protéger les intérêts des utilisateurs volés, et d’autre part, la façon de récupérer les actifs était de forcer la modification de la propriété des actifs par consensus de nœud, ce qui était la première fois à réaliser le « transfert d’actifs sans clés privées » au niveau de la couche de la chaîne publique.
Devant l'intérêt des utilisateurs, cette opération si "audacieuse" qui va à l'encontre de l'esprit de "décentralisation" a été ainsi ignorée.
Comment le transfert d'actifs sans clé privée est-il réalisé ?
Le 22 mai, le DEX écologique Sui Cetus a été piraté en raison d’une erreur de bas niveau dans son propre code, perdant 223 millions de dollars. Après l’incident, 162 millions de dollars des fonds volés ont été gelés par la Fondation Sui pour coordonner les validateurs.
Le 27 mai, la Fondation Sui a fait pression pour que la communauté vote sur l’opportunité de mettre en œuvre une mise à niveau du protocole pour récupérer les fonds gelés sur des comptes contrôlés par des pirates. En fin de compte, dans les 48 heures, 103 des 114 nœuds ont participé au vote, avec 99 votes pour, 2 votes contre et 2 abstentions, et 90,9% des votes ont adopté la proposition.
La proposition signifie également une mise à niveau du protocole Sui, ce qui permettra à une adresse spécifique de représenter l'adresse du hacker pour effectuer deux transactions, afin de faciliter la récupération des fonds. Ces transactions seront conçues et publiées après la détermination finale de l'adresse de récupération. Les actifs récupérés seront conservés dans un portefeuille multi-signature contrôlé par OtterSec, un auditeur de confiance au sein de Cetus, de la fondation Sui et de la communauté Sui.
Au niveau de la mise à niveau du protocole, la fonctionnalité « aliasing d’adresse » est introduite, en particulier, les règles sont définies à l’avance au niveau de la couche protocole : une action de gouvernance spécifique est déguisée en « signature légitime d’un compte de pirate », puis le validateur reconnaît la signature falsifiée après la mise à niveau, légitimant ainsi le transfert des fonds gelés. Ce qui précède permet de forcer la modification de la propriété de l’actif par consensus de nœud sans toucher à la clé privée (similaire au transfert de fonds après que la banque centrale a gelé le compte bancaire).
Comment les premiers actifs gelés ont-ils été réalisés ? Sui prend en charge les fonctionnalités Deny list (liste de gel) et Regulated tokens (tokens réglementés). Cette fois, il s'agit d'appeler directement l'interface de gel pour verrouiller l'adresse du hacker.
Les risques techniques laissés par l'intervention des puissances
Bien que cette action ait récupéré la plupart des actifs gelés, elle suscite néanmoins des inquiétudes, car la mise à niveau du protocole a contraint la modification de la propriété des actifs par le consensus des nœuds, ce qui signifie également que l'équipe Sui peut remplacer n'importe quelle adresse pour signer et ainsi transférer les actifs qu'elle contient.
N’est-ce pas le code des contrats intelligents qui restreint les fonctionnaires Sui à le faire, mais les droits de vote des nœuds, et qui contrôle les résultats du vote des nœuds ? Ce n’est rien de plus qu’un grand nœud où la Fondation a le contrôle du capital ! En d’autres termes, les parties prenantes officielles de Sui ont le plus grand droit de parole, et même s’il s’agit d’un vote, ce n’est qu’une motion de passage.
La clé privée de l'utilisateur n'est plus un certificat de contrôle absolu des actifs ; tant que le consensus des nœuds est d'accord, la couche de protocole peut directement remplacer les droits de la clé privée.
Cependant, d'autre part, cela a réalisé une récupération d'actifs efficace, le gel rapide des actifs, grâce aux fonctionnalités de régulation intégrées de Sui, permettant ainsi une réduction rapide des pertes. Le vote a été complété en 48 heures et la mise à niveau du protocole a été mise en œuvre.
Cependant, selon l'auteur, la fonctionnalité address aliasing a ouvert un précédent dangereux : le niveau du protocole peut falsifier toute "opération légitime" d'une adresse, ce qui prépare le terrain pour une intervention autoritaire.
Et cette série d'opérations de récupération de fonds par Sui n'est rien d'autre que le choix de la blockchain publique de prendre des décisions du point de vue des intérêts des utilisateurs lorsque ces intérêts entrent en conflit avec le principe de décentralisation. Et quant à savoir si cela va à l'encontre du principe de décentralisation, cela semble peu important tant pour les utilisateurs que pour Sui, après tout, lorsqu'ils sont remis en question, ils peuvent toujours répondre que c'était une décision "votée".
Le contenu est fourni à titre de référence uniquement, il ne s'agit pas d'une sollicitation ou d'une offre. Aucun conseil en investissement, fiscalité ou juridique n'est fourni. Consultez l'Avertissement pour plus de détails sur les risques.
Cetus a récupéré des fonds volés "Décentralisation" fait des concessions sur les intérêts des utilisateurs
Jessy, Finance en Or
Le 22 mai, le DEX Cetus de l'écosystème Sui a été volé pour un montant de 223 millions de dollars. Parmi cela, seulement 60 millions de dollars ont été échangés en ETH via un pont inter-chaînes et sont entrés dans les poches des hackers, tandis que les 162 millions de dollars restants ont été gelés par la fondation Sui qui coordonne les nœuds.
Le 27 mai, le vote de la communauté a été lancé pour "décider s'il faut mettre en œuvre la mise à niveau du protocole afin de récupérer les fonds gelés dans les comptes contrôlés par des hackers". La mise à niveau du protocole a finalement été réalisée, et 162 millions de fonds ont été récupérés avec succès.
D’une part, il a récupéré la plupart des fonds pour protéger les intérêts des utilisateurs volés, et d’autre part, la façon de récupérer les actifs était de forcer la modification de la propriété des actifs par consensus de nœud, ce qui était la première fois à réaliser le « transfert d’actifs sans clés privées » au niveau de la couche de la chaîne publique.
Devant l'intérêt des utilisateurs, cette opération si "audacieuse" qui va à l'encontre de l'esprit de "décentralisation" a été ainsi ignorée.
Comment le transfert d'actifs sans clé privée est-il réalisé ?
Le 22 mai, le DEX écologique Sui Cetus a été piraté en raison d’une erreur de bas niveau dans son propre code, perdant 223 millions de dollars. Après l’incident, 162 millions de dollars des fonds volés ont été gelés par la Fondation Sui pour coordonner les validateurs.
Le 27 mai, la Fondation Sui a fait pression pour que la communauté vote sur l’opportunité de mettre en œuvre une mise à niveau du protocole pour récupérer les fonds gelés sur des comptes contrôlés par des pirates. En fin de compte, dans les 48 heures, 103 des 114 nœuds ont participé au vote, avec 99 votes pour, 2 votes contre et 2 abstentions, et 90,9% des votes ont adopté la proposition.
La proposition signifie également une mise à niveau du protocole Sui, ce qui permettra à une adresse spécifique de représenter l'adresse du hacker pour effectuer deux transactions, afin de faciliter la récupération des fonds. Ces transactions seront conçues et publiées après la détermination finale de l'adresse de récupération. Les actifs récupérés seront conservés dans un portefeuille multi-signature contrôlé par OtterSec, un auditeur de confiance au sein de Cetus, de la fondation Sui et de la communauté Sui.
Au niveau de la mise à niveau du protocole, la fonctionnalité « aliasing d’adresse » est introduite, en particulier, les règles sont définies à l’avance au niveau de la couche protocole : une action de gouvernance spécifique est déguisée en « signature légitime d’un compte de pirate », puis le validateur reconnaît la signature falsifiée après la mise à niveau, légitimant ainsi le transfert des fonds gelés. Ce qui précède permet de forcer la modification de la propriété de l’actif par consensus de nœud sans toucher à la clé privée (similaire au transfert de fonds après que la banque centrale a gelé le compte bancaire).
Comment les premiers actifs gelés ont-ils été réalisés ? Sui prend en charge les fonctionnalités
Deny list(liste de gel) etRegulated tokens(tokens réglementés). Cette fois, il s'agit d'appeler directement l'interface de gel pour verrouiller l'adresse du hacker.Les risques techniques laissés par l'intervention des puissances
Bien que cette action ait récupéré la plupart des actifs gelés, elle suscite néanmoins des inquiétudes, car la mise à niveau du protocole a contraint la modification de la propriété des actifs par le consensus des nœuds, ce qui signifie également que l'équipe Sui peut remplacer n'importe quelle adresse pour signer et ainsi transférer les actifs qu'elle contient.
N’est-ce pas le code des contrats intelligents qui restreint les fonctionnaires Sui à le faire, mais les droits de vote des nœuds, et qui contrôle les résultats du vote des nœuds ? Ce n’est rien de plus qu’un grand nœud où la Fondation a le contrôle du capital ! En d’autres termes, les parties prenantes officielles de Sui ont le plus grand droit de parole, et même s’il s’agit d’un vote, ce n’est qu’une motion de passage.
La clé privée de l'utilisateur n'est plus un certificat de contrôle absolu des actifs ; tant que le consensus des nœuds est d'accord, la couche de protocole peut directement remplacer les droits de la clé privée.
Cependant, d'autre part, cela a réalisé une récupération d'actifs efficace, le gel rapide des actifs, grâce aux fonctionnalités de régulation intégrées de Sui, permettant ainsi une réduction rapide des pertes. Le vote a été complété en 48 heures et la mise à niveau du protocole a été mise en œuvre.
Cependant, selon l'auteur, la fonctionnalité
address aliasinga ouvert un précédent dangereux : le niveau du protocole peut falsifier toute "opération légitime" d'une adresse, ce qui prépare le terrain pour une intervention autoritaire.Et cette série d'opérations de récupération de fonds par Sui n'est rien d'autre que le choix de la blockchain publique de prendre des décisions du point de vue des intérêts des utilisateurs lorsque ces intérêts entrent en conflit avec le principe de décentralisation. Et quant à savoir si cela va à l'encontre du principe de décentralisation, cela semble peu important tant pour les utilisateurs que pour Sui, après tout, lorsqu'ils sont remis en question, ils peuvent toujours répondre que c'était une décision "votée".