Pada 22 Mei, DEX Cetus dari ekosistem Sui dicuri dana sebesar 223 juta USD. Dari jumlah tersebut, hanya 60 juta USD yang ditukarkan menjadi ETH melalui jembatan lintas rantai dan masuk ke kantong peretas, sementara sisa 162 juta USD dibekukan oleh node yang dikoordinasikan oleh yayasan Sui.
Pada 27 Mei, pemungutan suara komunitas dimulai, "untuk memutuskan apakah akan menerapkan peningkatan protokol untuk memulihkan dana yang dibekukan di akun yang dikendalikan oleh peretas." Akhirnya, peningkatan protokol berhasil dilaksanakan, dan 162 juta dana berhasil dipulihkan.
Tanggapan cepat dan solusi yang segera diluncurkan oleh Sui Foundation terhadap insiden pencurian ini juga menimbulkan kontroversi di dalam komunitas. Di satu sisi, mereka telah berhasil memulihkan sebagian besar dana untuk melindungi kepentingan pengguna yang dicuri, sementara di sisi lain, cara pemulihannya adalah melalui konsensus node yang memaksa pengubahan kepemilikan aset, ini adalah kali pertama di level blockchain publik mewujudkan "transfer aset tanpa kunci".
Di depan kepentingan pengguna, operasi yang begitu "berani" yang melanggar "semangat desentralisasi" ini diabaikan begitu saja.
Bagaimana transfer aset tanpa kunci pribadi dapat dilakukan?
Pada 22 Mei, DEX Cetus di ekosistem Sui diserang oleh hacker karena kesalahan kode yang rendah, mengakibatkan kerugian sebesar 223 juta dolar. Setelah kejadian tersebut, 162 juta dolar dari dana yang dicuri dibekukan oleh Sui Foundation yang berkoordinasi dengan node verifikasi.
Pada 27 Mei, Yayasan Sui mendorong pemungutan suara komunitas, yang bertujuan untuk memutuskan apakah akan melaksanakan pembaruan protokol untuk memulihkan dana yang dibekukan di akun yang dikendalikan oleh peretas. Akhirnya, dalam 48 jam, 114 node, 103 diantaranya berpartisipasi dalam pemungutan suara, 99 suara mendukung, 2 suara menolak, 2 suara abstain, dengan 90,9% suara mendukung proposal.
Adopsi proposal tersebut juga menandai peningkatan protokol Sui, yang akan memungkinkan alamat tertentu untuk melakukan dua transaksi atas nama alamat peretas untuk memfasilitasi pemulihan dana. Transaksi ini akan dirancang dan diumumkan setelah alamat pemulihan diselesaikan. Aset yang dipulihkan akan disimpan dalam dompet multisig yang dikendalikan oleh Cetus, Sui Foundation, dan OtterSec, auditor tepercaya dalam komunitas Sui.
Pada tingkat peningkatan protokol, fitur 'alias alamat' diperkenalkan, khususnya, aturan ditentukan terlebih dahulu di lapisan protokol: tindakan tata kelola tertentu disamarkan sebagai "tanda tangan yang sah dari akun peretas", dan kemudian validator mengenali tanda tangan palsu setelah peningkatan, melegitimasi transfer dana yang dibekukan. Hal di atas memungkinkan untuk memaksa modifikasi kepemilikan aset melalui konsensus node tanpa menyentuh kunci pribadi (mirip dengan transfer dana setelah bank sentral membekukan rekening bank).
Lalu bagaimana aset yang dibekukan pada awalnya dapat direalisasikan? Sui sendiri mendukung fungsi Deny list (daftar yang dibekukan) dan Regulated tokens (token yang diatur), kali ini langsung memanggil antarmuka pembekuan untuk mengunci alamat peretas.
Risiko teknologi yang ditinggalkan oleh intervensi kekuasaan
Meskipun langkah ini berhasil memulihkan sebagian besar aset yang dibekukan, namun tetap saja menimbulkan kekhawatiran, karena peningkatan protokol memaksa perubahan kepemilikan aset melalui konsensus node, yang juga menunjukkan bahwa pihak resmi Sui dapat menggantikan alamat mana pun untuk menandatangani, sehingga dapat memindahkan aset di dalamnya.
Bukankah kode kontrak pintar yang membatasi pejabat Sui untuk melakukan ini, tetapi hak suara node, dan siapa yang mengontrol hasil pemungutan suara node? Itu tidak lebih dari simpul besar di mana Yayasan memiliki kontrol modal! Dengan kata lain, pemangku kepentingan resmi Sui memiliki hak terbesar untuk berbicara, dan bahkan jika itu adalah pemungutan suara, itu hanya mosi yang lewat.
Kunci pribadi pengguna tidak lagi menjadi bukti kontrol absolut atas aset; selama konsensus node disetujui, lapisan protokol dapat langsung menggantikan hak akses kunci pribadi.
Namun di sisi lain, ini mewujudkan efisiensi dalam pemulihan aset, pembekuan aset dengan cepat, berkat fungsi regulasi bawaan Sui yang juga dapat dengan cepat menghentikan kerugian, pemungutan suara diselesaikan dalam waktu 48 jam, dan peningkatan protokol telah dilaksanakan.
Namun menurut penulis, fungsi address aliasing telah menciptakan preseden berbahaya - lapisan protokol dapat memalsukan "operasi sah" dari alamat manapun, yang menanamkan benih intervensi kekuasaan secara teknis.
Dan serangkaian operasi pemulihan dana Sui kali ini hanyalah pilihan pihak blockchain publik untuk mengambil keputusan dari sudut pandang kepentingan pengguna ketika kepentingan pengguna bertentangan dengan prinsip desentralisasi. Dan apakah itu melanggar prinsip desentralisasi, tampaknya tidak penting bagi pengguna dan Sui, karena pada akhirnya mereka juga dapat menjawab saat dipertanyakan bahwa itu adalah keputusan "voting".
Konten ini hanya untuk referensi, bukan ajakan atau tawaran. Tidak ada nasihat investasi, pajak, atau hukum yang diberikan. Lihat Penafian untuk pengungkapan risiko lebih lanjut.
Dana yang dicuri dari Cetus berhasil dipulihkan "Desentralisasi" mengorbankan kepentingan pengguna
Jessy, Jincai Caijing
Pada 22 Mei, DEX Cetus dari ekosistem Sui dicuri dana sebesar 223 juta USD. Dari jumlah tersebut, hanya 60 juta USD yang ditukarkan menjadi ETH melalui jembatan lintas rantai dan masuk ke kantong peretas, sementara sisa 162 juta USD dibekukan oleh node yang dikoordinasikan oleh yayasan Sui.
Pada 27 Mei, pemungutan suara komunitas dimulai, "untuk memutuskan apakah akan menerapkan peningkatan protokol untuk memulihkan dana yang dibekukan di akun yang dikendalikan oleh peretas." Akhirnya, peningkatan protokol berhasil dilaksanakan, dan 162 juta dana berhasil dipulihkan.
Tanggapan cepat dan solusi yang segera diluncurkan oleh Sui Foundation terhadap insiden pencurian ini juga menimbulkan kontroversi di dalam komunitas. Di satu sisi, mereka telah berhasil memulihkan sebagian besar dana untuk melindungi kepentingan pengguna yang dicuri, sementara di sisi lain, cara pemulihannya adalah melalui konsensus node yang memaksa pengubahan kepemilikan aset, ini adalah kali pertama di level blockchain publik mewujudkan "transfer aset tanpa kunci".
Di depan kepentingan pengguna, operasi yang begitu "berani" yang melanggar "semangat desentralisasi" ini diabaikan begitu saja.
Bagaimana transfer aset tanpa kunci pribadi dapat dilakukan?
Pada 22 Mei, DEX Cetus di ekosistem Sui diserang oleh hacker karena kesalahan kode yang rendah, mengakibatkan kerugian sebesar 223 juta dolar. Setelah kejadian tersebut, 162 juta dolar dari dana yang dicuri dibekukan oleh Sui Foundation yang berkoordinasi dengan node verifikasi.
Pada 27 Mei, Yayasan Sui mendorong pemungutan suara komunitas, yang bertujuan untuk memutuskan apakah akan melaksanakan pembaruan protokol untuk memulihkan dana yang dibekukan di akun yang dikendalikan oleh peretas. Akhirnya, dalam 48 jam, 114 node, 103 diantaranya berpartisipasi dalam pemungutan suara, 99 suara mendukung, 2 suara menolak, 2 suara abstain, dengan 90,9% suara mendukung proposal.
Adopsi proposal tersebut juga menandai peningkatan protokol Sui, yang akan memungkinkan alamat tertentu untuk melakukan dua transaksi atas nama alamat peretas untuk memfasilitasi pemulihan dana. Transaksi ini akan dirancang dan diumumkan setelah alamat pemulihan diselesaikan. Aset yang dipulihkan akan disimpan dalam dompet multisig yang dikendalikan oleh Cetus, Sui Foundation, dan OtterSec, auditor tepercaya dalam komunitas Sui.
Pada tingkat peningkatan protokol, fitur 'alias alamat' diperkenalkan, khususnya, aturan ditentukan terlebih dahulu di lapisan protokol: tindakan tata kelola tertentu disamarkan sebagai "tanda tangan yang sah dari akun peretas", dan kemudian validator mengenali tanda tangan palsu setelah peningkatan, melegitimasi transfer dana yang dibekukan. Hal di atas memungkinkan untuk memaksa modifikasi kepemilikan aset melalui konsensus node tanpa menyentuh kunci pribadi (mirip dengan transfer dana setelah bank sentral membekukan rekening bank).
Lalu bagaimana aset yang dibekukan pada awalnya dapat direalisasikan? Sui sendiri mendukung fungsi
Deny list(daftar yang dibekukan) danRegulated tokens(token yang diatur), kali ini langsung memanggil antarmuka pembekuan untuk mengunci alamat peretas.Risiko teknologi yang ditinggalkan oleh intervensi kekuasaan
Meskipun langkah ini berhasil memulihkan sebagian besar aset yang dibekukan, namun tetap saja menimbulkan kekhawatiran, karena peningkatan protokol memaksa perubahan kepemilikan aset melalui konsensus node, yang juga menunjukkan bahwa pihak resmi Sui dapat menggantikan alamat mana pun untuk menandatangani, sehingga dapat memindahkan aset di dalamnya.
Bukankah kode kontrak pintar yang membatasi pejabat Sui untuk melakukan ini, tetapi hak suara node, dan siapa yang mengontrol hasil pemungutan suara node? Itu tidak lebih dari simpul besar di mana Yayasan memiliki kontrol modal! Dengan kata lain, pemangku kepentingan resmi Sui memiliki hak terbesar untuk berbicara, dan bahkan jika itu adalah pemungutan suara, itu hanya mosi yang lewat.
Kunci pribadi pengguna tidak lagi menjadi bukti kontrol absolut atas aset; selama konsensus node disetujui, lapisan protokol dapat langsung menggantikan hak akses kunci pribadi.
Namun di sisi lain, ini mewujudkan efisiensi dalam pemulihan aset, pembekuan aset dengan cepat, berkat fungsi regulasi bawaan Sui yang juga dapat dengan cepat menghentikan kerugian, pemungutan suara diselesaikan dalam waktu 48 jam, dan peningkatan protokol telah dilaksanakan.
Namun menurut penulis, fungsi
address aliasingtelah menciptakan preseden berbahaya - lapisan protokol dapat memalsukan "operasi sah" dari alamat manapun, yang menanamkan benih intervensi kekuasaan secara teknis.Dan serangkaian operasi pemulihan dana Sui kali ini hanyalah pilihan pihak blockchain publik untuk mengambil keputusan dari sudut pandang kepentingan pengguna ketika kepentingan pengguna bertentangan dengan prinsip desentralisasi. Dan apakah itu melanggar prinsip desentralisasi, tampaknya tidak penting bagi pengguna dan Sui, karena pada akhirnya mereka juga dapat menjawab saat dipertanyakan bahwa itu adalah keputusan "voting".