Le 22 mai, le DEX Cetus de l'écosystème Sui a été piraté pour un montant de 223 millions de dollars. Parmi cela, seulement 60 millions de dollars ont été échangés en ETH via un pont inter-chaînes et sont entrés dans la poche du hacker, tandis que les 162 millions de dollars restants ont été gelés par le consortium des nœuds coordonné par la fondation Sui.
Le 27 mai, le vote communautaire a été lancé pour "décider s'il faut mettre en œuvre la mise à niveau du protocole afin de récupérer les fonds gelés dans les comptes contrôlés par les hackers". La mise à niveau du protocole a finalement été réalisée, et 162 millions de fonds ont été récupérés avec succès.
La réponse rapide de la fondation Sui à cet incident de vol et la solution rapidement mise en place ont également suscité de vives controverses au sein de la communauté. D'une part, elle a récupéré la plupart des fonds, protégeant ainsi les intérêts des utilisateurs volés, mais d'autre part, le mode de récupération a été d'imposer une modification forcée de la propriété des actifs par consensus des nœuds. C'est la première fois qu'une "transfert d'actifs sans clé privée" est réalisé au niveau de la blockchain publique.
Devant les intérêts des utilisateurs, cette opération si "audacieuse" qui va à l'encontre de l'esprit de "décentralisation" a été ignorée.
Comment la transmission d'actifs sans clé est-elle réalisée ?
Le 22 mai, le DEX Cetus de l'écosystème Sui a été attaqué par des hackers en raison d'une erreur de code de bas niveau, entraînant une perte de 223 millions de dollars. Après l'incident, 162 millions de dollars des fonds volés ont été gelés par la fondation Sui en coordination avec les nœuds de validation.
Le 27 mai, la Fondation Sui a encouragé un vote communautaire, dont l'objectif était de décider s'il fallait mettre en œuvre une mise à jour du protocole pour récupérer les fonds gelés dans des comptes contrôlés par des hackers. Au final, en 48 heures, 114 nœuds ont participé, 103 ont voté, avec 99 voix pour, 2 contre et 2 abstentions, le projet a été adopté avec un taux de soutien de 90,9 %.
La proposition signifie également une mise à niveau du protocole Sui, ce qui permettra à une adresse spécifique de représenter l'adresse du hacker pour effectuer deux transactions afin de faciliter la récupération des fonds. Ces transactions seront conçues et annoncées une fois que l'adresse de récupération sera finalement déterminée. Les actifs récupérés seront conservés dans un portefeuille multi-signatures contrôlé par Cetus, la fondation Sui et un auditeur de confiance au sein de la communauté Sui, OtterSec.
Au niveau de la mise à jour du protocole, la fonctionnalité d'address aliasing (alias d'adresse) est introduite. Plus précisément, des règles sont définies au niveau du protocole : des opérations de gouvernance spécifiques sont déguisées en "signature légitime d'un compte hacker", puis les nœuds de validation reconnaissent cette signature falsifiée après la mise à jour, rendant ainsi le transfert de fonds gelés légitime. Cela permet de modifier la propriété des actifs par un consensus de nœuds sans toucher aux clés privées (ce qui est similaire au transfert de fonds après le gel des comptes bancaires par une banque centrale).
Et comment les premiers actifs gelés ont-ils été réalisés ? Sui prend en charge la fonctionnalité de Deny list (liste de gel) et de Regulated tokens (jetons régulés), cette fois-ci, nous avons directement appelé l'interface de gel pour verrouiller l'adresse du hacker.
Les risques technologiques liés à l'intervention des pouvoirs restants
Bien que cette démarche ait permis de récupérer la majeure partie des actifs gelés, elle suscite néanmoins des inquiétudes, car la mise à niveau du protocole a forcé, par consensus des nœuds, la modification de la propriété des actifs, ce qui signifie également que les autorités de Sui peuvent remplacer n'importe quelle adresse pour signer, permettant ainsi de transférer les actifs qu'elle contient.
La question de savoir si l'équipe officielle de Sui peut agir ainsi ne repose pas sur le code des contrats intelligents, mais sur le droit de vote des nœuds. Et qui détient le résultat du vote des nœuds ? Ce n'est autre que les grands nœuds contrôlés par le capital de la fondation ! En d'autres termes, les parties prenantes officielles de Sui détiennent le plus grand pouvoir de décision, même si c'est un vote, ce n'est qu'une formalité.
La clé privée de l'utilisateur n'est plus un certificat de contrôle absolu des actifs ; tant que le consensus des nœuds est d'accord, la couche de protocole peut directement remplacer les droits de la clé privée.
Cependant, d'autre part, cela a permis une récupération efficace des actifs, un gel rapide des actifs, grâce aux fonctionnalités de régulation intégrées de Sui, permettant également une limitation rapide des pertes. Le vote a été complété en 48 heures et la mise à niveau du protocole a été mise en œuvre.
Cependant, à mon avis, la fonctionnalité d'aliasing d'adresse a créé un dangereux précédent - le niveau du protocole peut falsifier toute "opération légitime" d'une adresse, posant ainsi des bases techniques pour une intervention autoritaire.
Et cette série d'opérations de récupération de fonds par Sui n'est rien d'autre que le choix de la blockchain publique de prendre des décisions du point de vue des intérêts des utilisateurs lorsque les intérêts des utilisateurs entrent en conflit avec le principe de décentralisation. Quant à savoir si cela viole ou non le principe de décentralisation, cela semble peu importe pour les utilisateurs et Sui, après tout, lorsqu'ils sont remis en question, ils peuvent toujours répondre que c'était une décision "votée".
Le contenu est fourni à titre de référence uniquement, il ne s'agit pas d'une sollicitation ou d'une offre. Aucun conseil en investissement, fiscalité ou juridique n'est fourni. Consultez l'Avertissement pour plus de détails sur les risques.
Cetus a récupéré des fonds volés "Décentralisation" a fait des concessions sur les intérêts des utilisateurs
Jessy, Finance en or
Le 22 mai, le DEX Cetus de l'écosystème Sui a été piraté pour un montant de 223 millions de dollars. Parmi cela, seulement 60 millions de dollars ont été échangés en ETH via un pont inter-chaînes et sont entrés dans la poche du hacker, tandis que les 162 millions de dollars restants ont été gelés par le consortium des nœuds coordonné par la fondation Sui.
Le 27 mai, le vote communautaire a été lancé pour "décider s'il faut mettre en œuvre la mise à niveau du protocole afin de récupérer les fonds gelés dans les comptes contrôlés par les hackers". La mise à niveau du protocole a finalement été réalisée, et 162 millions de fonds ont été récupérés avec succès.
La réponse rapide de la fondation Sui à cet incident de vol et la solution rapidement mise en place ont également suscité de vives controverses au sein de la communauté. D'une part, elle a récupéré la plupart des fonds, protégeant ainsi les intérêts des utilisateurs volés, mais d'autre part, le mode de récupération a été d'imposer une modification forcée de la propriété des actifs par consensus des nœuds. C'est la première fois qu'une "transfert d'actifs sans clé privée" est réalisé au niveau de la blockchain publique.
Devant les intérêts des utilisateurs, cette opération si "audacieuse" qui va à l'encontre de l'esprit de "décentralisation" a été ignorée.
Comment la transmission d'actifs sans clé est-elle réalisée ?
Le 22 mai, le DEX Cetus de l'écosystème Sui a été attaqué par des hackers en raison d'une erreur de code de bas niveau, entraînant une perte de 223 millions de dollars. Après l'incident, 162 millions de dollars des fonds volés ont été gelés par la fondation Sui en coordination avec les nœuds de validation.
Le 27 mai, la Fondation Sui a encouragé un vote communautaire, dont l'objectif était de décider s'il fallait mettre en œuvre une mise à jour du protocole pour récupérer les fonds gelés dans des comptes contrôlés par des hackers. Au final, en 48 heures, 114 nœuds ont participé, 103 ont voté, avec 99 voix pour, 2 contre et 2 abstentions, le projet a été adopté avec un taux de soutien de 90,9 %.
La proposition signifie également une mise à niveau du protocole Sui, ce qui permettra à une adresse spécifique de représenter l'adresse du hacker pour effectuer deux transactions afin de faciliter la récupération des fonds. Ces transactions seront conçues et annoncées une fois que l'adresse de récupération sera finalement déterminée. Les actifs récupérés seront conservés dans un portefeuille multi-signatures contrôlé par Cetus, la fondation Sui et un auditeur de confiance au sein de la communauté Sui, OtterSec.
Au niveau de la mise à jour du protocole, la fonctionnalité d'address aliasing (alias d'adresse) est introduite. Plus précisément, des règles sont définies au niveau du protocole : des opérations de gouvernance spécifiques sont déguisées en "signature légitime d'un compte hacker", puis les nœuds de validation reconnaissent cette signature falsifiée après la mise à jour, rendant ainsi le transfert de fonds gelés légitime. Cela permet de modifier la propriété des actifs par un consensus de nœuds sans toucher aux clés privées (ce qui est similaire au transfert de fonds après le gel des comptes bancaires par une banque centrale).
Et comment les premiers actifs gelés ont-ils été réalisés ? Sui prend en charge la fonctionnalité de Deny list (liste de gel) et de Regulated tokens (jetons régulés), cette fois-ci, nous avons directement appelé l'interface de gel pour verrouiller l'adresse du hacker.
Les risques technologiques liés à l'intervention des pouvoirs restants
Bien que cette démarche ait permis de récupérer la majeure partie des actifs gelés, elle suscite néanmoins des inquiétudes, car la mise à niveau du protocole a forcé, par consensus des nœuds, la modification de la propriété des actifs, ce qui signifie également que les autorités de Sui peuvent remplacer n'importe quelle adresse pour signer, permettant ainsi de transférer les actifs qu'elle contient.
La question de savoir si l'équipe officielle de Sui peut agir ainsi ne repose pas sur le code des contrats intelligents, mais sur le droit de vote des nœuds. Et qui détient le résultat du vote des nœuds ? Ce n'est autre que les grands nœuds contrôlés par le capital de la fondation ! En d'autres termes, les parties prenantes officielles de Sui détiennent le plus grand pouvoir de décision, même si c'est un vote, ce n'est qu'une formalité.
La clé privée de l'utilisateur n'est plus un certificat de contrôle absolu des actifs ; tant que le consensus des nœuds est d'accord, la couche de protocole peut directement remplacer les droits de la clé privée.
Cependant, d'autre part, cela a permis une récupération efficace des actifs, un gel rapide des actifs, grâce aux fonctionnalités de régulation intégrées de Sui, permettant également une limitation rapide des pertes. Le vote a été complété en 48 heures et la mise à niveau du protocole a été mise en œuvre.
Cependant, à mon avis, la fonctionnalité d'aliasing d'adresse a créé un dangereux précédent - le niveau du protocole peut falsifier toute "opération légitime" d'une adresse, posant ainsi des bases techniques pour une intervention autoritaire.
Et cette série d'opérations de récupération de fonds par Sui n'est rien d'autre que le choix de la blockchain publique de prendre des décisions du point de vue des intérêts des utilisateurs lorsque les intérêts des utilisateurs entrent en conflit avec le principe de décentralisation. Quant à savoir si cela viole ou non le principe de décentralisation, cela semble peu importe pour les utilisateurs et Sui, après tout, lorsqu'ils sont remis en question, ils peuvent toujours répondre que c'était une décision "votée".