No dia 22 de maio, o DEX Cetus do ecossistema Sui foi roubado de 223 milhões de dólares em fundos. Desses, apenas 60 milhões de dólares foram trocados por meio de uma ponte cross-chain para ETH e entraram nos bolsos do hacker, enquanto os restantes 162 milhões de dólares foram congelados pelo nó coordenado pela fundação Sui.
No dia 27 de maio, a votação da comunidade foi iniciada, "para decidir se implementa a atualização do protocolo para recuperar os fundos congelados nas contas controladas por hackers". A atualização do protocolo foi finalmente realizada, e 162 milhões de fundos foram recuperados com sucesso.
A rápida resposta da Fundação Sui ao incidente de roubo e a solução rapidamente implementada geraram controvérsia na comunidade. Por um lado, recuperou a maior parte dos fundos, garantindo os interesses dos usuários roubados; por outro lado, o método de recuperação foi através da modificação forçada da propriedade dos ativos por consenso de nós, sendo esta a primeira vez que se implementa a "transferência de ativos sem chave privada" ao nível da blockchain pública.
Diante dos interesses dos usuários, esta operação tão "ousada" que vai contra o "espírito de descentralização" foi simplesmente ignorada.
Como é feito a transferência de ativos sem chave privada?
No dia 22 de maio, o DEX Cetus do ecossistema Sui foi atacado por hackers devido a um erro básico em seu código, resultando em uma perda de 223 milhões de dólares. Após o incidente, 162 milhões de dólares dos fundos roubados foram congelados pelos nós de validação coordenados pela fundação Sui.
No dia 27 de maio, a Fundação Sui promoveu uma votação comunitária, com o objetivo de decidir se deve ser implementada a atualização do protocolo para recuperar os fundos congelados nas contas controladas por hackers. No final, em 48 horas, 114 nós participaram, 103 votaram, com 99 votos a favor, 2 contra e 2 abstenções, resultando em uma aprovação de 90,9% da proposta.
A proposta também implica a atualização do protocolo Sui, que permitirá que um endereço específico represente um endereço de hacker em duas transações, para facilitar a recuperação de fundos. Essas transações serão projetadas e divulgadas após a recuperação do endereço ser finalmente determinada. Os ativos recuperados serão mantidos em uma carteira de múltiplas assinaturas controlada por auditores confiáveis da Cetus, da Fundação Sui e da comunidade Sui, OtterSec.
No nível de atualização do protocolo, foi introduzida a funcionalidade de aliasing de endereço. Especificamente, regras são definidas previamente no nível do protocolo: determinadas operações de governança são disfarçadas como "assinaturas legítimas de contas de hackers", e então os nós validadores reconhecem essa assinatura falsa após a atualização, legalizando a transferência de fundos congelados. Isso permite, sem tocar na chave privada, modificar forçadamente a propriedade dos ativos através do consenso dos nós (semelhante ao banco central congelando contas bancárias e transferindo fundos).
E como foi realizada a primeira congelamento de ativos? O Sui já suporta a funcionalidade de Deny list (lista de bloqueio) e Regulated tokens (tokens regulados), nesta ocasião, foi feito diretamente a chamada da interface de congelamento para bloquear o endereço do hacker.
As vulnerabilidades tecnológicas deixadas pela intervenção do poder
Embora esta ação tenha recuperado a maior parte dos ativos congelados, também não deixa de gerar preocupações, pois a atualização do protocolo forçou a modificação da propriedade dos ativos através do consenso dos nós, o que indica que a equipe oficial do Sui pode substituir qualquer endereço para assinar, permitindo transferir os ativos contidos.
A restrição sobre se a Sui oficial pode fazer isso não é o código do contrato inteligente, mas sim o direito de voto dos nós, e quem controla o resultado da votação dos nós? Isso nada mais é do que grandes nós controlados pelo capital da fundação! Ou seja, as partes interessadas da Sui oficial têm o maior poder de decisão, mesmo que a votação seja apenas uma formalidade.
A chave privada do usuário já não é mais um comprovativo absoluto de controle dos ativos; desde que haja consenso entre os nós, a camada de protocolo pode sobrepor diretamente os direitos da chave privada.
Mas, por outro lado, isso implementou uma recuperação de ativos eficiente, com a rápida congelamento dos ativos, graças às funções de supervisão integradas no Sui, que também permitem uma rápida mitigação de perdas, completando a votação em 48 horas e implementando a atualização do protocolo.
No entanto, na opinião do autor, a funcionalidade de aliasing de endereços criou um precedente perigoso - a camada de protocolo pode falsificar a "operação legítima" de qualquer endereço, o que semeia a semente para uma intervenção autoritária.
E esta série de operações para recuperar fundos da Sui foi, na verdade, uma decisão da parte da blockchain pública que optou por priorizar os interesses dos usuários quando houve um conflito com o princípio da descentralização. E quanto a saber se isso fere ou não o princípio da descentralização, parece que não é importante para os usuários e para a Sui, pois, afinal, quando questionados, podem sempre responder que foi uma decisão "votada".
O conteúdo é apenas para referência, não uma solicitação ou oferta. Nenhum aconselhamento fiscal, de investimento ou jurídico é fornecido. Consulte a isenção de responsabilidade para obter mais informações sobre riscos.
Cetus teve fundos roubados recuperados "Descentralização" cedeu aos interesses dos usuários
Jessy, Gold Finance
No dia 22 de maio, o DEX Cetus do ecossistema Sui foi roubado de 223 milhões de dólares em fundos. Desses, apenas 60 milhões de dólares foram trocados por meio de uma ponte cross-chain para ETH e entraram nos bolsos do hacker, enquanto os restantes 162 milhões de dólares foram congelados pelo nó coordenado pela fundação Sui.
No dia 27 de maio, a votação da comunidade foi iniciada, "para decidir se implementa a atualização do protocolo para recuperar os fundos congelados nas contas controladas por hackers". A atualização do protocolo foi finalmente realizada, e 162 milhões de fundos foram recuperados com sucesso.
A rápida resposta da Fundação Sui ao incidente de roubo e a solução rapidamente implementada geraram controvérsia na comunidade. Por um lado, recuperou a maior parte dos fundos, garantindo os interesses dos usuários roubados; por outro lado, o método de recuperação foi através da modificação forçada da propriedade dos ativos por consenso de nós, sendo esta a primeira vez que se implementa a "transferência de ativos sem chave privada" ao nível da blockchain pública.
Diante dos interesses dos usuários, esta operação tão "ousada" que vai contra o "espírito de descentralização" foi simplesmente ignorada.
Como é feito a transferência de ativos sem chave privada?
No dia 22 de maio, o DEX Cetus do ecossistema Sui foi atacado por hackers devido a um erro básico em seu código, resultando em uma perda de 223 milhões de dólares. Após o incidente, 162 milhões de dólares dos fundos roubados foram congelados pelos nós de validação coordenados pela fundação Sui.
No dia 27 de maio, a Fundação Sui promoveu uma votação comunitária, com o objetivo de decidir se deve ser implementada a atualização do protocolo para recuperar os fundos congelados nas contas controladas por hackers. No final, em 48 horas, 114 nós participaram, 103 votaram, com 99 votos a favor, 2 contra e 2 abstenções, resultando em uma aprovação de 90,9% da proposta.
A proposta também implica a atualização do protocolo Sui, que permitirá que um endereço específico represente um endereço de hacker em duas transações, para facilitar a recuperação de fundos. Essas transações serão projetadas e divulgadas após a recuperação do endereço ser finalmente determinada. Os ativos recuperados serão mantidos em uma carteira de múltiplas assinaturas controlada por auditores confiáveis da Cetus, da Fundação Sui e da comunidade Sui, OtterSec.
No nível de atualização do protocolo, foi introduzida a funcionalidade de aliasing de endereço. Especificamente, regras são definidas previamente no nível do protocolo: determinadas operações de governança são disfarçadas como "assinaturas legítimas de contas de hackers", e então os nós validadores reconhecem essa assinatura falsa após a atualização, legalizando a transferência de fundos congelados. Isso permite, sem tocar na chave privada, modificar forçadamente a propriedade dos ativos através do consenso dos nós (semelhante ao banco central congelando contas bancárias e transferindo fundos).
E como foi realizada a primeira congelamento de ativos? O Sui já suporta a funcionalidade de Deny list (lista de bloqueio) e Regulated tokens (tokens regulados), nesta ocasião, foi feito diretamente a chamada da interface de congelamento para bloquear o endereço do hacker.
As vulnerabilidades tecnológicas deixadas pela intervenção do poder
Embora esta ação tenha recuperado a maior parte dos ativos congelados, também não deixa de gerar preocupações, pois a atualização do protocolo forçou a modificação da propriedade dos ativos através do consenso dos nós, o que indica que a equipe oficial do Sui pode substituir qualquer endereço para assinar, permitindo transferir os ativos contidos.
A restrição sobre se a Sui oficial pode fazer isso não é o código do contrato inteligente, mas sim o direito de voto dos nós, e quem controla o resultado da votação dos nós? Isso nada mais é do que grandes nós controlados pelo capital da fundação! Ou seja, as partes interessadas da Sui oficial têm o maior poder de decisão, mesmo que a votação seja apenas uma formalidade.
A chave privada do usuário já não é mais um comprovativo absoluto de controle dos ativos; desde que haja consenso entre os nós, a camada de protocolo pode sobrepor diretamente os direitos da chave privada.
Mas, por outro lado, isso implementou uma recuperação de ativos eficiente, com a rápida congelamento dos ativos, graças às funções de supervisão integradas no Sui, que também permitem uma rápida mitigação de perdas, completando a votação em 48 horas e implementando a atualização do protocolo.
No entanto, na opinião do autor, a funcionalidade de aliasing de endereços criou um precedente perigoso - a camada de protocolo pode falsificar a "operação legítima" de qualquer endereço, o que semeia a semente para uma intervenção autoritária.
E esta série de operações para recuperar fundos da Sui foi, na verdade, uma decisão da parte da blockchain pública que optou por priorizar os interesses dos usuários quando houve um conflito com o princípio da descentralização. E quanto a saber se isso fere ou não o princípio da descentralização, parece que não é importante para os usuários e para a Sui, pois, afinal, quando questionados, podem sempre responder que foi uma decisão "votada".