No dia 22 de maio, o DEX Cetus do ecossistema Sui foi roubado no valor de 223 milhões de dólares. Deste montante, apenas 60 milhões de dólares foram trocados por ETH através da ponte cross-chain e foram para o bolso do hacker, enquanto os restantes 162 milhões de dólares foram congelados pelos nós coordenados pela fundação Sui.
No dia 27 de maio, foi iniciada uma votação na comunidade para "decidir se deve ser implementada uma atualização do protocolo para recuperar os fundos congelados em contas controladas por hackers". A atualização do protocolo foi finalmente realizada, e 162 milhões em fundos foram recuperados com sucesso.
A rápida resposta da Fundação Sui a este incidente de roubo e a solução que foi rapidamente introduzida geraram uma grande controvérsia na comunidade. Por um lado, recuperou a maior parte dos fundos, garantindo os interesses dos usuários afetados. Por outro lado, o método de recuperação foi forçar a modificação da propriedade dos ativos através de consenso de nós, sendo esta a primeira vez que se implementa a "transferência de ativos sem chave" a nível de blockchain pública.
Perante os interesses dos utilizadores, esta operação tão "audaciosa" que contraria o "espírito da descentralização" foi simplesmente ignorada.
Como é que a transferência de ativos sem chave privada é realizada?
No dia 22 de maio, o DEX Cetus do ecossistema Sui foi atacado por hackers devido a um erro grave em seu código, resultando em uma perda de 223 milhões de dólares. Após o incidente, 162 milhões de dólares dos fundos roubados foram congelados pela Fundação Sui, que coordenou os nós de validação.
No dia 27 de maio, a Fundação Sui promoveu uma votação comunitária, cujo objetivo era decidir se deveria ser implementada uma atualização do protocolo para recuperar os fundos congelados nas contas controladas por hackers. No final, em 48 horas, 114 nós participaram, com 103 votos, 99 a favor, 2 contra e 2 abstenções, resultando em uma aprovação de 90,9% da proposta.
A proposta também significa que o protocolo Sui será atualizado, permitindo que um endereço específico represente o endereço do hacker em duas transações, para facilitar a recuperação de fundos. Essas transações serão projetadas e divulgadas após a confirmação do endereço de recuperação. Os ativos recuperados serão mantidos em uma carteira multi-assinatura controlada por auditores confiáveis da Cetus, da Fundação Sui e da comunidade Sui, OtterSec.
No nível de atualização do protocolo, o recurso de 'aliasing de endereço' é introduzido, especificamente, as regras são definidas antecipadamente na camada de protocolo: uma ação de governança específica é disfarçada como uma "assinatura legítima de uma conta de hacker", e então o validador reconhece a assinatura falsificada após a atualização, legitimando a transferência de fundos congelados. O acima exposto torna possível forçar a modificação da propriedade de ativos através do consenso de nós sem tocar na chave privada (semelhante à transferência de fundos depois que o banco central congela a conta bancária).
E como foram originalmente congelados os ativos? O Sui suporta a funcionalidade de Deny list (lista de congelamento) e Regulated tokens (tokens regulados), e desta vez foi feita uma chamada direta à interface de congelamento para bloquear o endereço do hacker.
Riscos técnicos da intervenção do poder deixados
Embora esta ação tenha recuperado a maior parte dos ativos congelados, também suscita preocupações, pois a atualização do protocolo forçou a modificação da propriedade dos ativos através do consenso dos nós, o que também indica que a Sui oficial pode substituir qualquer endereço para assinar, permitindo assim a transferência dos ativos contidos.
A restrição sobre se a Sui oficial pode fazer isso não é o código do contrato inteligente, mas sim o poder de voto dos nós, e quem detém o resultado da votação dos nós? Isso nada mais é do que os grandes nós controlados pelo capital da fundação! Ou seja, as partes interessadas da Sui oficial detêm a maior parte da influência, e mesmo a votação não passa de uma formalidade.
A chave privada do usuário não é mais um comprovante absoluto de controle sobre os ativos; assim que houver consenso entre os nós, a camada de protocolo pode diretamente sobrepor os direitos da chave privada.
Mas, por outro lado, isso possibilitou uma recuperação eficiente de ativos, a rápida congelamento de ativos, graças às funcionalidades de regulação integradas no Sui, que também permite uma rápida mitigação de perdas, com a votação concluída em 48 horas e a implementação da atualização do protocolo.
Mas na opinião do autor, a funcionalidade aliasing de endereço criou um perigoso precedente - o nível de protocolo pode falsificar qualquer "operação legítima" de um endereço, o que semeia a semente técnica para a intervenção do poder.
A série de operações do Sui para recuperar fundos desta vez é justamente que, quando os interesses dos usuários entram em conflito com o princípio da descentralização, a parte da cadeia pública opta por tomar decisões sob a perspetiva dos interesses dos usuários. Quanto a saber se viola o princípio da descentralização, não parece importar tanto para os utilizadores como para Sui, afinal, quando questionado, também se pode responder que foi decidido por "voto".
O conteúdo serve apenas de referência e não constitui uma solicitação ou oferta. Não é prestado qualquer aconselhamento em matéria de investimento, fiscal ou jurídica. Consulte a Declaração de exoneração de responsabilidade para obter mais informações sobre os riscos.
Cetus teve fundos roubados recuperados "Descentralização" cedeu aos interesses dos usuários
Jessy, Golden Finance
No dia 22 de maio, o DEX Cetus do ecossistema Sui foi roubado no valor de 223 milhões de dólares. Deste montante, apenas 60 milhões de dólares foram trocados por ETH através da ponte cross-chain e foram para o bolso do hacker, enquanto os restantes 162 milhões de dólares foram congelados pelos nós coordenados pela fundação Sui.
No dia 27 de maio, foi iniciada uma votação na comunidade para "decidir se deve ser implementada uma atualização do protocolo para recuperar os fundos congelados em contas controladas por hackers". A atualização do protocolo foi finalmente realizada, e 162 milhões em fundos foram recuperados com sucesso.
A rápida resposta da Fundação Sui a este incidente de roubo e a solução que foi rapidamente introduzida geraram uma grande controvérsia na comunidade. Por um lado, recuperou a maior parte dos fundos, garantindo os interesses dos usuários afetados. Por outro lado, o método de recuperação foi forçar a modificação da propriedade dos ativos através de consenso de nós, sendo esta a primeira vez que se implementa a "transferência de ativos sem chave" a nível de blockchain pública.
Perante os interesses dos utilizadores, esta operação tão "audaciosa" que contraria o "espírito da descentralização" foi simplesmente ignorada.
Como é que a transferência de ativos sem chave privada é realizada?
No dia 22 de maio, o DEX Cetus do ecossistema Sui foi atacado por hackers devido a um erro grave em seu código, resultando em uma perda de 223 milhões de dólares. Após o incidente, 162 milhões de dólares dos fundos roubados foram congelados pela Fundação Sui, que coordenou os nós de validação.
No dia 27 de maio, a Fundação Sui promoveu uma votação comunitária, cujo objetivo era decidir se deveria ser implementada uma atualização do protocolo para recuperar os fundos congelados nas contas controladas por hackers. No final, em 48 horas, 114 nós participaram, com 103 votos, 99 a favor, 2 contra e 2 abstenções, resultando em uma aprovação de 90,9% da proposta.
A proposta também significa que o protocolo Sui será atualizado, permitindo que um endereço específico represente o endereço do hacker em duas transações, para facilitar a recuperação de fundos. Essas transações serão projetadas e divulgadas após a confirmação do endereço de recuperação. Os ativos recuperados serão mantidos em uma carteira multi-assinatura controlada por auditores confiáveis da Cetus, da Fundação Sui e da comunidade Sui, OtterSec.
No nível de atualização do protocolo, o recurso de 'aliasing de endereço' é introduzido, especificamente, as regras são definidas antecipadamente na camada de protocolo: uma ação de governança específica é disfarçada como uma "assinatura legítima de uma conta de hacker", e então o validador reconhece a assinatura falsificada após a atualização, legitimando a transferência de fundos congelados. O acima exposto torna possível forçar a modificação da propriedade de ativos através do consenso de nós sem tocar na chave privada (semelhante à transferência de fundos depois que o banco central congela a conta bancária).
E como foram originalmente congelados os ativos? O Sui suporta a funcionalidade de
Deny list(lista de congelamento) eRegulated tokens(tokens regulados), e desta vez foi feita uma chamada direta à interface de congelamento para bloquear o endereço do hacker.Riscos técnicos da intervenção do poder deixados
Embora esta ação tenha recuperado a maior parte dos ativos congelados, também suscita preocupações, pois a atualização do protocolo forçou a modificação da propriedade dos ativos através do consenso dos nós, o que também indica que a Sui oficial pode substituir qualquer endereço para assinar, permitindo assim a transferência dos ativos contidos.
A restrição sobre se a Sui oficial pode fazer isso não é o código do contrato inteligente, mas sim o poder de voto dos nós, e quem detém o resultado da votação dos nós? Isso nada mais é do que os grandes nós controlados pelo capital da fundação! Ou seja, as partes interessadas da Sui oficial detêm a maior parte da influência, e mesmo a votação não passa de uma formalidade.
A chave privada do usuário não é mais um comprovante absoluto de controle sobre os ativos; assim que houver consenso entre os nós, a camada de protocolo pode diretamente sobrepor os direitos da chave privada.
Mas, por outro lado, isso possibilitou uma recuperação eficiente de ativos, a rápida congelamento de ativos, graças às funcionalidades de regulação integradas no Sui, que também permite uma rápida mitigação de perdas, com a votação concluída em 48 horas e a implementação da atualização do protocolo.
Mas na opinião do autor, a funcionalidade
aliasing de endereçocriou um perigoso precedente - o nível de protocolo pode falsificar qualquer "operação legítima" de um endereço, o que semeia a semente técnica para a intervenção do poder.A série de operações do Sui para recuperar fundos desta vez é justamente que, quando os interesses dos usuários entram em conflito com o princípio da descentralização, a parte da cadeia pública opta por tomar decisões sob a perspetiva dos interesses dos usuários. Quanto a saber se viola o princípio da descentralização, não parece importar tanto para os utilizadores como para Sui, afinal, quando questionado, também se pode responder que foi decidido por "voto".