22 мая экосистема Sui DEX Cetus была ограблена на 223 миллиона долларов. Из этой суммы только 60 миллионов долларов были обменены на ETH через кросс-чейн мост и попали в карман хакера, в то время как оставшиеся 162 миллиона долларов были заморожены координаторами узлов фонда Sui.
27 мая началось голосование сообщества, "чтобы решить, следует ли реализовать обновление протокола для возврата средств, замороженных на счетах, контролируемых хакерами". В конечном итоге обновление протокола было реализовано, и 162 миллиона средств были успешно возвращены.
Быстрая реакция фонда Sui на это происшествие с кражей и быстрое внедрение решения вызвали значительные споры в сообществе. С одной стороны, он вернул большую часть средств и защитил интересы пользователей, которые стали жертвами кражи, с другой стороны, способ возврата заключался в принудительном изменении прав собственности активов через консенсус узлов, что стало первым случаем реализации "перевода активов без приватного ключа" на уровне публичной цепи.
Перед интересами пользователей эта такая «дерзкая» операция, противоречащая «духу децентрализации», была просто проигнорирована.
Как осуществляется передача активов без ключа?
22 мая DEX Cetus на экосистеме Sui подвергся атаке хакеров из-за низкоуровневой ошибки в своем коде, в результате чего были потеряны 223 миллиона долларов. После инцидента 162 миллиона долларов из украденных средств были заморожены при помощи координации верификационных узлов Фонда Sui.
27 мая Фонд Sui инициировал голосование в сообществе, целью которого было решить, следует ли проводить обновление протокола для возврата средств, замороженных на счетах, контролируемых хакерами. В конечном итоге в течение 48 часов 114 узлов из 103 проголосовали: 99 голосов "за", 2 голоса "против", 2 голоса "воздержались", и предложение было одобрено с высоким результатом 90,9%.
Предложение также означает, что протокол Sui будет обновлен, что позволит определенному адресу представлять адрес хакера для проведения двух транзакций с целью содействия возврату средств. Эти транзакции будут спроектированы и опубликованы после окончательного определения адреса восстановления. Восстановленные активы будут храниться в многоподписном кошельке, контролируемом аудитором OtterSec, которому доверяют Cetus, Фонд Sui и сообщество Sui.
На уровне обновления протокола вводится функция адресного псевдонимирования (address aliasing), а именно заранее определяются правила на уровне протокола: определенные операции управления маскируются под «законные подписи хакерских аккаунтов», а затем узловые верификаторы после обновления признают эти поддельные подписи, легализуя перевод замороженных средств. Это позволяет, не затрагивая закрытый ключ, принудительно изменять принадлежность активов через консенсус узлов (что похоже на перевод средств после заморозки банковского счета центральным банком).
А как же были реализованы самые первые замороженные активы? Sui сама по себе поддерживает функции Deny list (список запрещенных) и Regulated tokens (регулируемые токены), и в этот раз просто был вызван интерфейс заморозки для блокировки адреса хакера.
Технические риски, связанные с вмешательством оставшейся власти
Хотя этот шаг вернул большую часть замороженных активов, это также вызывает беспокойство, поскольку обновление протокола принудительно изменило принадлежность активов через консенсус узлов, что также означает, что официальные лица Sui могут подписывать от имени любого адреса, тем самым перемещая активы из него.
Ограничение на то, может ли официальный Sui это сделать, не является кодом смарт-контракта, а правами голоса узлов. А кто же контролирует результаты голосования узлов? Это, по сути, крупные узлы с контролем капитала от фонда! Это означает, что заинтересованные стороны официального Sui обладают наибольшим влиянием, и даже голосование - это всего лишь формальность.
Частный ключ пользователя больше не является абсолютным доказательством контроля над активами; как только узел согласен с консенсусом, уровень протокола может напрямую переопределить права на частный ключ.
Однако с другой стороны, это обеспечило высокую эффективность возврата активов, быстрое замораживание активов, благодаря встроенным функциям регулирования Sui, что также позволяет быстро ограничить убытки. Голосование было завершено в течение 48 часов, и обновление протокола было реализовано.
Однако, по мнению автора, функция адресного псевдонимирования создала опасный прецедент — на уровне протокола можно подделать «законные операции» с любым адресом, что закладывает технологическую основу для вмешательства властей.
А эта серия действий по возвращению средств Sui на самом деле является выбором со стороны публичной цепочки в пользу интересов пользователей, когда интересы пользователей вступают в конфликт с принципами децентрализации. И для пользователей, и для Sui, похоже, не так важно, нарушает ли это принципы децентрализации, ведь в ответ на критику можно сказать, что это было решено путем "голосования".
Содержание носит исключительно справочный характер и не является предложением или офертой. Консультации по инвестициям, налогообложению или юридическим вопросам не предоставляются. Более подробную информацию о рисках см. в разделе «Дисклеймер».
Cetus был украден, средства возвращены. "Децентрализация" уступила интересам пользователей.
Jessy, Золотая финансовая
22 мая экосистема Sui DEX Cetus была ограблена на 223 миллиона долларов. Из этой суммы только 60 миллионов долларов были обменены на ETH через кросс-чейн мост и попали в карман хакера, в то время как оставшиеся 162 миллиона долларов были заморожены координаторами узлов фонда Sui.
27 мая началось голосование сообщества, "чтобы решить, следует ли реализовать обновление протокола для возврата средств, замороженных на счетах, контролируемых хакерами". В конечном итоге обновление протокола было реализовано, и 162 миллиона средств были успешно возвращены.
Быстрая реакция фонда Sui на это происшествие с кражей и быстрое внедрение решения вызвали значительные споры в сообществе. С одной стороны, он вернул большую часть средств и защитил интересы пользователей, которые стали жертвами кражи, с другой стороны, способ возврата заключался в принудительном изменении прав собственности активов через консенсус узлов, что стало первым случаем реализации "перевода активов без приватного ключа" на уровне публичной цепи.
Перед интересами пользователей эта такая «дерзкая» операция, противоречащая «духу децентрализации», была просто проигнорирована.
Как осуществляется передача активов без ключа?
22 мая DEX Cetus на экосистеме Sui подвергся атаке хакеров из-за низкоуровневой ошибки в своем коде, в результате чего были потеряны 223 миллиона долларов. После инцидента 162 миллиона долларов из украденных средств были заморожены при помощи координации верификационных узлов Фонда Sui.
27 мая Фонд Sui инициировал голосование в сообществе, целью которого было решить, следует ли проводить обновление протокола для возврата средств, замороженных на счетах, контролируемых хакерами. В конечном итоге в течение 48 часов 114 узлов из 103 проголосовали: 99 голосов "за", 2 голоса "против", 2 голоса "воздержались", и предложение было одобрено с высоким результатом 90,9%.
Предложение также означает, что протокол Sui будет обновлен, что позволит определенному адресу представлять адрес хакера для проведения двух транзакций с целью содействия возврату средств. Эти транзакции будут спроектированы и опубликованы после окончательного определения адреса восстановления. Восстановленные активы будут храниться в многоподписном кошельке, контролируемом аудитором OtterSec, которому доверяют Cetus, Фонд Sui и сообщество Sui.
На уровне обновления протокола вводится функция адресного псевдонимирования (address aliasing), а именно заранее определяются правила на уровне протокола: определенные операции управления маскируются под «законные подписи хакерских аккаунтов», а затем узловые верификаторы после обновления признают эти поддельные подписи, легализуя перевод замороженных средств. Это позволяет, не затрагивая закрытый ключ, принудительно изменять принадлежность активов через консенсус узлов (что похоже на перевод средств после заморозки банковского счета центральным банком).
А как же были реализованы самые первые замороженные активы? Sui сама по себе поддерживает функции Deny list (список запрещенных) и Regulated tokens (регулируемые токены), и в этот раз просто был вызван интерфейс заморозки для блокировки адреса хакера.
Технические риски, связанные с вмешательством оставшейся власти
Хотя этот шаг вернул большую часть замороженных активов, это также вызывает беспокойство, поскольку обновление протокола принудительно изменило принадлежность активов через консенсус узлов, что также означает, что официальные лица Sui могут подписывать от имени любого адреса, тем самым перемещая активы из него.
Ограничение на то, может ли официальный Sui это сделать, не является кодом смарт-контракта, а правами голоса узлов. А кто же контролирует результаты голосования узлов? Это, по сути, крупные узлы с контролем капитала от фонда! Это означает, что заинтересованные стороны официального Sui обладают наибольшим влиянием, и даже голосование - это всего лишь формальность.
Частный ключ пользователя больше не является абсолютным доказательством контроля над активами; как только узел согласен с консенсусом, уровень протокола может напрямую переопределить права на частный ключ.
Однако с другой стороны, это обеспечило высокую эффективность возврата активов, быстрое замораживание активов, благодаря встроенным функциям регулирования Sui, что также позволяет быстро ограничить убытки. Голосование было завершено в течение 48 часов, и обновление протокола было реализовано.
Однако, по мнению автора, функция адресного псевдонимирования создала опасный прецедент — на уровне протокола можно подделать «законные операции» с любым адресом, что закладывает технологическую основу для вмешательства властей.
А эта серия действий по возвращению средств Sui на самом деле является выбором со стороны публичной цепочки в пользу интересов пользователей, когда интересы пользователей вступают в конфликт с принципами децентрализации. И для пользователей, и для Sui, похоже, не так важно, нарушает ли это принципы децентрализации, ведь в ответ на критику можно сказать, что это было решено путем "голосования".