22 травня в екосистемі Sui DEX Cetus було вкрадено 223 мільйони доларів. З них лише 60 мільйонів доларів було обміняно на ETH через кросчейн-міст, які потрапили до кишені хакера, тоді як решту 162 мільйони доларів були заморожені координованими вузлами Фонду Sui.
27 травня розпочалося голосування громади, "щоб вирішити, чи впроваджувати оновлення протоколу для повернення коштів, заморожених на рахунках під контролем хакерів". В результаті оновлення протоколу 162 мільйони коштів були успішно повернуті.
З одного боку, він повернув більшу частину коштів для захисту інтересів викрадених користувачів, а з іншого боку, шлях до повернення активів полягав у примусовій модифікації власності на активи через консенсус вузлів, що стало першим випадком, коли було реалізовано «передачу активів без приватних ключів» на рівні публічних ланцюгів.
На користь користувачів ця така "смілива" дія, що суперечить "духу децентралізації", була просто проігнорована.
Як здійснюється безключовий переказ активів?
22 травня екологічна DEX Cetus Sui була зламана через низькорівневу помилку у власному коді, втративши $223 млн. Після інциденту $162 млн із вкрадених коштів були заморожені Фондом Sui Foundation для координації валідаторів.
27 травня Фонд Sui ініціював голосування в спільноті, щоб вирішити, чи реалізувати оновлення протоколу для повернення коштів, заморожених на рахунках, контрольованих хакерами. В кінцевому підсумку протягом 48 годин 114 вузлів, 103 з яких взяли участь у голосуванні, 99 голосів «за», 2 голоси «проти», 2 голоси «утрималися», з 90,9% підтримки пропозиції.
Прийняття пропозиції також віщує оновлення протоколу Sui, який дозволить за конкретною адресою проводити дві транзакції від імені адреси хакера з метою полегшення відновлення коштів. Ці транзакції будуть розроблені та оголошені після завершення визначення адреси для відновлення. Відновлені активи зберігатимуться в гаманці з мультипідписом, який контролюється Cetus, Sui Foundation і OtterSec, довіреним аудитором у спільноті Sui.
На рівні оновлення протоколу вводиться функція «псевдонімація адреси», зокрема, на рівні протоколу заздалегідь визначаються правила: конкретна дія управління маскується під «законний підпис хакерського облікового запису», а потім валідатор розпізнає підроблений підпис після оновлення, легітимізуючи переказ заморожених коштів. Вищезазначене дає можливість примусово модифікувати володіння активами через консенсус вузла без торкання приватного ключа (аналогічно переказу коштів після заморожування центральним банком банківського рахунку).
А як же були реалізовані найперші заморожені активи? Sui сам по собі підтримує функції Deny list (список заборонених) та Regulated tokens (регульовані токени), цього разу безпосередньо викликаючи інтерфейс замороження для блокування адреси хакера.
Технічні ризики, що залишилися від сильного втручання
Хоча цей крок повернув більшість заморожених активів, це також викликає занепокоєння, оскільки оновлення протоколу змусило змінити право власності на активи через консенсус вузлів, що також означає, що офіційний Sui може підписувати замість будь-якої адреси, тим самим переміщуючи активи з неї.
Обмеження, чи може офіційна команда Sui це зробити, не є кодом смарт-контракту, а є правом голосу вузлів, а результат голосування вузлів залежить від того, хто його контролює? Це просто великі вузли, які контролюються капіталом фонду! Іншими словами, зацікавлені сторони офіційної команди Sui мають найбільшу вагу в ухваленні рішень, і навіть голосування — це всього лише формальність.
Приватний ключ користувача більше не є абсолютним доказом контролю активів; якщо консенсус вузлів погоджується, рівень протоколу може безпосередньо перекривати права приватного ключа.
Однак, з іншого боку, це забезпечило ефективне повернення активів, швидке заморожування активів, завдяки вбудованим регуляторним функціям Sui, що дозволяє швидко зменшити збитки. Голосування було завершено протягом 48 годин, і оновлення протоколу було впроваджено.
Але, на думку автора, функція aliasing адреси створила небезпечний прецедент - на рівні протоколу можна підробити будь-яку "легальну операцію" адреси, що закладає технічний ґрунт для втручання влади.
Серія операцій Sui з повернення коштів цього разу полягає в тому, що коли інтереси користувачів суперечать принципу децентралізації, партія публічного ланцюга вирішує приймати рішення з точки зору інтересів користувачів. Що стосується того, чи порушує це принцип децентралізації, то це, схоже, не має значення як для користувачів, так і для Sui, адже на питання можна також відповісти, що рішення було прийнято шляхом «голосування».
Контент має виключно довідковий характер і не є запрошенням до участі або пропозицією. Інвестиційні, податкові чи юридичні консультації не надаються. Перегляньте Відмову від відповідальності , щоб дізнатися більше про ризики.
Cetus повернуті вкрадені кошти "Децентралізація" поступка інтересам користувачів
Jessy, Золотий фінансовий
22 травня в екосистемі Sui DEX Cetus було вкрадено 223 мільйони доларів. З них лише 60 мільйонів доларів було обміняно на ETH через кросчейн-міст, які потрапили до кишені хакера, тоді як решту 162 мільйони доларів були заморожені координованими вузлами Фонду Sui.
27 травня розпочалося голосування громади, "щоб вирішити, чи впроваджувати оновлення протоколу для повернення коштів, заморожених на рахунках під контролем хакерів". В результаті оновлення протоколу 162 мільйони коштів були успішно повернуті.
З одного боку, він повернув більшу частину коштів для захисту інтересів викрадених користувачів, а з іншого боку, шлях до повернення активів полягав у примусовій модифікації власності на активи через консенсус вузлів, що стало першим випадком, коли було реалізовано «передачу активів без приватних ключів» на рівні публічних ланцюгів.
На користь користувачів ця така "смілива" дія, що суперечить "духу децентралізації", була просто проігнорована.
Як здійснюється безключовий переказ активів?
22 травня екологічна DEX Cetus Sui була зламана через низькорівневу помилку у власному коді, втративши $223 млн. Після інциденту $162 млн із вкрадених коштів були заморожені Фондом Sui Foundation для координації валідаторів.
27 травня Фонд Sui ініціював голосування в спільноті, щоб вирішити, чи реалізувати оновлення протоколу для повернення коштів, заморожених на рахунках, контрольованих хакерами. В кінцевому підсумку протягом 48 годин 114 вузлів, 103 з яких взяли участь у голосуванні, 99 голосів «за», 2 голоси «проти», 2 голоси «утрималися», з 90,9% підтримки пропозиції.
Прийняття пропозиції також віщує оновлення протоколу Sui, який дозволить за конкретною адресою проводити дві транзакції від імені адреси хакера з метою полегшення відновлення коштів. Ці транзакції будуть розроблені та оголошені після завершення визначення адреси для відновлення. Відновлені активи зберігатимуться в гаманці з мультипідписом, який контролюється Cetus, Sui Foundation і OtterSec, довіреним аудитором у спільноті Sui.
На рівні оновлення протоколу вводиться функція «псевдонімація адреси», зокрема, на рівні протоколу заздалегідь визначаються правила: конкретна дія управління маскується під «законний підпис хакерського облікового запису», а потім валідатор розпізнає підроблений підпис після оновлення, легітимізуючи переказ заморожених коштів. Вищезазначене дає можливість примусово модифікувати володіння активами через консенсус вузла без торкання приватного ключа (аналогічно переказу коштів після заморожування центральним банком банківського рахунку).
А як же були реалізовані найперші заморожені активи? Sui сам по собі підтримує функції
Deny list(список заборонених) таRegulated tokens(регульовані токени), цього разу безпосередньо викликаючи інтерфейс замороження для блокування адреси хакера.Технічні ризики, що залишилися від сильного втручання
Хоча цей крок повернув більшість заморожених активів, це також викликає занепокоєння, оскільки оновлення протоколу змусило змінити право власності на активи через консенсус вузлів, що також означає, що офіційний Sui може підписувати замість будь-якої адреси, тим самим переміщуючи активи з неї.
Обмеження, чи може офіційна команда Sui це зробити, не є кодом смарт-контракту, а є правом голосу вузлів, а результат голосування вузлів залежить від того, хто його контролює? Це просто великі вузли, які контролюються капіталом фонду! Іншими словами, зацікавлені сторони офіційної команди Sui мають найбільшу вагу в ухваленні рішень, і навіть голосування — це всього лише формальність.
Приватний ключ користувача більше не є абсолютним доказом контролю активів; якщо консенсус вузлів погоджується, рівень протоколу може безпосередньо перекривати права приватного ключа.
Однак, з іншого боку, це забезпечило ефективне повернення активів, швидке заморожування активів, завдяки вбудованим регуляторним функціям Sui, що дозволяє швидко зменшити збитки. Голосування було завершено протягом 48 годин, і оновлення протоколу було впроваджено.
Але, на думку автора, функція
aliasing адресистворила небезпечний прецедент - на рівні протоколу можна підробити будь-яку "легальну операцію" адреси, що закладає технічний ґрунт для втручання влади.Серія операцій Sui з повернення коштів цього разу полягає в тому, що коли інтереси користувачів суперечать принципу децентралізації, партія публічного ланцюга вирішує приймати рішення з точки зору інтересів користувачів. Що стосується того, чи порушує це принцип децентралізації, то це, схоже, не має значення як для користувачів, так і для Sui, адже на питання можна також відповісти, що рішення було прийнято шляхом «голосування».