Prétendant être une chaîne publique sécurisée et décentralisée, pourquoi Sui a-t-elle pu geler les 160 millions de dollars volés par les pirates informatiques ?

PANews
PANews
SUI-3,72 %
ETH-1,11 %
USDC0,00 %

Beaucoup de gens sont perplexes, Sui a officiellement déclaré qu’après que le pirate attack@CetusProtocol le réseau de validation se soit coordonné pour « geler » l’adresse du pirate, économisant ainsi 160 millions de dollars. Comment, exactement ? La décentralisation est-elle un « mensonge » ? Essayons de l’analyser d’un point de vue technique :

La partie du transfert de pont inter-chaînes : Une fois le piratage réussi, certains actifs tels que l’USDC sont transférés vers d’autres chaînes telles que Ethereum via le pont inter-chaînes. Cette partie des fonds n’est plus récupérable, car une fois qu’ils quittent l’écosystème Sui, il n’y a plus rien que le validateur puisse faire.

La partie qui se trouve toujours sur la chaîne Sui : Il y a aussi une quantité importante de fonds volés qui sont toujours stockés dans des adresses Sui contrôlées par les pirates. Cette partie des fonds est devenue la cible du « gel ».

Selon l’annonce officielle, « un grand nombre de validateurs ont identifié les adresses de fonds volés et ignorent les transactions sur ces adresses ».

-Comment?

1. Filtrage des transactions au niveau du validateur - en termes simples, les validateurs « font semblant d’être aveugles » collectivement :

  • Le validateur ignore directement la transaction de l’adresse du pirate pendant la phase de mempool ;
  • Ces transactions sont techniquement entièrement valides, mais elles ne vous donnent tout simplement pas un package sur la chaîne ;
  • Les fonds du pirate ont ainsi été placés en « résidence surveillée » à l’adresse ;

2. Le mécanisme clé du modèle objet Move - le modèle objet du langage Move rend ce « gel » possible :

  • Le transfert doit être on-chain : Bien que le pirate contrôle un grand nombre d’actifs dans l’adresse Sui, afin de transférer ces objets USDC, SUI et autres, la transaction doit être initiée et confirmée par le validateur.
  • Le validateur a le pouvoir de vie et de mort : si le validateur refuse de plier bagage, l’objet ne bougera jamais ;
  • Résultat : le hacker « possède » nominalement les actifs, mais n’a en réalité rien à faire.

C’est comme si vous aviez une carte bancaire, mais que tous les distributeurs automatiques refusent de vous servir. L’argent est dans la carte, mais vous ne pouvez pas le retirer. Avec la surveillance et l’intervention continues (ATM) des validateurs SUI, les tokens tels que SUI dans les adresses hackers ne pourront plus circuler, et ces fonds volés sont désormais comme s’ils avaient été « brûlés », jouant objectivement un rôle « déflationniste » ?

Bien sûr, en plus de la coordination ad hoc des validateurs, Sui peut avoir une fonction de liste de refus prédéfinie au niveau du système. Si tel est le cas, le processus pourrait être le suivant : l’autorité compétente (telle que la Fondation Sui ou par le biais de la gouvernance) ajoute l’adresse du pirate à la deny_list système, et le validateur exécute la règle du système et refuse de traiter les transactions à l’adresse figurant sur la liste noire.

Qu’il s’agisse de coordination ad hoc ou d’application de règles système, la plupart des validateurs doivent être capables d’agir à l’unisson. De toute évidence, le réseau de validateurs de Sui est encore trop centralisé et quelques nœuds peuvent contrôler les décisions clés sur l’ensemble du réseau.

La surconcentration des validateurs par Sui n’est pas un cas isolé de chaînes PoS - d’Ethereum à BSC, la plupart des réseaux PoS sont confrontés à un risque similaire de concentration des validateurs, mais Sui a exposé le problème de manière plus évidente cette fois-ci.

Comment le soi-disant réseau décentralisé peut-il avoir une telle capacité de « gel » centralisé ?

Le pire, c’est que Sui a officiellement déclaré qu’il renverrait les fonds gelés à la cagnotte, mais s’il est vrai que le validateur « refuse de regrouper la transaction », ces fonds ne devraient théoriquement jamais être déplacés. Comment Sui l’a-t-elle récupéré ? Cela remet encore plus en question la nature décentralisée de la chaîne Sui !

Se pourrait-il que, à l’exception d’un petit nombre de validateurs centralisés qui refusent de trader, le fonctionnaire ait même une super autorité au niveau du système pour modifier directement la propriété des actifs ? (Sui est tenu de donner plus de détails sur la « congélation »)

Avant de révéler les détails, il convient d’explorer les compromis de la décentralisation :

Est-ce nécessairement une mauvaise chose d’interférer avec les interventions d’urgence et de sacrifier un peu de décentralisation ? S’il y a une attaque de hacker, est-ce que toute la chaîne ne fait rien, est-ce forcément ce que l’utilisateur veut ?

Je dirais que les gens n’ont naturellement pas envie que de l’argent tombe entre les mains de hackers, mais ce qui inquiète encore plus le marché, c’est que les critères de gel sont complètement « subjectifs » : qu’est-ce qui est considéré comme des « fonds volés » ? Qui le définit ? Où sont les frontières ? Geler les pirates informatiques aujourd’hui, geler qui demain ? Dès que ce précédent sera ouvert, la valeur anti-censure fondamentale de la chaîne publique sera complètement en faillite, ce qui causera inévitablement des dommages à la confiance des utilisateurs.

La décentralisation n’est pas noire ou blanche, et Sui a choisi un équilibre spécifique entre la protection des utilisateurs et la décentralisation. Le principal point d’achoppement est l’absence de mécanismes de gouvernance transparents et de normes de délimitation claires.

La plupart des projets blockchain font ce compromis à ce stade, mais les utilisateurs ont le droit de connaître la vérité et de ne pas être induits en erreur par l’étiquette de « entièrement décentralisé ».

Afficher l’original
Le contenu de cette page est fourni par des tiers. Sauf indication contraire, OKX n’est pas l’auteur du ou des articles cités et ne revendique aucun droit d’auteur sur le contenu. Le contenu est fourni à titre d’information uniquement et ne représente pas les opinions d’OKX. Il ne s’agit pas d’une approbation de quelque nature que ce soit et ne doit pas être considéré comme un conseil en investissement ou une sollicitation d’achat ou de vente d’actifs numériques. Dans la mesure où l’IA générative est utilisée pour fournir des résumés ou d’autres informations, ce contenu généré par IA peut être inexact ou incohérent. Veuillez lire l’article associé pour obtenir davantage de détails et d’informations. OKX n’est pas responsable du contenu hébergé sur des sites tiers. La détention d’actifs numériques, y compris les stablecoins et les NFT, implique un niveau de risque élevé et leur valeur peut considérablement fluctuer. Examinez soigneusement votre situation financière pour déterminer si le trading ou la détention d’actifs numériques vous convient.