Preț DAO Maker

Autor: Paisprezece iunie   Acest eveniment este o victorie pentru capital, nu pentru utilizatori, și este o regresie pentru dezvoltarea industriei. Bitcoin la stânga, Sui la dreapta și fiecare mișcare a industriei care zguduie descentralizarea aduce o credință mai puternică în Bitcoin. Lumea are nevoie nu doar de o infrastructură financiară globală mai bună, ci și de un grup de oameni care vor avea întotdeauna nevoie de libertate. Cândva, lanțul de alianță era mai prosper decât lanțul public, pentru că răspundea nevoilor de reglementare ale acelei epoci, iar acum declinul alianței înseamnă de fapt că pur și simplu se conformează acestei cereri, nu nevoilor utilizatorilor reali. 1. Contextul evenimentului Pe 22 mai 2025, Cetus, cea mai mare bursă descentralizată (DEX) din ecosistemul lanțului public Sui, a fost atacată de hackeri, provocând o scădere bruscă a lichidității și prăbușirea mai multor perechi de tranzacționare, ducând la o pierdere de peste 220 de milioane de dolari. La momentul publicării, cronologia este următoarea: În dimineața zilei de 22 mai, hackerii au atacat Cetus pentru a extrage 230 de milioane de dolari, iar Cetus a suspendat urgent contractul și a emis un anunț În după-amiaza zilei de 22 mai, hackerul a transferat aproximativ 60 de milioane de dolari de-a lungul lanțului, iar restul de 162 de milioane de dolari se aflau încă pe adresa Sui on-chain, iar nodul de validare Sui a luat rapid măsuri pentru a adăuga adresa hackerului la "Lista de refuz" și a îngheța fondurile În seara zilei de 22 mai, Sui CPO @emanabio a scris pe Twitter că fondurile au fost înghețate, iar returnarea va începe în curând Pe 23 mai, Cetus a început să remedieze vulnerabilitățile și să actualizeze contractele Pe 24 mai, Sui a deschis PR-ul, explicând că este pe cale să recicleze fonduri prin aliasing și whitelist Pe 26 mai, Sui a inițiat un vot de guvernanță on-chain care propune dacă să efectueze o actualizare a protocolului și să transfere activele piratate la o adresă escrow Pe 29 mai, au fost anunțate rezultatele votului și mai mult de 2/3 din nodurile de validare au fost ponderate pentru a susține; Actualizarea protocolului este gata de executare Din 30 mai până la începutul lunii iunie, actualizarea protocolului a intrat în vigoare, hash-ul tranzacției specificat a fost executat, iar activele piratate au fost "transferate legal" 2. Principiul atacului Principiul evenimentelor este legat și au existat multe declarații în industrie, așa că iată doar o prezentare generală a principiilor de bază: Din perspectiva fluxului de atac: Atacatorul a folosit mai întâi un împrumut flash pentru a împrumuta aproximativ 10.024.321,28 haSUI, ceea ce a scăzut instantaneu prețul fondului de tranzacționare 99.90%。 Acest ordin uriaș de vânzare a adus prețul țintă al pool-ului de la aproximativ 1,8956×10^19 la 1,8425×10^19, aproape ajungând la minim. Ulterior, atacatorul creează o poziție de lichiditate pe Cetus cu un interval extrem de îngust (limita inferioară a tick-ului de 300000, limita superioară de 300200 și lățimea intervalului de doar 1,00496621%). Un interval atât de îngust amplifică impactul erorilor de calcul ulterioare asupra numărului de jetoane necesare. Principiul de bază al atacului: Există o vulnerabilitate de depășire a numărului întreg în funcția get_delta_a pe care Cetus o folosește pentru a calcula numărul necesar de tokenuri. Atacatorul a declarat în mod deliberat că vrea să adauge o cantitate uriașă de lichiditate (aproximativ 10^37 de unități), dar de fapt a pus doar 1 token în contract. Din cauza condițiilor greșite de detectare a revărsării checked_shlw, contractul a fost trunchiat la un nivel ridicat în timpul calculului deplasării la stânga, determinând sistemul să subestimeze serios cantitatea de haSUI necesară, schimbând astfel o cantitate uriașă de lichiditate la un cost foarte mic. Din punct de vedere tehnic, vulnerabilitatea de mai sus provine din faptul că Cetus folosește măști incorecte și condiții de judecată în contractul inteligent Move, rezultând că orice valoare mai mică de 0xffffffffffffffff << 192 poate ocoli detectarea; După mutarea cu 64 de biți spre stânga, datele de nivel înalt sunt trunchiate, iar sistemul percepe doar un număr foarte mic de jetoane pentru a considera că a câștigat multă lichiditate. După incident, au fost derivate 2 operațiuni oficiale: "Îngheț" vs "Recuperare", care constă în două faze: Faza de înghețare este completată de Deny List + consens nod; În etapa de recuperare, este necesară actualizarea protocolului on-chain + votul comunității + executarea tranzacțiilor desemnate pentru a ocoli lista neagră. 3. Mecanismul de înghețare al lui Sui Există un mecanism special Deny List în lanțul Sui în sine, care realizează înghețarea fondurilor de hacking. Nu numai asta, dar standardul de token al lui Sui are și un model de "token reglementat" cu o funcție de înghețare încorporată. Această înghețare de urgență profită de această caracteristică: nodurile de validare adaugă rapid adrese legate de fondurile furate în fișierele lor de configurare locale. Teoretic, fiecare operator de nod poate modifica TransactionDenyConfig pentru a actualiza lista neagră pe cont propriu, dar pentru a asigura consistența rețelei, Fundația Sui are coordonarea centralizată ca editor de configurare originală. Fundația a lansat mai întâi oficial o actualizare de configurare care conține adresa hackerului, iar validatorul a intrat în vigoare sincron conform configurației implicite, astfel încât fondurile hackerului au fost temporar "sigilate" pe lanț, care are de fapt un grad ridicat de centralizare în spate Pentru a salva victimele de fondurile înghețate, echipa Sui a lansat imediat un patch pentru mecanismul Whitelist. Aceasta este pentru transferurile ulterioare de fonduri. Tranzacțiile legitime pot fi construite în avans și înregistrate pe lista albă, chiar dacă adresa fondului este încă pe lista neagră, aceasta poate fi aplicată. Această nouă caracteristică permite transaction_allow_list_skip_all_checks ca anumite tranzacții să fie adăugate în prealabil la "lista de verificare", permițându-le să sară peste toate verificările de securitate, inclusiv semnăturile, permisiunile, listele negre etc. Este important de reținut că patch-urile de pe lista albă nu fură direct activele hackerilor; Oferă doar anumitor tranzacții posibilitatea de a ocoli înghețarea, iar transferul de active reale trebuie făcut cu o semnătură legală sau un modul suplimentar de permisiune a sistemului. De fapt, schema de înghețare din industrie are loc adesea la nivel de contract de token și este controlată de emitent pentru semnături multiple. Luând ca exemplu USDT-ul emis de Tether, contractul său are o funcție de listă neagră încorporată, iar compania emitentă poate îngheța adresa ofensatoare, astfel încât să nu poată transfera USDT. Această schemă necesită ca multisig să inițieze o cerere de înghețare pe lanț, iar multisig este convenit înainte de a fi executat efectiv, deci există o întârziere de execuție. Deși mecanismul de înghețare Tether este eficient, statisticile arată că există adesea o "perioadă de fereastră" în procesul de semnătură multiplă, lăsând oportunități de care infractorii pot profita. În schimb, înghețarea lui Sui are loc la nivelul protocolului de bază, este operată colectiv de noduri de validare și este executată mult mai repede decât apelurile contractuale normale. În acest model, pentru a fi suficient de rapid, înseamnă că gestionarea acestor noduri de validare în sine este foarte uniformă. 3. Principiul de punere în aplicare a "reciclării prin transfer" al lui Sui Ceea ce este și mai uimitor este că Sui nu numai că a înghețat activele hackerului, dar a plănuit și să "transfere și să recupereze" fondurile furate prin upgrade-uri on-chain. Pe 27 mai, Cetus a propus un vot al comunității pentru a actualiza protocolul de trimitere a fondurilor înghețate într-un portofel de custodie multisig. Fundația Sui a inițiat apoi un vot de guvernanță on-chain. Pe 29 mai, rezultatele votului au fost anunțate și aproximativ 90,9% dintre validatori au susținut schema. Sui a anunțat oficial că, odată ce propunerea va fi aprobată, "toate fondurile înghețate în cele două conturi de hackeri vor fi recuperate într-un portofel multisig fără semnătura hackerului". Nu este nevoie ca un hacker să semneze, ceea ce este o diferență atât de mare încât nu a existat niciodată o astfel de soluție în industria blockchain. După cum se poate vedea din PR-ul oficial GitHub al lui Sui, protocolul introduce un mecanism de aliasing al adresei. Upgrade-ul include reguli de alias pre-specificate în ProtocolConfig, astfel încât anumite tranzacții permise să poată fi tratate ca și cum semnătura legitimă ar fi trimisă de la un cont piratat. Mai exact, o listă hash de tranzacții de salvare care urmează să fie executate este legată de o adresă de destinație (adică o adresă de hacker), iar orice executor care semnează și publică un rezumat al acestor tranzacții fixe este considerat a fi inițiat tranzacția ca proprietar valid al unei adrese de hacker. Pentru aceste tranzacții specifice, sistemul de noduri de validare ocolește verificarea Lista de refuzuri. La nivel de cod, Sui adaugă următoarea judecată la logica de validare a tranzacției: atunci când o tranzacție este blocată de lista neagră, sistemul iterează prin semnatarul său pentru a verifica dacă protocol_config.is_tx_allowed_via_aliasing(sender, signer, tx_digest) este adevărat. Atâta timp cât un semnatar îndeplinește regula alias, adică tranzacția este lăsată să treacă, eroarea de interceptare anterioară este ignorată și executarea normală a pachetului continuă. 4. Punct de vedere 160 de milioane, distrugerea este cea mai profundă credință de bază din industrie Din punctul de vedere personal al autorului, aceasta poate fi o furtună care va trece în curând, dar acest model nu va fi uitat, deoarece subminează fundația industriei și sparge consensul tradițional că blockchain nu poate fi modificat sub același set de registre. În proiectarea blockchain, contractul este legea, iar codul este arbitrul. Dar în acest caz, codul a eșuat, guvernanța a intervenit și puterea a depășit modelul, formând un model de comportament de vot care judecă rezultatele codului. Acest lucru se datorează faptului că însușirea directă a tranzacțiilor de către Sui este foarte diferită de gestionarea hackerilor pe blockchain-urile mainstream. Nu este prima dată când consensul a fost modificat, dar a fost cea mai tăcută Istoric: Incidentul Ethereum din 2016 The DAO a folosit un hard fork pentru a anula transferurile pentru a acoperi pierderile, dar această decizie a dus la împărțirea dintre Ethereum și Ethereum Classic, care a fost controversată, dar în cele din urmă diferite grupuri au format convingeri diferite de consens. Comunitatea Bitcoin s-a confruntat cu provocări tehnice similare: vulnerabilitatea de propagare a valorii din 2010 a fost rezolvată urgent de dezvoltatori și regulile de consens au fost actualizate, ștergând complet aproximativ 18,4 miliarde de bitcoini generați ilegal. Este același model de hard fork, care revine registrului până la punctul în care era înainte de problemă, iar apoi utilizatorul poate decide în continuare ce sistem de registru să continue să folosească în cadrul problemei. În comparație cu hard fork-ul DAO, Sui nu a ales să împartă lanțul, ci a vizat acest eveniment cu precizie prin actualizarea protocolului și configurarea aliasurilor. În acest sens, Sui menține continuitatea lanțului și majoritatea regulilor de consens, dar arată și că protocolul de bază poate fi folosit pentru a implementa "operațiuni de salvare" țintite. Problema este că, din punct de vedere istoric, "rollback-ul bifurcat" este alegerea credinței utilizatorului; "Corecția protocolului" lui Sui este că lanțul ia decizia pentru tine. Nu cheia ta, nu moneda ta? Mi-e teamă că nu mai este. Pe termen lung, acest lucru înseamnă că ideea de "nu cheile tale, nu monedele tale" este demontată pe lanțul Sui: chiar dacă cheia privată a utilizatorului este intactă, rețeaua poate bloca fluxul de active și le poate redirecționa prin modificări ale contractului colectiv. Dacă acest lucru devine un precedent pentru ca blockchain să răspundă la incidente de securitate la scară largă în viitor, este chiar considerat a fi o practică care poate fi urmată din nou. "Când un lanț poate încălca regulile de dragul justiției, are un precedent pentru încălcarea oricăror reguli". Odată ce există un succes al "acaparării banilor de bunăstare publică", data viitoare poate fi o operațiune în "ambiguitatea morală". Deci, ce se întâmplă? Hackerul a furat banii utilizatorului, deci poate votul mulțimii să-i fure banii? Votați în funcție de a cui bani sunt mai mulți (pos) sau mai mulți oameni? Dacă cel cu mai mulți bani câștigă, atunci producătorul final al lui Liu Cixin va veni în curând, iar dacă cel cu mai mulți oameni câștigă, atunci gloata grupului va fi și ea zgomotoasă. În sistemul tradițional, este foarte normal ca câștigurile ilegale să fie neprotejate, iar înghețarea și transferul sunt operațiuni de rutină ale băncilor tradiționale. Dar faptul că acest lucru nu se poate face din punct de vedere tehnic nu este rădăcina dezvoltării industriei blockchain. Acum bățul conformității industriei continuă să fermenteze, astăzi poți îngheța pentru hackeri și modifica soldul contului, apoi mâine poți face modificări arbitrare pentru factori geografici și factori contradictorii. Dacă lanțul devine parte a instrumentului regional. Valoarea acestei industrii a fost mult redusă și, în cel mai bun caz, este un sistem financiar mai dificil. Acesta este și motivul pentru care autorul este ferm dedicat industriei: "Blockchain nu este valoros pentru că nu poate fi înghețat, ci pentru că, chiar dacă îl urăști, nu se va schimba pentru tine". Tendințe de reglementare, poate lanțul să-și păstreze sufletul? Cândva, lanțul de alianță era mai prosper decât lanțul public, pentru că răspundea nevoilor de reglementare ale acelei epoci, iar acum declinul alianței înseamnă de fapt că pur și simplu se conformează acestei cereri, nu nevoilor utilizatorilor reali. Din perspectiva dezvoltării industriei Centralizarea eficientă, este o etapă necesară în dezvoltarea blockchain-ului? Dacă scopul final al descentralizării este de a proteja interesele utilizatorilor, putem tolera centralizarea ca mijloc de tranziție? Cuvântul "democrație", în contextul guvernării on-chain, este de fapt simbolic. Deci, dacă un hacker deține o cantitate mare de SUI (sau într-o zi DAO este piratat, iar hackerul controlează voturile), poate și el să "voteze legal pentru a se spăla"? În cele din urmă, valoarea blockchain-ului nu este dacă poate fi înghețat, ci dacă grupul alege să nu facă acest lucru, chiar dacă are capacitatea de a îngheța. Viitorul unui lanț nu este determinat de arhitectura tehnică, ci de setul de credințe pe care alege să le protejeze.

Suma necesară, LOL

🚨 NEW SHO - 0xFútbol este LIVE! ⚽️ Alăturați-vă aici: Pentru a sărbători, oferim JETOANE DAO GRATUITE pe 🎁 ✅ Alăturați-vă reducerii 0xFútbol ✅ Obțineți instantaneu +100% bonus la Shakebox ✅ Recompensele sunt ale tale, chiar dacă rambursezi! 🔹 Runda publică: Depuneți un minim de 75 USDC, primiți un bonus de 500 DAO 🔹 Rundă privată: Depuneți un minim de 500 DAO, obțineți +500 DAO bonus 🛡️ Fereastră de rambursare de 3 zile - fără riscuri, doar recompense! 🔗 Detalii:

135 de mii de dolari în câștiguri DAO astăzi

🚨 Noul episod Proof of Vision pentru voi astăzi: În cel de-al 14-lea episod PoV, directorul nostru de servicii de protocol, @0xKmack, a avut pe @nomos_paradox, fondatorul Chroincle Protocol și unul dintre proiectanții primului oracol Ethereum al lui Maker... Chronicle Protocol este o infrastructură oracle agnostică de blockchain dezvoltată inițial din ecosistemul MakerDAO. Chronicle își propune să furnizeze date transparente și verificabile la scară largă. În acest episod, intrăm în originile lui Chronicle, procesele de gândire tokenomice ale lui Niklas și multe altele... Ascultă 👇 ⏲ Marcajele: 0:00 - Context despre Niklas 08:09 - Originile Cronicii 18:09 - Ce face ca Chronicle să iasă în evidență? 29:07 - Modelul de afaceri al Chronicle 43:38 - Implementarea RWA-urilor și Oracle 45:37 - Rolul Chronicle în evoluția peisajului DeFi 53:08 - Utilitar Chronicle Token