Багато людей спантеличені, і після того, як представник Sui заявив, що @CetusProtocol був зламаний, мережа валідаторів скоординувалася, щоб «заморозити» адресу хакера і заощадити $160 млн. Як саме? Децентралізація – це «брехня»? Спробуємо проаналізувати його з технічної точки зору: Частина передачі кросчейн-мосту: після успішної хакерської атаки деякі активи, такі як USDC, переходять в інші ланцюги, такі як Ethereum, через кросчейн-міст. Ця частина коштів більше не підлягає відшкодуванню, тому що як тільки вони залишають екосистему Sui, валідатор нічого не може зробити. Частина, яка все ще знаходиться в ланцюжку Sui: Існує також значна кількість вкрадених коштів, які все ще зберігаються на адресах Sui, контрольованих хакерами. Саме ця частина коштів і стала об'єктом "заморожування". Згідно з офіційним повідомленням, «велика кількість валідаторів виявили адреси вкрадених коштів та ігнорують транзакції за цими адресами». -Як? 1. Фільтрація транзакцій на рівні верифікатора - простіше кажучи, валідатори колективно «прикидаються сліпими»: - Валідатори просто ігнорують транзакції зі зламаних адрес під час фази мемпулу; - Ці транзакції технічно повністю дійсні, але вони просто не дають вам пакет у ланцюжку; - Кошти хакера таким чином «поміщаються під домашній арешт» за адресою; 2. Ключовий механізм об'єктної моделі Move - об'єктна модель мови Move робить можливим таке "заморожування": - Переказ повинен бути по ланцюжку: хоча хакер контролює велику кількість активів в адресі Sui, для того, щоб передати ці USDC, SUI та інші об'єкти, транзакція повинна бути ініційована та упакована та підтверджена валідатором; - Валідатор має владу життя і смерті: якщо валідатор відмовляється від упаковки, об'єкт ніколи не зрушить з місця; - Результат: хакер номінально «володіє» активами, але насправді не має з цим нічого спільного. Начебто у вас є банківська картка, але всі банкомати відмовляються вас обслуговувати. Гроші лежать на картці, але вивести їх не вийде. Завдяки постійному моніторингу та втручанню (ATM) валідаторів SUI такі токени, як SUI на адресу хакера, не зможуть циркулювати, і ці вкрадені кошти тепер «спалюються», об'єктивно виконуючи «дефляційну» роль? Звичайно, на додаток до ситуативної координації валідаторів, Sui може мати попередньо встановлену функцію denylist на рівні системи. Якщо це так, то процес може бути таким: відповідний орган (наприклад, Sui Foundation або через управління) додає адресу хакера до системного deny_list, а валідатор виконує системні правила та відмовляється обробляти транзакції за адресою, внесеною до чорного списку. Незалежно від того, чи йдеться про ситуативну координацію чи застосування системних правил, більшість валідаторів повинні мати можливість діяти в унісон. Очевидно, що розподіл потужності мережі валідаторів Sui все ще занадто централізований, і кілька вузлів можуть контролювати ключові рішення в мережі. Проблема надмірної концентрації валідаторів в Sui не є поодиноким випадком PoS-ланцюжків - від Ethereum до BSC більшість мереж PoS стикаються з подібними ризиками концентрації валідаторів, але цього разу Sui виставив проблему більш очевидно. ——Як так звана децентралізована мережа може мати таку сильну здатність централізованого «заморожування»? Найгірше те, що представники Sui заявили, що повернуть заморожені кошти в пул, але якщо це правда, що валідатор «відмовляється упаковувати транзакцію», ці кошти теоретично ніколи не повинні переміщатися. Як Sui повертає його? Це ще більше кидає виклик децентралізованій природі мережі Sui! Чи може бути так, що, за винятком невеликої кількості централізованих валідаторів, які відмовляються торгувати, чиновник навіть має суперповноваження на системному рівні безпосередньо змінювати право власності на активи? (Потрібно, щоб Суй надав додаткові подробиці про «заморожування») Перш ніж розкривати специфіку, варто дослідити компроміси децентралізації: Чи обов'язково погано заважати реагуванню на надзвичайні ситуації та жертвувати трохи децентралізацією? Якщо відбувається хакерська атака, весь ланцюжок нічого не робить, чи обов'язково це те, чого хоче користувач? Я хочу сказати, що люди, природно, не хочуть, щоб гроші потрапляли до рук хакерів, але ще більше занепокоєння ринку викликає те, що критерії заморожування абсолютно «суб'єктивні»: що вважається «вкраденими коштами»? Хто його визначає? Де межі? Заморозити хакерів сьогодні, заморозити кого завтра? Як тільки цей прецедент буде відкритий, основна антицензурна цінність публічного ланцюга стане повністю банкрутом, що неминуче завдасть шкоди довірі користувачів. Децентралізація – це не чорне по білому, і компанія Sui обрала конкретний баланс між захистом користувачів і децентралізацією. Ключовим каменем спотикання є відсутність прозорих механізмів управління та стандартів чітких меж. Блокчейн-проекти в основному йдуть на цей компроміс на даному етапі, але користувачі мають право знати правду і не бути введеними в оману ярликом «повністю децентралізованих».