Стверджуючи, що є безпечним і децентралізованим публічним ланцюгом, чому Sui змогла заморозити 160 мільйонів доларів, вкрадених хакерами?

PANews
PANews
SUI-3,06%
ETH-0,87%
USDC+0,42%

Багато хто спантеличений, Суй офіційно заявив, що після того, як хакер attack@CetusProtocol мережі валідаторів скоординувалися з «заморожування» адреси хакера, заощадивши $160 млн. Як саме? Децентралізація – це «брехня»? Спробуємо проаналізувати його з технічної точки зору:

Частина передачі кросчейн-мосту: після успішного злому деякі активи, такі як USDC, переходять до інших ланцюгів, таких як Ethereum, через кросчейн-міст. Ця частина коштів більше не підлягає відшкодуванню, тому що як тільки вони залишають екосистему Sui, валідатор нічого не може зробити.

Частина, яка все ще знаходиться в ланцюжку Sui: Існує також значна кількість вкрадених коштів, які все ще зберігаються на адресах Sui, контрольованих хакерами. Саме ця частина коштів і стала об'єктом "заморожування".

Згідно з офіційним повідомленням, "велика кількість валідаторів виявили адреси вкрадених коштів та ігнорують транзакції на цих адресах".

-Як?

1. Фільтрація транзакцій на рівні валідатора - простіше кажучи, валідатори колективно «прикидаються сліпими»:

  • Валідатор безпосередньо ігнорує транзакцію адреси хакера під час фази мемпулу;
  • Ці транзакції технічно повністю дійсні, але вони просто не дають вам пакет у ланцюжку;
  • Таким чином, кошти хакера були поміщені під "домашній арешт" за вказаною адресою;

2. Ключовий механізм об'єктної моделі Move - об'єктна модель мови Move робить можливим таке "заморожування":

  • Переказ має бути ончейн: хоча хакер контролює велику кількість активів у адресі Sui, щоб передати ці USDC, SUI та інші об'єкти, транзакція має бути ініційована та підтверджена валідатором.
  • Валідатор має владу життя і смерті: якщо валідатор відмовляється пакувати, об'єкт ніколи не зрушить з місця;
  • Підсумок: хакер номінально «володіє» активами, але насправді йому нічого робити.

Начебто у вас є банківська картка, але всі банкомати відмовляються вас обслуговувати. Гроші лежать на картці, але вивести їх не вийде. Завдяки постійному моніторингу та втручанню (ATM) валідаторів SUI такі токени, як SUI на хакерських адресах, не зможуть циркулювати, і ці вкрадені кошти тепер ніби «спалені», об'єктивно відіграючи «дефляційну» роль?

Звичайно, крім ситуативної координації валідаторів, Sui може мати попередньо встановлену функцію denylist на системному рівні. Якщо це так, то процес може полягати в тому, що відповідний орган (наприклад, Sui Foundation або через управління) додає адресу хакера до системного deny_list, а валідатор виконує системне правило та відмовляється обробляти транзакції за адресою, внесеною до чорного списку.

Незалежно від того, чи йдеться про ситуативну координацію чи застосування системних правил, більшість валідаторів повинні мати можливість діяти в унісон. Очевидно, що мережа валідаторів Sui все ще занадто централізована, і кілька вузлів можуть контролювати ключові рішення в мережі.

Надмірна концентрація валідаторів Sui не є поодиноким випадком PoS-ланцюжків - від Ethereum до BSC більшість PoS-мереж стикаються з аналогічним ризиком концентрації валідаторів, але цього разу Sui виявила проблему більш очевидно.

——Як так звана децентралізована мережа може мати таку сильну здатність централізованого «заморожування»?

Найгірше те, що Sui офіційно заявив, що поверне заморожені кошти в пул, але якщо це правда, що валідатор «відмовляється упаковувати транзакцію», ці кошти теоретично ніколи не повинні переміщатися. Як Суй повернула його? Це ще більше кидає виклик децентралізованій природі мережі Sui!

Чи може бути так, що, за винятком невеликої кількості централізованих валідаторів, які відмовляються торгувати, чиновник навіть має суперповноваження на системному рівні безпосередньо змінювати право власності на активи? (Суй зобов'язаний надати додаткові подробиці про «заморожування»)

Перш ніж розкривати специфіку, варто дослідити компроміси децентралізації:

Чи обов'язково погано заважати реагуванню на надзвичайні ситуації та жертвувати трохи децентралізацією? Якщо відбувається хакерська атака, весь ланцюжок нічого не робить, чи обов'язково це те, чого хоче користувач?

Я б сказав, що люди, природно, не хочуть, щоб гроші потрапили до рук хакерів, але ще більше занепокоєння ринку викликає те, що критерії заморожування абсолютно «суб'єктивні»: що вважається «вкраденими коштами»? Хто його визначає? Де межі? Заморозити хакерів сьогодні, заморозити кого завтра? Як тільки цей прецедент буде відкритий, основна антицензурна цінність публічного ланцюга стане повністю банкрутом, що неминуче завдасть шкоди довірі користувачів.

Децентралізація – це не чорне по білому, і компанія Sui обрала конкретний баланс між захистом користувачів і децентралізацією. Ключовим каменем спотикання є відсутність прозорих механізмів управління та стандартів чітких меж.

Більшість блокчейн-проектів йдуть на цей компроміс на даному етапі, але користувачі мають право знати правду і не бути введеними в оману ярликом «повністю децентралізованих».

Показати оригінал
Вміст на цій сторінці надається третіми сторонами. Якщо не вказано інше, OKX не є автором цитованих статей і не претендує на авторські права на матеріали. Вміст надається виключно з інформаційною метою і не відображає поглядів OKX. Він не є схваленням жодних дій і не має розглядатися як інвестиційна порада або заохочення купувати чи продавати цифрові активи. Короткий виклад вмісту чи інша інформація, створена генеративним ШІ, можуть бути неточними або суперечливими. Прочитайте статтю за посиланням, щоб дізнатися більше. OKX не несе відповідальності за вміст, розміщений на сторонніх сайтах. Утримування цифрових активів, зокрема стейблкоїнів і NFT, пов’язане з високим ризиком, а вартість таких активів може сильно коливатися. Перш ніж торгувати цифровими активами або утримувати їх, ретельно оцініть свій фінансовий стан.