في 22 مايو، تم سرقة 223 مليون دولار من DEX Cetus في نظام Sui البيئي. من بين هذا المبلغ، تم تحويل 60 مليون دولار فقط عبر جسر متعدد السلاسل إلى ETH في جيب الهاكر، بينما تم تجميد المبلغ المتبقي البالغ 162 مليون دولار من قبل مؤسسة Sui.
في 27 مايو، بدأ التصويت في المجتمع "لتحديد ما إذا كان سيتم تنفيذ ترقية البروتوكول لاستعادة الأموال المجمدة في الحسابات التي يسيطر عليها الهاكر". تم تنفيذ ترقية البروتوكول في النهاية، وتم استعادة 162 مليون من الأموال بنجاح.
أثارت استجابة مؤسسة Sui السريعة لهذه الحادثة وسرعة طرح الحلول جدلاً كبيرًا داخل المجتمع. من جهة، استعادوا معظم الأموال وضمانوا مصالح المستخدمين الذين تعرضوا للسرقة، ومن جهة أخرى، كانت طريقة الاسترداد من خلال إجماع العقد لتعديل ملكية الأصول بشكل قسري، وهذه هي المرة الأولى التي يتم فيها تنفيذ "نقل الأصول بدون مفتاح" على مستوى السلسلة العامة.
أُهمل هذا الإجراء "الجريء" الذي يتعارض مع "روح اللامركزية" أمام مصلحة المستخدمين.
كيف يتم تحقيق نقل الأصول بدون مفتاح خاص؟
في 22 مايو، تعرض DEX Cetus في نظام Sui البيئي لهجوم من قراصنة بسبب خطأ برمجي بسيط، مما أسفر عن خسارة قدرها 223 مليون دولار. بعد الحادث، تم تجميد 162 مليون دولار من الأموال المسروقة من قبل مؤسسة Sui بالتنسيق مع عقد التحقق.
في 27 مايو، قامت مؤسسة Sui بدفع المجتمع للتصويت، حيث كانت فرصة التصويت هذه تهدف إلى تحديد ما إذا كان سيتم تنفيذ ترقية البروتوكول لاستعادة الأموال المجمدة في الحسابات التي يسيطر عليها الهاكر. في النهاية، خلال 48 ساعة، صوت 114 عقدًا وشارك 103 في التصويت، حيث حصلت الاقتراح على 99 صوتًا مؤيدًا، و2 صوتًا معارضًا، و2 صوتًا ممتنعًا، بتمرير الاقتراح بنسبة 90.9%.
من خلال الاقتراح، فإن ذلك يعني ترقية بروتوكول Sui، وهذا سيسمح لعناوين معينة بتمثيل عنوان المخترق لإجراء معاملتين لتسهيل استرداد الأموال. سيتم تصميم هذه المعاملات ونشرها بعد تأكيد عنوان الاسترداد. ستظل الأصول المستردة محفوظة في محفظة متعددة التوقيعات تتحكم بها OtterSec، وهي مدققة موثوقة من قبل Cetus ومؤسسة Sui ومجتمع Sui.
في مستوى ترقية البروتوكول، يتم إدخال وظيفة العنوان المستعار (address aliasing) ، وبشكل أكثر تحديدًا يتم تحديد القواعد مسبقًا على مستوى البروتوكول: إخفاء عمليات الحوكمة المحددة على أنها "توقيع قانوني لحسابات القراصنة"، ثم يتم الاعتراف بالتوقيع المزيف من قبل عقد التحقق بعد الترقية، مما يجعل نقل الأموال المجمدة قانونيًا. كل هذا يجعل من الممكن، دون لمس المفتاح الخاص، تعديل ملكية الأصول بشكل قسري من خلال توافق العقد (وهذا مشابه لتجميد البنك المركزي لحسابات البنوك وتحويل الأموال).
كيف تم تحقيق تجميد الأصول في البداية؟ تدعم Sui قائمة الرفض (قائمة التجميد) ووظيفة الرموز المنظمة، وفي هذه المرة تم استدعاء واجهة التجميد مباشرة لتأمين عنوان القراصنة.
المخاطر التقنية للتدخل القوي المتبقي
على الرغم من أن هذه الخطوة استردت الجزء الأكبر من الأصول المجمدة، إلا أنها لا تزال تثير القلق، لأن ترقية البروتوكول قد أجبرت على تعديل ملكية الأصول من خلال توافق العقد، مما يعني أن الإدارة الرسمية لـ Sui يمكنها استبدال أي عنوان لتوقيع المعاملات، وبالتالي تحويل الأصول الموجودة فيه.
القيود التي تحدد ما إذا كان بإمكان Sui الرسمية القيام بذلك ليست كود العقد الذكي، بل هي حقوق تصويت العقد، ومن يمتلك نتائج تصويت العقد؟ لا شيء سوى العقد الكبير الذي تتحكم فيه المؤسسة برأس المال! بمعنى آخر، فإن الأطراف ذات المصلحة في Sui الرسمية تمتلك أكبر سلطة على القرار، حتى لو كان هناك تصويت، فإنه لن يتجاوز كونه مجرد إجراء.
لم يعد المفتاح الخاص للمستخدم هو شهادة السيطرة المطلقة على الأصول، طالما أن توافق العقدة موافق، يمكن أن يقوم طبقة البروتوكول بتجاوز صلاحيات المفتاح الخاص مباشرة.
ومع ذلك، من ناحية أخرى، تحقق ذلك من خلال كفاءة استرداد الأصول، وتجميد الأصول بسرعة، بفضل الوظائف التنظيمية المدمجة في Sui التي يمكن أن توقف الخسائر بسرعة، وتم الانتهاء من التصويت في غضون 48 ساعة، وتم تنفيذ ترقية البروتوكول.
ولكن في رأي الكاتب فإن وظيفة الإشارة إلى العنوان قد أنشأت سابقة خطيرة - يمكن أن تزور الطبقة البروتوكولية "العمليات القانونية" لأي عنوان، مما يزرع بذور التدخل السلطوي من الناحية التقنية.
ومع ذلك، فإن سلسلة العمليات لاسترداد الأموال من Sui هذه المرة ليست سوى اختيار جانب المنفعة للمستخدم عندما تتعارض مصالح المستخدمين مع مبادئ اللامركزية. وبالنسبة لما إذا كان ذلك يتعارض مع مبادئ اللامركزية، يبدو أن الأمر ليس مهمًا لكل من المستخدمين وSui، لأنه في النهاية، يمكن الرد عند وجود شكوك بالقول إنه تم "تحديده من خلال التصويت".
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تم استرداد الأموال المسروقة من Cetus "اللامركزية" تنازلت عن مصالح المستخدمين
Jessy ، الاقتصاد الذهبي
في 22 مايو، تم سرقة 223 مليون دولار من DEX Cetus في نظام Sui البيئي. من بين هذا المبلغ، تم تحويل 60 مليون دولار فقط عبر جسر متعدد السلاسل إلى ETH في جيب الهاكر، بينما تم تجميد المبلغ المتبقي البالغ 162 مليون دولار من قبل مؤسسة Sui.
في 27 مايو، بدأ التصويت في المجتمع "لتحديد ما إذا كان سيتم تنفيذ ترقية البروتوكول لاستعادة الأموال المجمدة في الحسابات التي يسيطر عليها الهاكر". تم تنفيذ ترقية البروتوكول في النهاية، وتم استعادة 162 مليون من الأموال بنجاح.
أثارت استجابة مؤسسة Sui السريعة لهذه الحادثة وسرعة طرح الحلول جدلاً كبيرًا داخل المجتمع. من جهة، استعادوا معظم الأموال وضمانوا مصالح المستخدمين الذين تعرضوا للسرقة، ومن جهة أخرى، كانت طريقة الاسترداد من خلال إجماع العقد لتعديل ملكية الأصول بشكل قسري، وهذه هي المرة الأولى التي يتم فيها تنفيذ "نقل الأصول بدون مفتاح" على مستوى السلسلة العامة.
أُهمل هذا الإجراء "الجريء" الذي يتعارض مع "روح اللامركزية" أمام مصلحة المستخدمين.
كيف يتم تحقيق نقل الأصول بدون مفتاح خاص؟
في 22 مايو، تعرض DEX Cetus في نظام Sui البيئي لهجوم من قراصنة بسبب خطأ برمجي بسيط، مما أسفر عن خسارة قدرها 223 مليون دولار. بعد الحادث، تم تجميد 162 مليون دولار من الأموال المسروقة من قبل مؤسسة Sui بالتنسيق مع عقد التحقق.
في 27 مايو، قامت مؤسسة Sui بدفع المجتمع للتصويت، حيث كانت فرصة التصويت هذه تهدف إلى تحديد ما إذا كان سيتم تنفيذ ترقية البروتوكول لاستعادة الأموال المجمدة في الحسابات التي يسيطر عليها الهاكر. في النهاية، خلال 48 ساعة، صوت 114 عقدًا وشارك 103 في التصويت، حيث حصلت الاقتراح على 99 صوتًا مؤيدًا، و2 صوتًا معارضًا، و2 صوتًا ممتنعًا، بتمرير الاقتراح بنسبة 90.9%.
من خلال الاقتراح، فإن ذلك يعني ترقية بروتوكول Sui، وهذا سيسمح لعناوين معينة بتمثيل عنوان المخترق لإجراء معاملتين لتسهيل استرداد الأموال. سيتم تصميم هذه المعاملات ونشرها بعد تأكيد عنوان الاسترداد. ستظل الأصول المستردة محفوظة في محفظة متعددة التوقيعات تتحكم بها OtterSec، وهي مدققة موثوقة من قبل Cetus ومؤسسة Sui ومجتمع Sui.
في مستوى ترقية البروتوكول، يتم إدخال وظيفة العنوان المستعار (address aliasing) ، وبشكل أكثر تحديدًا يتم تحديد القواعد مسبقًا على مستوى البروتوكول: إخفاء عمليات الحوكمة المحددة على أنها "توقيع قانوني لحسابات القراصنة"، ثم يتم الاعتراف بالتوقيع المزيف من قبل عقد التحقق بعد الترقية، مما يجعل نقل الأموال المجمدة قانونيًا. كل هذا يجعل من الممكن، دون لمس المفتاح الخاص، تعديل ملكية الأصول بشكل قسري من خلال توافق العقد (وهذا مشابه لتجميد البنك المركزي لحسابات البنوك وتحويل الأموال).
كيف تم تحقيق تجميد الأصول في البداية؟ تدعم Sui قائمة الرفض (قائمة التجميد) ووظيفة الرموز المنظمة، وفي هذه المرة تم استدعاء واجهة التجميد مباشرة لتأمين عنوان القراصنة.
المخاطر التقنية للتدخل القوي المتبقي
على الرغم من أن هذه الخطوة استردت الجزء الأكبر من الأصول المجمدة، إلا أنها لا تزال تثير القلق، لأن ترقية البروتوكول قد أجبرت على تعديل ملكية الأصول من خلال توافق العقد، مما يعني أن الإدارة الرسمية لـ Sui يمكنها استبدال أي عنوان لتوقيع المعاملات، وبالتالي تحويل الأصول الموجودة فيه.
القيود التي تحدد ما إذا كان بإمكان Sui الرسمية القيام بذلك ليست كود العقد الذكي، بل هي حقوق تصويت العقد، ومن يمتلك نتائج تصويت العقد؟ لا شيء سوى العقد الكبير الذي تتحكم فيه المؤسسة برأس المال! بمعنى آخر، فإن الأطراف ذات المصلحة في Sui الرسمية تمتلك أكبر سلطة على القرار، حتى لو كان هناك تصويت، فإنه لن يتجاوز كونه مجرد إجراء.
لم يعد المفتاح الخاص للمستخدم هو شهادة السيطرة المطلقة على الأصول، طالما أن توافق العقدة موافق، يمكن أن يقوم طبقة البروتوكول بتجاوز صلاحيات المفتاح الخاص مباشرة.
ومع ذلك، من ناحية أخرى، تحقق ذلك من خلال كفاءة استرداد الأصول، وتجميد الأصول بسرعة، بفضل الوظائف التنظيمية المدمجة في Sui التي يمكن أن توقف الخسائر بسرعة، وتم الانتهاء من التصويت في غضون 48 ساعة، وتم تنفيذ ترقية البروتوكول.
ولكن في رأي الكاتب فإن وظيفة الإشارة إلى العنوان قد أنشأت سابقة خطيرة - يمكن أن تزور الطبقة البروتوكولية "العمليات القانونية" لأي عنوان، مما يزرع بذور التدخل السلطوي من الناحية التقنية.
ومع ذلك، فإن سلسلة العمليات لاسترداد الأموال من Sui هذه المرة ليست سوى اختيار جانب المنفعة للمستخدم عندما تتعارض مصالح المستخدمين مع مبادئ اللامركزية. وبالنسبة لما إذا كان ذلك يتعارض مع مبادئ اللامركزية، يبدو أن الأمر ليس مهمًا لكل من المستخدمين وSui، لأنه في النهاية، يمكن الرد عند وجود شكوك بالقول إنه تم "تحديده من خلال التصويت".