El incidente del hacker de la cadena pública Sui ha provocado una crisis de fe en la industria: el mecanismo de congelación y recuperación de fondos ha generado controversia.
Crisis de fe en la industria de la cadena de bloques: Reflexiones provocadas por el evento de la cadena pública Sui
Introducción
Los eventos recientes reflejan la victoria del capital, en lugar de los intereses de los usuarios. Esto representa un retroceso para el desarrollo de la industria.
El desarrollo de Bitcoin es completamente diferente al de las nuevas cadenas de bloques; cada vez que surgen acciones en la industria que sacuden la descentralización, esto provoca una fe aún más fuerte en Bitcoin.
El mundo no necesita solo un conjunto más completo de infraestructura financiera global, sino que lo más importante es mantener siempre un espacio libre.
Revisando la historia, las cadenas de bloques privadas fueron en su momento más populares que las cadenas de bloques públicas, precisamente porque satisfacían las necesidades de regulación de esa época. Hoy en día, el declive de las cadenas de bloques privadas también significa que simplemente cumplir con las necesidades de regulación no puede satisfacer las verdaderas necesidades de los usuarios. ¿De qué sirve una herramienta de regulación si se pierde a los usuarios regulados?
1. Revisión de eventos
El 22 de mayo de 2025, el mayor intercambio descentralizado en el ecosistema de una cierta cadena de bloques sufrió un ataque de hackers, causando enormes pérdidas, con más de 220 millones de dólares en fondos afectados. La liquidez disminuyó drásticamente y los precios de varios pares de intercambio colapsaron.
Tras el incidente, las partes involucradas tomaron rápidamente una serie de medidas:
La bolsa ha suspendido urgentemente el contrato y ha emitido un anuncio.
Los nodos de verificación toman medidas para incluir las direcciones de los hackers en la "lista negra de denegación de servicio" y congelar fondos.
Comenzar a reparar vulnerabilidades y actualizar el contrato
Iniciar la votación de gobernanza en la cadena de bloques, discutir si se debe ejecutar la actualización del protocolo para transferir los activos del hacker
Los resultados de la votación muestran que más de 2/3 del peso de los nodos de validación apoyan la propuesta.
La actualización del protocolo ha entrado en vigor, las transacciones designadas se han ejecutado, y los activos del hacker han sido transferidos.
2、Análisis del principio de ataque
Los atacantes utilizaron un préstamo relámpago para pedir prestados grandes cantidades de tokens, lo que causó una caída drástica en el precio del grupo de transacciones. Luego, los atacantes crearon posiciones de liquidez en un rango de precios extremadamente estrecho, amplificando el impacto del error de cálculo sobre la cantidad de tokens requeridos.
El núcleo del ataque radica en que la función utilizada por el intercambio para calcular la cantidad de tokens necesarios tiene una vulnerabilidad de desbordamiento de enteros. El atacante declara añadir una gran liquidez, pero en realidad solo invierte una pequeña cantidad de tokens. Debido a un error en las condiciones de detección de desbordamiento, el sistema subestima gravemente la cantidad de tokens necesarios, lo que permite al atacante obtener una gran liquidez a un costo muy bajo.
Desde el punto de vista técnico, esta vulnerabilidad se debe a que se utilizaron máscaras y condiciones de juicio incorrectas en el contrato inteligente, lo que permite que una gran cantidad de valores eluda la detección. Después de la operación de desplazamiento a la izquierda, los datos de los bits más significativos se truncaron, y el sistema solo recibe una cantidad muy pequeña de tokens y considera que ha obtenido una gran liquidez.
3、Mecanismo de congelación de fondos
La cadena de bloques pública incorpora un mecanismo especial de lista de rechazo, que permite la congelación de fondos de hackers. Además, su estándar de token también incluye el modo de "token regulado", que tiene una función de congelación incorporada.
Esta congelación de emergencia aprovechó esta característica: los nodos validador agregaron rápidamente direcciones relacionadas con los fondos robados en su archivo de configuración local. Teóricamente, cada operador de nodo puede modificar la configuración para actualizar la lista negra, pero para garantizar la consistencia de la red, la fundación, como el primer publicador de la configuración, realizó una coordinación centralizada.
Para facilitar la recuperación de fondos en el futuro, el equipo ha lanzado un parche para el mecanismo de lista blanca. Esto permite que transacciones específicas sean añadidas previamente a la "lista de exención de verificación", lo que permite que estas transacciones omitan todas las verificaciones de seguridad, incluyendo firmas, permisos, listas negras, etc.
Es importante tener en cuenta que el parche de lista blanca no puede transferir directamente los activos de los hackers; solo otorga a ciertas transacciones la capacidad de eludir el congelamiento, la verdadera transferencia de activos aún requiere una firma legal o un módulo de permisos del sistema adicional para completarse.
4. Principio de realización de la recuperación de fondos
Más sorprendente es que esta Cadena de bloques no solo ha congelado los activos de los hackers, sino que también planea recuperar los fondos robados a través de una actualización en la cadena.
Una vez que se apruebe la votación de la comunidad, las autoridades anunciarán que los fondos congelados se transferirán a una billetera multifirma sin la necesidad de la firma del hacker. Este método de transferencia sin la firma del titular original es sin precedentes en la industria de la cadena de bloques.
Desde el punto de vista de la implementación técnica, el protocolo introdujo un mecanismo de alias de dirección. El contenido de la actualización incluye: especificar previamente las reglas de alias en la configuración, de modo que ciertas transacciones permitidas puedan considerar una firma válida como si proviniera de una cuenta de hacker.
Específicamente, se vinculan las listas de hashes de transacciones de rescate que se van a ejecutar con la dirección objetivo (es decir, la dirección del hacker). Cualquier ejecutor que firme y publique estos resúmenes de transacciones fijas se considera que ha iniciado la transacción como propietario válido de la dirección del hacker. Para estas transacciones específicas, el sistema de nodos validadores omite la verificación de la lista de rechazo.
5、Opiniones y reflexiones
5.1 Se ha superado el límite de la fe
Este evento puede calmarse pronto, pero el patrón que representa no será olvidado, ya que socava los cimientos de la industria y rompe el consenso tradicional de inmutabilidad de la cadena de bloques bajo el mismo libro mayor.
En el diseño de la cadena de bloques, el contrato es la ley, el código es el árbitro. Pero en este evento, el código falló, la gobernanza intervino, el poder prevaleció, formando el patrón de "la conducta de votación decide el resultado del código".
5.2 en comparación con el "consenso de modificación" en la historia
Al mirar atrás en la historia, Ethereum revirtió las transacciones a través de un hard fork después del evento DAO en 2016 para compensar las pérdidas, lo que llevó a la división entre Ethereum y Ethereum Classic. Bitcoin también resolvió el problema de desbordamiento de valor en 2010 mediante una reparación de emergencia y la actualización de las reglas de consenso.
Estos son todos adoptados en un modo de bifurcación dura, que retrocede el libro mayor a antes de que ocurriera el problema, los usuarios pueden decidir por sí mismos bajo qué sistema de libro mayor continuar utilizando.
En comparación, este evento no eligió dividir la cadena, sino que se dirigió con precisión a este evento a través de una actualización de protocolo y la configuración de un alias. Esto mantiene la continuidad de la cadena y la mayoría de las reglas de consenso sin cambios, pero también indica que el protocolo subyacente puede ser utilizado para implementar "acciones de rescate" específicas.
5.3 ¿El fin de "Not Your Key, Not Your Coin"?
A largo plazo, esto significa que el concepto de "No son tus llaves, no son tus monedas" se desmorona en esta cadena: incluso si la clave privada del usuario está completa, la red aún puede bloquear el movimiento de activos y redirigirlos a través de cambios de protocolo colectivos.
Si esto se convierte en un precedente para que la cadena de bloques aborde grandes incidentes de seguridad en el futuro, e incluso se considera una práctica que se puede seguir nuevamente, entonces "cuando una cadena puede romper las reglas por la justicia, también tiene un precedente para romper cualquier regla."
Una vez que hay un éxito en "robar dinero por caridad", la próxima vez podría ser una operación en la "zona moralmente ambigua".
5.4 Regulación y el alma de la Cadena de bloques
Desde la perspectiva del desarrollo de la industria, necesitamos reflexionar: ¿es la centralización eficiente una etapa necesaria en el desarrollo de la Cadena de bloques? Si el objetivo final de la descentralización es garantizar los intereses de los usuarios, ¿podemos tolerar la centralización como un medio de transición?
En el contexto de la gobernanza en la cadena de bloques, la "democracia" en realidad está determinada por el peso de los tokens. Entonces, si un hacker posee una gran cantidad de tokens o controla los derechos de voto, ¿también puede "lavarse legalmente" a sí mismo a través del voto?
Al final, el valor de la cadena de bloques no radica en si se puede congelar o no, sino en que, incluso si el grupo tiene la capacidad de congelar, elige no hacerlo. El futuro de una cadena no está determinado por su arquitectura tecnológica, sino por el conjunto de creencias que elige proteger.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
16 me gusta
Recompensa
16
7
Republicar
Compartir
Comentar
0/400
FundingMartyr
· 08-13 21:52
Jeje, otro capitalista del mundo Cripto que hace un Rug Pull.
Ver originalesResponder0
WalletDoomsDay
· 08-13 13:43
Es solo un truco de los capitalistas.
Ver originalesResponder0
MetaverseHermit
· 08-11 03:10
Ahora Bitcoin es el único dios
Ver originalesResponder0
SingleForYears
· 08-11 03:10
Ay, ¿qué más se puede decir sobre la Descentralización? Al final, sigue siendo el capital el que decide.
Ver originalesResponder0
BlindBoxVictim
· 08-11 02:59
BTC es el dios eterno.
Ver originalesResponder0
OnchainArchaeologist
· 08-11 02:54
Ay, hemos vuelto a la selva oscura.
Ver originalesResponder0
SchrodingerPrivateKey
· 08-11 02:53
Me muero de risa, ya están hablando de creencias otra vez.
El incidente del hacker de la cadena pública Sui ha provocado una crisis de fe en la industria: el mecanismo de congelación y recuperación de fondos ha generado controversia.
Crisis de fe en la industria de la cadena de bloques: Reflexiones provocadas por el evento de la cadena pública Sui
Introducción
Los eventos recientes reflejan la victoria del capital, en lugar de los intereses de los usuarios. Esto representa un retroceso para el desarrollo de la industria.
El desarrollo de Bitcoin es completamente diferente al de las nuevas cadenas de bloques; cada vez que surgen acciones en la industria que sacuden la descentralización, esto provoca una fe aún más fuerte en Bitcoin.
El mundo no necesita solo un conjunto más completo de infraestructura financiera global, sino que lo más importante es mantener siempre un espacio libre.
Revisando la historia, las cadenas de bloques privadas fueron en su momento más populares que las cadenas de bloques públicas, precisamente porque satisfacían las necesidades de regulación de esa época. Hoy en día, el declive de las cadenas de bloques privadas también significa que simplemente cumplir con las necesidades de regulación no puede satisfacer las verdaderas necesidades de los usuarios. ¿De qué sirve una herramienta de regulación si se pierde a los usuarios regulados?
1. Revisión de eventos
El 22 de mayo de 2025, el mayor intercambio descentralizado en el ecosistema de una cierta cadena de bloques sufrió un ataque de hackers, causando enormes pérdidas, con más de 220 millones de dólares en fondos afectados. La liquidez disminuyó drásticamente y los precios de varios pares de intercambio colapsaron.
Tras el incidente, las partes involucradas tomaron rápidamente una serie de medidas:
2、Análisis del principio de ataque
Los atacantes utilizaron un préstamo relámpago para pedir prestados grandes cantidades de tokens, lo que causó una caída drástica en el precio del grupo de transacciones. Luego, los atacantes crearon posiciones de liquidez en un rango de precios extremadamente estrecho, amplificando el impacto del error de cálculo sobre la cantidad de tokens requeridos.
El núcleo del ataque radica en que la función utilizada por el intercambio para calcular la cantidad de tokens necesarios tiene una vulnerabilidad de desbordamiento de enteros. El atacante declara añadir una gran liquidez, pero en realidad solo invierte una pequeña cantidad de tokens. Debido a un error en las condiciones de detección de desbordamiento, el sistema subestima gravemente la cantidad de tokens necesarios, lo que permite al atacante obtener una gran liquidez a un costo muy bajo.
Desde el punto de vista técnico, esta vulnerabilidad se debe a que se utilizaron máscaras y condiciones de juicio incorrectas en el contrato inteligente, lo que permite que una gran cantidad de valores eluda la detección. Después de la operación de desplazamiento a la izquierda, los datos de los bits más significativos se truncaron, y el sistema solo recibe una cantidad muy pequeña de tokens y considera que ha obtenido una gran liquidez.
3、Mecanismo de congelación de fondos
La cadena de bloques pública incorpora un mecanismo especial de lista de rechazo, que permite la congelación de fondos de hackers. Además, su estándar de token también incluye el modo de "token regulado", que tiene una función de congelación incorporada.
Esta congelación de emergencia aprovechó esta característica: los nodos validador agregaron rápidamente direcciones relacionadas con los fondos robados en su archivo de configuración local. Teóricamente, cada operador de nodo puede modificar la configuración para actualizar la lista negra, pero para garantizar la consistencia de la red, la fundación, como el primer publicador de la configuración, realizó una coordinación centralizada.
Para facilitar la recuperación de fondos en el futuro, el equipo ha lanzado un parche para el mecanismo de lista blanca. Esto permite que transacciones específicas sean añadidas previamente a la "lista de exención de verificación", lo que permite que estas transacciones omitan todas las verificaciones de seguridad, incluyendo firmas, permisos, listas negras, etc.
Es importante tener en cuenta que el parche de lista blanca no puede transferir directamente los activos de los hackers; solo otorga a ciertas transacciones la capacidad de eludir el congelamiento, la verdadera transferencia de activos aún requiere una firma legal o un módulo de permisos del sistema adicional para completarse.
4. Principio de realización de la recuperación de fondos
Más sorprendente es que esta Cadena de bloques no solo ha congelado los activos de los hackers, sino que también planea recuperar los fondos robados a través de una actualización en la cadena.
Una vez que se apruebe la votación de la comunidad, las autoridades anunciarán que los fondos congelados se transferirán a una billetera multifirma sin la necesidad de la firma del hacker. Este método de transferencia sin la firma del titular original es sin precedentes en la industria de la cadena de bloques.
Desde el punto de vista de la implementación técnica, el protocolo introdujo un mecanismo de alias de dirección. El contenido de la actualización incluye: especificar previamente las reglas de alias en la configuración, de modo que ciertas transacciones permitidas puedan considerar una firma válida como si proviniera de una cuenta de hacker.
Específicamente, se vinculan las listas de hashes de transacciones de rescate que se van a ejecutar con la dirección objetivo (es decir, la dirección del hacker). Cualquier ejecutor que firme y publique estos resúmenes de transacciones fijas se considera que ha iniciado la transacción como propietario válido de la dirección del hacker. Para estas transacciones específicas, el sistema de nodos validadores omite la verificación de la lista de rechazo.
5、Opiniones y reflexiones
5.1 Se ha superado el límite de la fe
Este evento puede calmarse pronto, pero el patrón que representa no será olvidado, ya que socava los cimientos de la industria y rompe el consenso tradicional de inmutabilidad de la cadena de bloques bajo el mismo libro mayor.
En el diseño de la cadena de bloques, el contrato es la ley, el código es el árbitro. Pero en este evento, el código falló, la gobernanza intervino, el poder prevaleció, formando el patrón de "la conducta de votación decide el resultado del código".
5.2 en comparación con el "consenso de modificación" en la historia
Al mirar atrás en la historia, Ethereum revirtió las transacciones a través de un hard fork después del evento DAO en 2016 para compensar las pérdidas, lo que llevó a la división entre Ethereum y Ethereum Classic. Bitcoin también resolvió el problema de desbordamiento de valor en 2010 mediante una reparación de emergencia y la actualización de las reglas de consenso.
Estos son todos adoptados en un modo de bifurcación dura, que retrocede el libro mayor a antes de que ocurriera el problema, los usuarios pueden decidir por sí mismos bajo qué sistema de libro mayor continuar utilizando.
En comparación, este evento no eligió dividir la cadena, sino que se dirigió con precisión a este evento a través de una actualización de protocolo y la configuración de un alias. Esto mantiene la continuidad de la cadena y la mayoría de las reglas de consenso sin cambios, pero también indica que el protocolo subyacente puede ser utilizado para implementar "acciones de rescate" específicas.
5.3 ¿El fin de "Not Your Key, Not Your Coin"?
A largo plazo, esto significa que el concepto de "No son tus llaves, no son tus monedas" se desmorona en esta cadena: incluso si la clave privada del usuario está completa, la red aún puede bloquear el movimiento de activos y redirigirlos a través de cambios de protocolo colectivos.
Si esto se convierte en un precedente para que la cadena de bloques aborde grandes incidentes de seguridad en el futuro, e incluso se considera una práctica que se puede seguir nuevamente, entonces "cuando una cadena puede romper las reglas por la justicia, también tiene un precedente para romper cualquier regla."
Una vez que hay un éxito en "robar dinero por caridad", la próxima vez podría ser una operación en la "zona moralmente ambigua".
5.4 Regulación y el alma de la Cadena de bloques
Desde la perspectiva del desarrollo de la industria, necesitamos reflexionar: ¿es la centralización eficiente una etapa necesaria en el desarrollo de la Cadena de bloques? Si el objetivo final de la descentralización es garantizar los intereses de los usuarios, ¿podemos tolerar la centralización como un medio de transición?
En el contexto de la gobernanza en la cadena de bloques, la "democracia" en realidad está determinada por el peso de los tokens. Entonces, si un hacker posee una gran cantidad de tokens o controla los derechos de voto, ¿también puede "lavarse legalmente" a sí mismo a través del voto?
Al final, el valor de la cadena de bloques no radica en si se puede congelar o no, sino en que, incluso si el grupo tiene la capacidad de congelar, elige no hacerlo. El futuro de una cadena no está determinado por su arquitectura tecnológica, sino por el conjunto de creencias que elige proteger.