No dia 22 de maio, o DEX Cetus do ecossistema Sui foi roubado de 223 milhões de dólares. Desses, apenas 60 milhões de dólares foram trocados por meio de uma ponte cross-chain para ETH e foram para o bolso do hacker, enquanto os restantes 162 milhões de dólares foram congelados pelos nós coordenados pela fundação Sui.
No dia 27 de maio, foi iniciada a votação da comunidade, "para decidir se deve ser implementada uma atualização do protocolo para recuperar os fundos congelados nas contas controladas por hackers". A atualização do protocolo foi finalmente realizada, e 162 milhões de fundos foram recuperados com sucesso.
A resposta rápida da Fundação Sui a este incidente de roubo e a solução rapidamente implementada geraram uma grande controvérsia na comunidade. Por um lado, recuperou a maior parte dos fundos, protegendo os interesses dos usuários roubados; por outro lado, a forma de recuperação foi através de um consenso entre nós, forçando a modificação da titularidade dos ativos, o que representa a primeira vez que se implementa a "transferência de ativos sem chave" a nível de blockchain.
Perante os interesses dos usuários, esta operação tão "audaciosa" que viola o "espírito de descentralização" foi simplesmente ignorada.
Como é realizada a transferência de ativos sem chave privada?
No dia 22 de maio, o DEX Cetus do ecossistema Sui foi atacado por hackers devido a um erro de codificação de baixo nível, resultando em uma perda de 223 milhões de dólares. Após o incidente, 162 milhões de dólares dos fundos roubados foram congelados por nós de validação coordenados pela Fundação Sui.
No dia 27 de maio, a Fundação Sui promoveu uma votação comunitária, com o objetivo de decidir se uma atualização do protocolo deve ser implementada para recuperar os fundos congelados em contas controladas por hackers. No final, em 48 horas, 114 nós participaram, com 103 a votar, 99 votos a favor, 2 contra e 2 abstenções, com 90,9% a aprovarem a proposta.
Através da proposta, isso indica uma atualização do protocolo Sui, que permitirá que um endereço específico represente o endereço do hacker em duas transações, para facilitar a recuperação de fundos. Essas transações serão projetadas e divulgadas após a determinação final do endereço de recuperação. Os ativos recuperados serão mantidos em uma carteira de múltiplas assinaturas controlada por auditores confiáveis da Cetus, da Fundação Sui e da comunidade Sui, OtterSec.
No nível da atualização do protocolo, a funcionalidade de aliasing de endereço é introduzida, ou seja, regras são definidas previamente no nível do protocolo: operações de governança específicas são disfarçadas como "assinaturas legítimas de contas de hackers", e então os nós validadores reconhecem essa assinatura falsificada após a atualização, legitimando a transferência de fundos congelados. Isso permite que, sem tocar na chave privada, a propriedade dos ativos seja forçada a ser modificada por meio do consenso dos nós (isso é semelhante ao banco central congelar contas bancárias e transferir fundos).
E como foram inicialmente implementados os ativos congelados? O Sui suporta funções de Deny list (lista de bloqueio) e Regulated tokens (tokens regulamentados), e desta vez, foi diretamente chamada a interface de congelamento para bloquear o endereço do hacker.
Os riscos técnicos da intervenção de poder deixados para trás
Embora esta ação tenha recuperado a maior parte dos ativos congelados, também suscita preocupações, pois a atualização do protocolo forçou, através do consenso dos nós, a modificação da propriedade dos ativos, o que também indica que a equipe oficial do Sui pode substituir qualquer endereço para assinar, permitindo assim a transferência dos ativos contidos.
A restrição sobre se a Sui oficial pode fazer isso não é o código do contrato inteligente, mas sim os direitos de voto dos nós, e quem detém os resultados da votação dos nós? Não são os grandes nós controlados por capital da fundação! Ou seja, as partes interessadas da Sui oficial detêm a maior parte da influência, e mesmo que haja votação, é apenas uma formalidade.
A chave privada do usuário já não é um certificado de controle absoluto sobre os ativos; desde que haja consenso entre os nós, a camada de protocolo pode sobrepor diretamente os direitos da chave privada.
Mas, por outro lado, isso possibilitou uma recuperação eficiente de ativos, o congelamento rápido dos ativos, graças às funções de supervisão integradas no Sui, que também permitem uma rápida mitigação de perdas, com a votação concluída em 48 horas e a implementação da atualização do protocolo.
Mas, na opinião do autor, a funcionalidade de aliasing de endereços criou um perigoso precedente - a camada de protocolo pode falsificar qualquer "operação legal" de endereço, o que semeia as bases técnicas para a intervenção autoritária.
E esta série de operações para recuperar fundos da Sui foi, na verdade, uma decisão da parte da blockchain pública que escolheu agir do ponto de vista dos interesses dos usuários quando houve um conflito com o princípio da descentralização. E quanto a saber se isso viola ou não o princípio da descentralização, parece que não é importante nem para os usuários nem para a Sui, afinal, quando questionados, também podem responder que foi uma decisão "votada".
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
Cetus teve fundos roubados recuperados "Descentralização" cedeu aos interesses dos usuários
Jessy, Golden Finance
No dia 22 de maio, o DEX Cetus do ecossistema Sui foi roubado de 223 milhões de dólares. Desses, apenas 60 milhões de dólares foram trocados por meio de uma ponte cross-chain para ETH e foram para o bolso do hacker, enquanto os restantes 162 milhões de dólares foram congelados pelos nós coordenados pela fundação Sui.
No dia 27 de maio, foi iniciada a votação da comunidade, "para decidir se deve ser implementada uma atualização do protocolo para recuperar os fundos congelados nas contas controladas por hackers". A atualização do protocolo foi finalmente realizada, e 162 milhões de fundos foram recuperados com sucesso.
A resposta rápida da Fundação Sui a este incidente de roubo e a solução rapidamente implementada geraram uma grande controvérsia na comunidade. Por um lado, recuperou a maior parte dos fundos, protegendo os interesses dos usuários roubados; por outro lado, a forma de recuperação foi através de um consenso entre nós, forçando a modificação da titularidade dos ativos, o que representa a primeira vez que se implementa a "transferência de ativos sem chave" a nível de blockchain.
Perante os interesses dos usuários, esta operação tão "audaciosa" que viola o "espírito de descentralização" foi simplesmente ignorada.
Como é realizada a transferência de ativos sem chave privada?
No dia 22 de maio, o DEX Cetus do ecossistema Sui foi atacado por hackers devido a um erro de codificação de baixo nível, resultando em uma perda de 223 milhões de dólares. Após o incidente, 162 milhões de dólares dos fundos roubados foram congelados por nós de validação coordenados pela Fundação Sui.
No dia 27 de maio, a Fundação Sui promoveu uma votação comunitária, com o objetivo de decidir se uma atualização do protocolo deve ser implementada para recuperar os fundos congelados em contas controladas por hackers. No final, em 48 horas, 114 nós participaram, com 103 a votar, 99 votos a favor, 2 contra e 2 abstenções, com 90,9% a aprovarem a proposta.
Através da proposta, isso indica uma atualização do protocolo Sui, que permitirá que um endereço específico represente o endereço do hacker em duas transações, para facilitar a recuperação de fundos. Essas transações serão projetadas e divulgadas após a determinação final do endereço de recuperação. Os ativos recuperados serão mantidos em uma carteira de múltiplas assinaturas controlada por auditores confiáveis da Cetus, da Fundação Sui e da comunidade Sui, OtterSec.
No nível da atualização do protocolo, a funcionalidade de aliasing de endereço é introduzida, ou seja, regras são definidas previamente no nível do protocolo: operações de governança específicas são disfarçadas como "assinaturas legítimas de contas de hackers", e então os nós validadores reconhecem essa assinatura falsificada após a atualização, legitimando a transferência de fundos congelados. Isso permite que, sem tocar na chave privada, a propriedade dos ativos seja forçada a ser modificada por meio do consenso dos nós (isso é semelhante ao banco central congelar contas bancárias e transferir fundos).
E como foram inicialmente implementados os ativos congelados? O Sui suporta funções de Deny list (lista de bloqueio) e Regulated tokens (tokens regulamentados), e desta vez, foi diretamente chamada a interface de congelamento para bloquear o endereço do hacker.
Os riscos técnicos da intervenção de poder deixados para trás
Embora esta ação tenha recuperado a maior parte dos ativos congelados, também suscita preocupações, pois a atualização do protocolo forçou, através do consenso dos nós, a modificação da propriedade dos ativos, o que também indica que a equipe oficial do Sui pode substituir qualquer endereço para assinar, permitindo assim a transferência dos ativos contidos.
A restrição sobre se a Sui oficial pode fazer isso não é o código do contrato inteligente, mas sim os direitos de voto dos nós, e quem detém os resultados da votação dos nós? Não são os grandes nós controlados por capital da fundação! Ou seja, as partes interessadas da Sui oficial detêm a maior parte da influência, e mesmo que haja votação, é apenas uma formalidade.
A chave privada do usuário já não é um certificado de controle absoluto sobre os ativos; desde que haja consenso entre os nós, a camada de protocolo pode sobrepor diretamente os direitos da chave privada.
Mas, por outro lado, isso possibilitou uma recuperação eficiente de ativos, o congelamento rápido dos ativos, graças às funções de supervisão integradas no Sui, que também permitem uma rápida mitigação de perdas, com a votação concluída em 48 horas e a implementação da atualização do protocolo.
Mas, na opinião do autor, a funcionalidade de aliasing de endereços criou um perigoso precedente - a camada de protocolo pode falsificar qualquer "operação legal" de endereço, o que semeia as bases técnicas para a intervenção autoritária.
E esta série de operações para recuperar fundos da Sui foi, na verdade, uma decisão da parte da blockchain pública que escolheu agir do ponto de vista dos interesses dos usuários quando houve um conflito com o princípio da descentralização. E quanto a saber se isso viola ou não o princípio da descentralização, parece que não é importante nem para os usuários nem para a Sui, afinal, quando questionados, também podem responder que foi uma decisão "votada".