في 22 مايو، تم سرقة 223 مليون دولار من DEX Cetus في نظام Sui البيئي. من بين هذا المبلغ، تم تحويل 60 مليون دولار فقط عبر جسر متعدد السلاسل إلى ETH في جيب المخترق، بينما تم تجميد الـ 162 مليون دولار المتبقية من قبل مؤسسة Sui التي تنسق العقد.
في 27 مايو، بدأت عملية التصويت في المجتمع "لتقرير ما إذا كان سيتم تنفيذ ترقية البروتوكول لاسترداد الأموال المجمدة في الحسابات التي تسيطر عليها الهاكرز". تم تنفيذ ترقية البروتوكول في النهاية، وتم استرداد 162 مليون من الأموال بنجاح.
أثارت الاستجابة السريعة لمؤسسة سوي لحادثة السرقة هذه والحل الذي تم طرحه بسرعة جدلًا كبيرًا داخل المجتمع. من جهة، تمكنت من استرداد معظم الأموال وضمنت حقوق المستخدمين الذين تعرضوا للسرقة، ومن جهة أخرى، كانت طريقة الاسترداد من خلال إجماع العقد لتعديل ملكية الأصول بالقوة، وهذه هي المرة الأولى التي يتم فيها تنفيذ "نقل الأصول بدون مفتاح" على مستوى سلسلة الكتل العامة.
في مواجهة مصلحة المستخدمين، تم تجاهل هذه العملية "الجريئة" التي تتعارض مع "روح اللامركزية".
كيف يتم تحقيق نقل الأصول بدون مفتاح خاص؟
في 22 مايو، تعرض DEX Cetus في نظام Sui البيئي للاختراق بسبب خطأ برمجي بسيط، مما أدى إلى خسارة قدرها 223 مليون دولار. بعد الحادث، تم تجميد 162 مليون دولار من الأموال المسروقة بالتنسيق مع مؤسسة Sui للتحقق من العقد.
في 27 مايو، قامت مؤسسة Sui بدفع المجتمع للتصويت، حيث كانت فرصة التصويت تهدف إلى اتخاذ قرار بشأن تنفيذ ترقية البروتوكول لاستعادة الأموال المجمدة في حسابات تحت سيطرة القراصنة. في النهاية، خلال 48 ساعة، شارك 114 عقدة وشارك 103 في التصويت، حيث حصلت 99 صوتًا على التأييد، و2 صوتا ضد، و2 صوتا محايدًا، وتمت الموافقة على الاقتراح بنسبة 90.9%.
تشير الاقتراحات أيضًا إلى ترقية بروتوكول Sui ، مما سيسمح بعنوان معين بتمثيل عنوان المخترق لإجراء معاملتين لتعزيز استرداد الأموال. سيتم تصميم هذه المعاملات ونشرها بعد تحديد عنوان الاسترداد بشكل نهائي. سيتم الاحتفاظ بالأصول المستردة في محفظة متعددة التوقيع يتم التحكم فيها من قبل OtterSec ، المدقق الموثوق به من قبل Cetus ومؤسسة Sui ومجتمع Sui.
في مستوى ترقية البروتوكول، يتم إدخال وظيفة تشفير العنوان (address aliasing)، وبشكل أكثر تحديدًا، يتم تحديد القواعد مسبقًا على مستوى البروتوكول: يتم تمويه عمليات الحوكمة المحددة ك"توقيع قانوني لحسابات الهاكر"، ثم تقوم العقدة بالتحقق من أن هذا التوقيع المزور معترف به بعد الترقية، مما يجعل نقل الأموال المجمدة قانونيًا. كل هذا يجعل من الممكن، دون لمس المفتاح الخاص، تعديل ملكية الأصول بشكل قسري من خلال إجماع العقد (وهذا مشابه لتجميد البنك المركزي لحسابات البنوك ثم تحويل الأموال).
كيف تم تحقيق تجميد الأصول في البداية؟ تدعم Sui نفسها وظيفة القائمة السوداء (Deny list) والتوكنات المنظمة (Regulated tokens)، وقد تم استدعاء واجهة التجميد مباشرة لقفل عنوان المخترق.
المخاطر التقنية الناتجة عن التدخلات القوية المتبقية
على الرغم من أن هذه الخطوة استردت معظم الأصول المجمدة، إلا أنها لا تخلو من القلق، لأن ترقية البروتوكول أجبرت على تعديل ملكية الأصول من خلال توافق العقد، مما يشير أيضًا إلى أن سوي الرسمية يمكنها استبدال أي عنوان للتوقيع، وبالتالي سحب الأصول الموجودة بداخله.
إن ما يحدد ما إذا كان بإمكان سوي الرسمي القيام بذلك ليس رمز العقد الذكي، بل هو حقوق تصويت العقدة، ومن الذي يملك نتائج تصويت العقدة؟ لا شيء سوى العقدة الكبيرة التي تسيطر عليها المؤسسة برأس المال! بمعنى آخر، أصحاب المصلحة الرسميين في سوي يملكون أكبر سلطة في اتخاذ القرار، حتى لو كانت هناك تصويت، فهي مجرد إجراء شكلي.
لم يعد المفتاح الخاص للمستخدم هو شهادة السيطرة المطلقة على الأصول، طالما أن توافق العقدة متفق عليه، يمكن أن يغطي مستوى البروتوكول صلاحيات المفتاح الخاص مباشرة.
ولكن من ناحية أخرى، فإنها تحقق كفاءة عالية في استرداد الأصول، وتجميد الأصول بسرعة، بفضل الوظائف التنظيمية المدمجة في Sui، مما يمكن من تقليل الخسائر بسرعة، وتم الانتهاء من التصويت خلال 48 ساعة، وتم تنفيذ ترقية البروتوكول.
ولكن في رأي الكاتب، فإن ميزة عنوان التعيين تخلق سابقة خطيرة - حيث يمكن للبروتوكول تزوير "العمليات القانونية" لأي عنوان، مما يزرع بذور التدخل الاستبدادي.
ومع ذلك، فإن سلسلة العمليات التي قامت بها Sui لاستعادة الأموال لم تكن سوى قرار اتخذته الجهة المسؤولة عن السلسلة العامة من منظور مصالح المستخدمين، عندما تتعارض مصالح المستخدمين مع مبادئ اللامركزية. وبالنسبة لما إذا كان هذا يتعارض مع مبادئ اللامركزية، يبدو أنه ليس مهما للمستخدمين أو لـ Sui، لأنهم يستطيعون الرد عند مواجهة الشكوك بأن القرار جاء نتيجة "تصويت".
المحتوى هو للمرجعية فقط، وليس دعوة أو عرضًا. لا يتم تقديم أي مشورة استثمارية أو ضريبية أو قانونية. للمزيد من الإفصاحات حول المخاطر، يُرجى الاطلاع على إخلاء المسؤولية.
استرداد الأموال المسروقة من Cetus "اللامركزية" تنازل عن مصالح المستخدمين
جيسي، الاقتصاد الذهبي
في 22 مايو، تم سرقة 223 مليون دولار من DEX Cetus في نظام Sui البيئي. من بين هذا المبلغ، تم تحويل 60 مليون دولار فقط عبر جسر متعدد السلاسل إلى ETH في جيب المخترق، بينما تم تجميد الـ 162 مليون دولار المتبقية من قبل مؤسسة Sui التي تنسق العقد.
في 27 مايو، بدأت عملية التصويت في المجتمع "لتقرير ما إذا كان سيتم تنفيذ ترقية البروتوكول لاسترداد الأموال المجمدة في الحسابات التي تسيطر عليها الهاكرز". تم تنفيذ ترقية البروتوكول في النهاية، وتم استرداد 162 مليون من الأموال بنجاح.
أثارت الاستجابة السريعة لمؤسسة سوي لحادثة السرقة هذه والحل الذي تم طرحه بسرعة جدلًا كبيرًا داخل المجتمع. من جهة، تمكنت من استرداد معظم الأموال وضمنت حقوق المستخدمين الذين تعرضوا للسرقة، ومن جهة أخرى، كانت طريقة الاسترداد من خلال إجماع العقد لتعديل ملكية الأصول بالقوة، وهذه هي المرة الأولى التي يتم فيها تنفيذ "نقل الأصول بدون مفتاح" على مستوى سلسلة الكتل العامة.
في مواجهة مصلحة المستخدمين، تم تجاهل هذه العملية "الجريئة" التي تتعارض مع "روح اللامركزية".
كيف يتم تحقيق نقل الأصول بدون مفتاح خاص؟
في 22 مايو، تعرض DEX Cetus في نظام Sui البيئي للاختراق بسبب خطأ برمجي بسيط، مما أدى إلى خسارة قدرها 223 مليون دولار. بعد الحادث، تم تجميد 162 مليون دولار من الأموال المسروقة بالتنسيق مع مؤسسة Sui للتحقق من العقد.
في 27 مايو، قامت مؤسسة Sui بدفع المجتمع للتصويت، حيث كانت فرصة التصويت تهدف إلى اتخاذ قرار بشأن تنفيذ ترقية البروتوكول لاستعادة الأموال المجمدة في حسابات تحت سيطرة القراصنة. في النهاية، خلال 48 ساعة، شارك 114 عقدة وشارك 103 في التصويت، حيث حصلت 99 صوتًا على التأييد، و2 صوتا ضد، و2 صوتا محايدًا، وتمت الموافقة على الاقتراح بنسبة 90.9%.
تشير الاقتراحات أيضًا إلى ترقية بروتوكول Sui ، مما سيسمح بعنوان معين بتمثيل عنوان المخترق لإجراء معاملتين لتعزيز استرداد الأموال. سيتم تصميم هذه المعاملات ونشرها بعد تحديد عنوان الاسترداد بشكل نهائي. سيتم الاحتفاظ بالأصول المستردة في محفظة متعددة التوقيع يتم التحكم فيها من قبل OtterSec ، المدقق الموثوق به من قبل Cetus ومؤسسة Sui ومجتمع Sui.
في مستوى ترقية البروتوكول، يتم إدخال وظيفة تشفير العنوان (address aliasing)، وبشكل أكثر تحديدًا، يتم تحديد القواعد مسبقًا على مستوى البروتوكول: يتم تمويه عمليات الحوكمة المحددة ك"توقيع قانوني لحسابات الهاكر"، ثم تقوم العقدة بالتحقق من أن هذا التوقيع المزور معترف به بعد الترقية، مما يجعل نقل الأموال المجمدة قانونيًا. كل هذا يجعل من الممكن، دون لمس المفتاح الخاص، تعديل ملكية الأصول بشكل قسري من خلال إجماع العقد (وهذا مشابه لتجميد البنك المركزي لحسابات البنوك ثم تحويل الأموال).
كيف تم تحقيق تجميد الأصول في البداية؟ تدعم Sui نفسها وظيفة القائمة السوداء (Deny list) والتوكنات المنظمة (Regulated tokens)، وقد تم استدعاء واجهة التجميد مباشرة لقفل عنوان المخترق.
المخاطر التقنية الناتجة عن التدخلات القوية المتبقية
على الرغم من أن هذه الخطوة استردت معظم الأصول المجمدة، إلا أنها لا تخلو من القلق، لأن ترقية البروتوكول أجبرت على تعديل ملكية الأصول من خلال توافق العقد، مما يشير أيضًا إلى أن سوي الرسمية يمكنها استبدال أي عنوان للتوقيع، وبالتالي سحب الأصول الموجودة بداخله.
إن ما يحدد ما إذا كان بإمكان سوي الرسمي القيام بذلك ليس رمز العقد الذكي، بل هو حقوق تصويت العقدة، ومن الذي يملك نتائج تصويت العقدة؟ لا شيء سوى العقدة الكبيرة التي تسيطر عليها المؤسسة برأس المال! بمعنى آخر، أصحاب المصلحة الرسميين في سوي يملكون أكبر سلطة في اتخاذ القرار، حتى لو كانت هناك تصويت، فهي مجرد إجراء شكلي.
لم يعد المفتاح الخاص للمستخدم هو شهادة السيطرة المطلقة على الأصول، طالما أن توافق العقدة متفق عليه، يمكن أن يغطي مستوى البروتوكول صلاحيات المفتاح الخاص مباشرة.
ولكن من ناحية أخرى، فإنها تحقق كفاءة عالية في استرداد الأصول، وتجميد الأصول بسرعة، بفضل الوظائف التنظيمية المدمجة في Sui، مما يمكن من تقليل الخسائر بسرعة، وتم الانتهاء من التصويت خلال 48 ساعة، وتم تنفيذ ترقية البروتوكول.
ولكن في رأي الكاتب، فإن ميزة عنوان التعيين تخلق سابقة خطيرة - حيث يمكن للبروتوكول تزوير "العمليات القانونية" لأي عنوان، مما يزرع بذور التدخل الاستبدادي.
ومع ذلك، فإن سلسلة العمليات التي قامت بها Sui لاستعادة الأموال لم تكن سوى قرار اتخذته الجهة المسؤولة عن السلسلة العامة من منظور مصالح المستخدمين، عندما تتعارض مصالح المستخدمين مع مبادئ اللامركزية. وبالنسبة لما إذا كان هذا يتعارض مع مبادئ اللامركزية، يبدو أنه ليس مهما للمستخدمين أو لـ Sui، لأنهم يستطيعون الرد عند مواجهة الشكوك بأن القرار جاء نتيجة "تصويت".