Beaucoup de gens se demandent comment, après que @CetusProtocol a été attaqué par des hackers, le réseau des validateurs de Sui a "gelé" l'adresse du hacker et a récupéré 160 millions de dollars. Comment cela a-t-il été possible ? La décentralisation est-elle vraiment un "mensonge" ? Voici une tentative d'analyse du point de vue technique :
Partie de la migration par le pont inter-chaînes : après le succès de l'attaque des hackers, une partie des actifs tels que l'USDC a été immédiatement transférée vers Ethereum et d'autres chaînes via le pont inter-chaînes. Ces fonds ne peuvent plus être récupérés, car une fois sortis de l'écosystème Sui, les validateurs ne peuvent plus rien faire.
Partie toujours sur la chaîne Sui : un nombre considérable de fonds volés est encore stocké dans des adresses Sui contrôlées par des hackers. Cette partie des fonds est devenue l'objectif des "fonds gelés".
Selon l'annonce officielle, "de nombreux validateurs ont identifié les adresses des fonds volés et ignorent les transactions sur ces adresses".
——Comment cela sera-t-il réalisé concrètement ?
Filtrage des transactions au niveau des validateurs - En d'autres termes, les validateurs font semblant de ne pas voir :
Les validateurs ignorent directement les transactions des adresses de hackers à l'étape du pool de transactions (mempool) ;
Ces techniques de trading sont techniquement totalement efficaces, mais elles ne vous permettent tout simplement pas d'être empaquetées et mises en chaîne ;
Les fonds des hackers sont ainsi "assignés à résidence" à l'adresse ;
Mécanisme clé du modèle d'objet Move - Le modèle d'objet du langage Move rend cette "gel" réalisable :
La transfert doit être sur la chaîne : Bien que le hacker contrôle une grande quantité d'actifs dans l'adresse Sui, pour transférer ces objets comme USDC, SUI, il doit initier une transaction qui doit être validée et confirmée par un validateur ;
Les validateurs détiennent le pouvoir de vie et de mort : si un validateur refuse d'inclure une transaction, celle-ci ne pourra jamais être exécutée.
Résultat : le hacker "possède" ces actifs en théorie, mais n'a en réalité aucun moyen de les utiliser.
C’est comme si vous aviez une carte bancaire, mais que tous les distributeurs automatiques refusent de vous servir. L’argent est dans la carte, mais vous ne pouvez pas le retirer. Avec la surveillance et l’intervention continues (ATM) des validateurs SUI, les tokens tels que SUI dans l’adresse du hacker ne pourront plus circuler, et ces fonds volés sont désormais « brûlés », jouant objectivement un rôle « déflationniste » ?
Bien sûr, en plus de la coordination ad hoc des validateurs, Sui peut avoir une fonctionnalité de liste bloquée prédéfinie au niveau du système. Si tel est le cas, le processus peut être le suivant : l’autorité compétente (par exemple, la Fondation Sui ou par le biais de la gouvernance) ajoute l’adresse du pirate à la liste deny_ du système, et le validateur exécute conformément à cette règle du système et refuse de traiter les transactions à l’adresse de la liste noire.
Que ce soit pour une coordination temporaire ou pour une exécution selon des règles systématiques, il est nécessaire que la majorité des validateurs puisse agir de manière unifiée. Il est évident que la répartition du pouvoir au sein du réseau de validateurs de Sui reste trop concentrée, et qu'un petit nombre de nœuds peut contrôler les décisions clés du réseau.
Le problème de la concentration excessive des validateurs de Sui n'est pas un cas isolé parmi les chaînes PoS - de l'Ethereum à la BSC, la plupart des réseaux PoS sont confrontés à des risques similaires de concentration des validateurs, mais Sui a simplement exposé ce problème de manière plus évidente.
——Comment un réseau prétendument décentralisé peut-il avoir une telle capacité de "gel" centralisé ?
Ce qui est encore plus grave, c'est que les responsables de Sui ont déclaré qu'ils allaient restituer les fonds gelés au pool, mais si les validateurs "refusent de regrouper les transactions", ces fonds ne devraient théoriquement jamais pouvoir être déplacés. Comment Sui parvient-elle à les restituer ? Cela remet encore en question la caractéristique de décentralisation de cette chaîne Sui !
Est-ce que, en dehors de quelques validateurs centralisés qui refusent les transactions, les autorités ont même des super-pouvoirs au niveau du système pour modifier directement la propriété des actifs ? (Sui doit fournir plus de détails sur le "gel")
Avant de divulguer les détails spécifiques, il est nécessaire de discuter des compromis liés à la décentralisation :
L'intervention d'urgence dans la réponse, est-ce vraiment une mauvaise chose de sacrifier un peu de décentralisation ? Si une attaque de hacker se produit, est-ce que les utilisateurs veulent vraiment que toute la chaîne n'ait aucune action ?
Ce que je veux dire, c’est que les gens ne veulent naturellement pas que de l’argent tombe entre les mains de pirates, mais ce qui inquiète davantage le marché, c’est que les critères de gel sont complètement « subjectifs » : qu’est-ce qui compte comme des « fonds volés » ? Qui le définit ? Où sont les frontières ? Geler les pirates informatiques aujourd’hui, geler qui demain ? Dès que ce précédent sera ouvert, la valeur anti-censure fondamentale de la chaîne publique sera complètement en faillite, ce qui causera inévitablement des dommages à la confiance des utilisateurs.
La décentralisation n'est pas binaire, Sui a choisi un point d'équilibre spécifique entre la protection des utilisateurs et la décentralisation. Le problème clé réside dans le manque de mécanismes de gouvernance transparents et de normes de limites claires.
À ce stade, la plupart des projets de blockchain font ce compromis, mais les utilisateurs ont le droit de connaître la vérité, et non d'être trompés par l'étiquette 'entièrement décentralisé'.
Le contenu est fourni à titre de référence uniquement, il ne s'agit pas d'une sollicitation ou d'une offre. Aucun conseil en investissement, fiscalité ou juridique n'est fourni. Consultez l'Avertissement pour plus de détails sur les risques.
Analyse technique : Comment Sui a « gelé » 160 millions de dollars des mains des Hackers ?
Auteur : Haotian
Beaucoup de gens se demandent comment, après que @CetusProtocol a été attaqué par des hackers, le réseau des validateurs de Sui a "gelé" l'adresse du hacker et a récupéré 160 millions de dollars. Comment cela a-t-il été possible ? La décentralisation est-elle vraiment un "mensonge" ? Voici une tentative d'analyse du point de vue technique :
Partie de la migration par le pont inter-chaînes : après le succès de l'attaque des hackers, une partie des actifs tels que l'USDC a été immédiatement transférée vers Ethereum et d'autres chaînes via le pont inter-chaînes. Ces fonds ne peuvent plus être récupérés, car une fois sortis de l'écosystème Sui, les validateurs ne peuvent plus rien faire.
Partie toujours sur la chaîne Sui : un nombre considérable de fonds volés est encore stocké dans des adresses Sui contrôlées par des hackers. Cette partie des fonds est devenue l'objectif des "fonds gelés".
Selon l'annonce officielle, "de nombreux validateurs ont identifié les adresses des fonds volés et ignorent les transactions sur ces adresses".
——Comment cela sera-t-il réalisé concrètement ?
Les validateurs ignorent directement les transactions des adresses de hackers à l'étape du pool de transactions (mempool) ;
Ces techniques de trading sont techniquement totalement efficaces, mais elles ne vous permettent tout simplement pas d'être empaquetées et mises en chaîne ;
Les fonds des hackers sont ainsi "assignés à résidence" à l'adresse ;
La transfert doit être sur la chaîne : Bien que le hacker contrôle une grande quantité d'actifs dans l'adresse Sui, pour transférer ces objets comme USDC, SUI, il doit initier une transaction qui doit être validée et confirmée par un validateur ;
Les validateurs détiennent le pouvoir de vie et de mort : si un validateur refuse d'inclure une transaction, celle-ci ne pourra jamais être exécutée.
Résultat : le hacker "possède" ces actifs en théorie, mais n'a en réalité aucun moyen de les utiliser.
C’est comme si vous aviez une carte bancaire, mais que tous les distributeurs automatiques refusent de vous servir. L’argent est dans la carte, mais vous ne pouvez pas le retirer. Avec la surveillance et l’intervention continues (ATM) des validateurs SUI, les tokens tels que SUI dans l’adresse du hacker ne pourront plus circuler, et ces fonds volés sont désormais « brûlés », jouant objectivement un rôle « déflationniste » ?
Bien sûr, en plus de la coordination ad hoc des validateurs, Sui peut avoir une fonctionnalité de liste bloquée prédéfinie au niveau du système. Si tel est le cas, le processus peut être le suivant : l’autorité compétente (par exemple, la Fondation Sui ou par le biais de la gouvernance) ajoute l’adresse du pirate à la liste deny_ du système, et le validateur exécute conformément à cette règle du système et refuse de traiter les transactions à l’adresse de la liste noire.
Que ce soit pour une coordination temporaire ou pour une exécution selon des règles systématiques, il est nécessaire que la majorité des validateurs puisse agir de manière unifiée. Il est évident que la répartition du pouvoir au sein du réseau de validateurs de Sui reste trop concentrée, et qu'un petit nombre de nœuds peut contrôler les décisions clés du réseau.
Le problème de la concentration excessive des validateurs de Sui n'est pas un cas isolé parmi les chaînes PoS - de l'Ethereum à la BSC, la plupart des réseaux PoS sont confrontés à des risques similaires de concentration des validateurs, mais Sui a simplement exposé ce problème de manière plus évidente.
——Comment un réseau prétendument décentralisé peut-il avoir une telle capacité de "gel" centralisé ?
Ce qui est encore plus grave, c'est que les responsables de Sui ont déclaré qu'ils allaient restituer les fonds gelés au pool, mais si les validateurs "refusent de regrouper les transactions", ces fonds ne devraient théoriquement jamais pouvoir être déplacés. Comment Sui parvient-elle à les restituer ? Cela remet encore en question la caractéristique de décentralisation de cette chaîne Sui !
Est-ce que, en dehors de quelques validateurs centralisés qui refusent les transactions, les autorités ont même des super-pouvoirs au niveau du système pour modifier directement la propriété des actifs ? (Sui doit fournir plus de détails sur le "gel")
Avant de divulguer les détails spécifiques, il est nécessaire de discuter des compromis liés à la décentralisation :
L'intervention d'urgence dans la réponse, est-ce vraiment une mauvaise chose de sacrifier un peu de décentralisation ? Si une attaque de hacker se produit, est-ce que les utilisateurs veulent vraiment que toute la chaîne n'ait aucune action ?
Ce que je veux dire, c’est que les gens ne veulent naturellement pas que de l’argent tombe entre les mains de pirates, mais ce qui inquiète davantage le marché, c’est que les critères de gel sont complètement « subjectifs » : qu’est-ce qui compte comme des « fonds volés » ? Qui le définit ? Où sont les frontières ? Geler les pirates informatiques aujourd’hui, geler qui demain ? Dès que ce précédent sera ouvert, la valeur anti-censure fondamentale de la chaîne publique sera complètement en faillite, ce qui causera inévitablement des dommages à la confiance des utilisateurs.
La décentralisation n'est pas binaire, Sui a choisi un point d'équilibre spécifique entre la protection des utilisateurs et la décentralisation. Le problème clé réside dans le manque de mécanismes de gouvernance transparents et de normes de limites claires.
À ce stade, la plupart des projets de blockchain font ce compromis, mais les utilisateurs ont le droit de connaître la vérité, et non d'être trompés par l'étiquette 'entièrement décentralisé'.