Многие люди недоумевают, как официальный Sui заявил, что после атаки хакеров на @CetusProtocol сеть валидаторов "заморозила" адрес хакера, вернув 160 миллионов долларов. Как это было сделано? Разве децентрализация не является "ложью"? Ниже я попробую проанализировать это с технической точки зрения:
Часть перевода через кросс-чейн мост: после успешной атаки хакеров часть активов, таких как USDC, была немедленно переведена через кросс-чейн мост на другие цепочки, такие как Ethereum. Эти средства уже невозможно вернуть, так как, покинув экосистему Sui, валидаторы становятся бессильными.
Часть, все еще находящаяся на цепочке Sui: по-прежнему значительное количество украденных средств хранится на адресах Sui, контролируемых хакерами. Эта часть средств стала целью "заморозки".
Согласно официальному объявлению, "множество валидаторов идентифицировало адреса украденных средств и игнорирует транзакции на этих адресах".
——Как это конкретно реализовать?
Фильтрация транзакций на уровне валидаторов — проще говоря, валидаторы коллективно "притворяются слепыми":
Узлы-валидаторы напрямую игнорируют транзакции с адресов хакеров на этапе пула транзакций (mempool);
Эти торговые технологии полностью эффективны, но просто не позволяют вам упаковать их в блокчейн;
Средства хакеров были таким образом "домашним арестом" в адресе;
Ключевой механизм модели объектов Move — модель объектов языка Move делает возможным такое "замораживание":
Перевод должен быть зафиксирован в блокчейне: хотя хакеры контролируют значительное количество активов в адресе Sui, для перевода этих объектов, таких как USDC и SUI, необходимо инициировать транзакцию и получить подтверждение от валидаторов;
Валидаоры обладают властью жизни и смерти: если валидатор откажется упаковать, объект навсегда останется неподвижным;
Результат: Хакеры номинально "владеют" этими активами, но на самом деле ничего не могут с этим сделать.
Это как если бы у вас была банковская карта, но все банкоматы отказываются вас обслуживать. Деньги есть на карте, но снять их нельзя. При постоянном мониторинге и вмешательстве (ATM) валидаторов SUI, токены типа SUI в адрес хакера не смогут циркулировать, и эти украденные средства теперь «сгорают», объективно играя «дефляционную» роль?
Конечно, помимо временной координации валидаторов, Sui может на уровне системы предусмотреть функцию черного списка. Если это действительно так, то процесс может быть следующим: соответствующие уполномоченные лица (например, Фонд Sui или через управление) добавляют адреса хакеров в системный deny_ list, валидаторы выполняют эту системную политику и отказываются обрабатывать транзакции адресов из черного списка.
Однако как временная координация, так и выполнение системных правил требуют от большинства валидаторов единого действия. Очевидно, что распределение полномочий в сети валидаторов Sui по-прежнему слишком централизовано, и небольшое количество узлов может контролировать ключевые решения всей сети.
Однако проблема с концентрацией валидаторов в Sui не является исключением для PoS цепей — от Ethereum до BSC, большинство PoS сетей сталкиваются с аналогичными рисками концентрации валидаторов, просто в Sui эта проблема была выявлена более очевидно.
——Как сеть, которая называется децентрализованной, может обладать такой сильной централизованной "замораживающей" способностью?
Что еще хуже, официальные представители Sui заявили, что вернут замороженные средства в пул, но если действительно "валидатор отказывается упаковывать транзакцию", эти средства теоретически должны оставаться недоступными навсегда. Как Sui собирается вернуть эти средства? Это еще больше ставит под сомнение децентрализованную природу этой цепочки Sui!
Разве официальные лица, кроме нескольких централизованных валидаторов, отказывающихся от транзакций, имеют полномочия на уровне системы для прямого изменения прав собственности на активы? (Необходимо, чтобы Sui предоставил дополнительные детали о "заморозке")
Перед раскрытием конкретных деталей необходимо обсудить компромиссы, связанные с децентрализацией:
Экстренное реагирование на вмешательство: жертва небольшого уровня децентрализации всегда является плохой вещью? Если происходит хакерская атака, разве бездействие всей цепи - это то, что пользователи действительно хотят?
Я хочу сказать, что никто не хочет, чтобы деньги попали в руки хакеров, но этот шаг вызывает еще большее беспокойство на рынке: стандарты заморозки становятся совершенно «субъективными»: что считается «украденными средствами»? Кто это будет определять? Где граница? Сегодня замораживаем хакера, а завтра кого? Как только этот прецедент будет установлен, основная ценность публичной цепочки блоков в отношении сопротивления цензуре будет полностью разрушена, что неизбежно приведет к утрате доверия пользователей.
Децентрализация не является черно-белой, Sui выбрала определенную точку баланса между защитой пользователей и децентрализацией. Ключевым моментом является отсутствие прозрачного механизма управления и четких стандартов границ.
На этом этапе большинство блокчейн-проектов делают такие компромиссы, но пользователи имеют право знать правду, а не быть введенными в заблуждение ярлыком "полная децентрализация".
Содержание носит исключительно справочный характер и не является предложением или офертой. Консультации по инвестициям, налогообложению или юридическим вопросам не предоставляются. Более подробную информацию о рисках см. в разделе «Дисклеймер».
Технический анализ: как Sui «заморозила» 160 миллионов долларов от рук Хакера?
Автор: Хаотян
Многие люди недоумевают, как официальный Sui заявил, что после атаки хакеров на @CetusProtocol сеть валидаторов "заморозила" адрес хакера, вернув 160 миллионов долларов. Как это было сделано? Разве децентрализация не является "ложью"? Ниже я попробую проанализировать это с технической точки зрения:
Часть перевода через кросс-чейн мост: после успешной атаки хакеров часть активов, таких как USDC, была немедленно переведена через кросс-чейн мост на другие цепочки, такие как Ethereum. Эти средства уже невозможно вернуть, так как, покинув экосистему Sui, валидаторы становятся бессильными.
Часть, все еще находящаяся на цепочке Sui: по-прежнему значительное количество украденных средств хранится на адресах Sui, контролируемых хакерами. Эта часть средств стала целью "заморозки".
Согласно официальному объявлению, "множество валидаторов идентифицировало адреса украденных средств и игнорирует транзакции на этих адресах".
——Как это конкретно реализовать?
Узлы-валидаторы напрямую игнорируют транзакции с адресов хакеров на этапе пула транзакций (mempool);
Эти торговые технологии полностью эффективны, но просто не позволяют вам упаковать их в блокчейн;
Средства хакеров были таким образом "домашним арестом" в адресе;
Перевод должен быть зафиксирован в блокчейне: хотя хакеры контролируют значительное количество активов в адресе Sui, для перевода этих объектов, таких как USDC и SUI, необходимо инициировать транзакцию и получить подтверждение от валидаторов;
Валидаоры обладают властью жизни и смерти: если валидатор откажется упаковать, объект навсегда останется неподвижным;
Результат: Хакеры номинально "владеют" этими активами, но на самом деле ничего не могут с этим сделать.
Это как если бы у вас была банковская карта, но все банкоматы отказываются вас обслуживать. Деньги есть на карте, но снять их нельзя. При постоянном мониторинге и вмешательстве (ATM) валидаторов SUI, токены типа SUI в адрес хакера не смогут циркулировать, и эти украденные средства теперь «сгорают», объективно играя «дефляционную» роль?
Конечно, помимо временной координации валидаторов, Sui может на уровне системы предусмотреть функцию черного списка. Если это действительно так, то процесс может быть следующим: соответствующие уполномоченные лица (например, Фонд Sui или через управление) добавляют адреса хакеров в системный deny_ list, валидаторы выполняют эту системную политику и отказываются обрабатывать транзакции адресов из черного списка.
Однако как временная координация, так и выполнение системных правил требуют от большинства валидаторов единого действия. Очевидно, что распределение полномочий в сети валидаторов Sui по-прежнему слишком централизовано, и небольшое количество узлов может контролировать ключевые решения всей сети.
Однако проблема с концентрацией валидаторов в Sui не является исключением для PoS цепей — от Ethereum до BSC, большинство PoS сетей сталкиваются с аналогичными рисками концентрации валидаторов, просто в Sui эта проблема была выявлена более очевидно.
——Как сеть, которая называется децентрализованной, может обладать такой сильной централизованной "замораживающей" способностью?
Что еще хуже, официальные представители Sui заявили, что вернут замороженные средства в пул, но если действительно "валидатор отказывается упаковывать транзакцию", эти средства теоретически должны оставаться недоступными навсегда. Как Sui собирается вернуть эти средства? Это еще больше ставит под сомнение децентрализованную природу этой цепочки Sui!
Разве официальные лица, кроме нескольких централизованных валидаторов, отказывающихся от транзакций, имеют полномочия на уровне системы для прямого изменения прав собственности на активы? (Необходимо, чтобы Sui предоставил дополнительные детали о "заморозке")
Перед раскрытием конкретных деталей необходимо обсудить компромиссы, связанные с децентрализацией:
Экстренное реагирование на вмешательство: жертва небольшого уровня децентрализации всегда является плохой вещью? Если происходит хакерская атака, разве бездействие всей цепи - это то, что пользователи действительно хотят?
Я хочу сказать, что никто не хочет, чтобы деньги попали в руки хакеров, но этот шаг вызывает еще большее беспокойство на рынке: стандарты заморозки становятся совершенно «субъективными»: что считается «украденными средствами»? Кто это будет определять? Где граница? Сегодня замораживаем хакера, а завтра кого? Как только этот прецедент будет установлен, основная ценность публичной цепочки блоков в отношении сопротивления цензуре будет полностью разрушена, что неизбежно приведет к утрате доверия пользователей.
Децентрализация не является черно-белой, Sui выбрала определенную точку баланса между защитой пользователей и децентрализацией. Ключевым моментом является отсутствие прозрачного механизма управления и четких стандартов границ.
На этом этапе большинство блокчейн-проектов делают такие компромиссы, но пользователи имеют право знать правду, а не быть введенными в заблуждение ярлыком "полная децентрализация".