Birçok insan merak ediyor, Sui resmi olarak @CetusProtocol'ün bir hacker saldırısına uğradığını söyledikten sonra, doğrulayıcı ağ koordinasyonunun "dondurduğunu" ve 1.6 milyar doları kurtardığını belirtti. Bunu nasıl başardılar? Merkeziyetsizlik gerçekten bir "yalan" mı? Aşağıda, teknik bir bakış açısıyla bunu analiz etmeye çalışalım:
Köprü üzerinden transfer edilen kısım: Hacker saldırısı başarılı olduktan sonra, hemen köprü aracılığıyla bazı USDC gibi varlıklar Ethereum gibi diğer zincirlere transfer edildi. Bu fonların geri alınması artık mümkün değil, çünkü Sui ekosisteminden ayrıldıktan sonra doğrulayıcıların yapabileceği bir şey kalmıyor.
Sui zincirinde kalan kısım: Hala hacker kontrolündeki Sui adreslerinde önemli miktarda çalınan fon bulunuyor. Bu fonlar "dondurulmuş" hedef haline geldi.
Resmi duyuruya göre, "çok sayıda doğrulayıcı çalınan fon adreslerini tespit etti ve bu adreslerdeki işlemleri görmezden geliyor."
Doğrulayıcılar, işlem havuzundaki (mempool) aşamada hacker adreslerinin işlemlerini doğrudan göz ardı eder;
Bu ticaret teknikleri tamamen geçerli, ancak seni zincire eklemiyor;
Hırsızların fonları böylece adreste "ev hapsinde" kalıyor;
2、Move nesne modelinin ana mekanizması - Move dilinin nesne modeli bu tür bir "dondurma" işlemini mümkün kılar:
Transferlerin zincire kaydedilmesi gerekir: Hacker, Sui adresindeki büyük miktardaki varlıklara sahip olsa da, bu USDC, SUI gibi nesneleri transfer etmek için işlem başlatmalı ve doğrulayıcılar tarafından onaylanmalıdır;
Validator, hayat ve ölüm üzerinde tam yetkiye sahiptir: Validator paketi reddettiğinde, nesne asla hareket edemez;
Sonuç: Hacker, bu varlıkların "sahibi" gibi görünse de, aslında hiçbir şey yapamaz.
Sanki bir banka kartınız var, ama tüm ATM'ler size hizmet etmeyi reddediyor. Kartınızda para var, ama onu çekemiyorsunuz. SUI doğrulama düğümlerinin sürekli izleme ve müdahalesi (ATM) ile, hacker adreslerindeki SUI ve benzeri token'lar dolaşımda olamayacak, bu çalınan fonlar şimdi sanki "imha" edilmiş gibi, nesnel olarak "deflasyon" etkisi yaratıyor?
Elbette, doğrulayıcıların geçici koordinasyonuna ek olarak, Sui'nin sistem düzeyinde önceden ayarlanmış bir reddetme listesi özelliği olabilir. Eğer durum buysa, süreç şu şekilde olabilir: ilgili otorite (örneğin, Sui Vakfı veya yönetişim aracılığıyla) bilgisayar korsanının adresini sistemin reddetme listesine ekler ve doğrulayıcı bu sistem kuralına göre yürütür ve kara listeye alınan adresteki işlemleri gerçekleştirmeyi reddeder.
Hem geçici koordinasyon hem de sistem kurallarına göre uygulama için, çoğu doğrulayıcının ortak hareket etmesi gerekmektedir. Açıkça, Sui'nin doğrulayıcı ağındaki güç dağılımı hala fazla merkezi, birkaç düğüm tüm ağın kritik kararlarını kontrol edebiliyor.
Sui'nin doğrulayıcılarının aşırı merkezileşme sorunu, PoS zincirinin tek örneği değil - Ethereum'dan BSC'ye kadar, çoğu PoS ağı benzer doğrulayıcı merkezileşme riskiyle karşı karşıya. Sui bu sefer sorunu daha belirgin hale getirdi.
——Merkeziyetsiz bir ağ nasıl bu kadar güçlü bir merkeziyetçi "dondurma" yeteneğine sahip olabilir?
Daha da kötü olanı, Sui resmi olarak dondurulan fonları havuza geri vereceğini belirtmişken, eğer gerçekten doğrulayıcılar "işlemleri paketlemeyi reddederse", bu fonlar teorik olarak asla hareket edemez. Sui bunu nasıl geri veriyor? Bu, Sui zincirinin merkeziyetsizlik özelliklerini daha da zorlayacak!
Acaba, azınlık merkezi doğrulayıcıların işlemleri reddetmesi dışında, resmi olarak sistem düzeyinde süper yetkilere sahip olup varlık sahipliğini doğrudan değiştirebilirler mi? (Sui'nin "dondurma" detaylarını daha fazla vermesi gerekiyor)
Belirli detaylar açıklanmadan önce, merkeziyetsizliğin avantajları ve dezavantajları hakkında bir tartışma yapmak gereklidir:
Aceli acil yanıt müdahalesi, merkeziyetsizliğin bir miktarını feda etmek her zaman kötü bir şey midir? Bir siber saldırıyla karşılaşıldığında, tüm zincirin hiçbir şey yapmaması kullanıcıların istediği bir durum mudur?
Söylemek istediğim şey, insanların doğal olarak paranın bilgisayar korsanlarının eline geçmesini istemedikleri, ancak piyasayı daha fazla endişelendiren şey, dondurma kriterlerinin tamamen "öznel" olmasıdır: Neler "çalınan fonlar" olarak sayılır? Kim tanımlıyor? Sınırlar nerede? Bugün bilgisayar korsanlarını dondurun, yarın kimi dondurun? Bu emsal açılır açılmaz, halka açık zincirin temel sansür karşıtı değeri tamamen iflas edecek ve bu da kaçınılmaz olarak kullanıcı güvenine zarar verecektir.
Merkeziyetsizlik sadece siyah ya da beyaz değildir, Sui kullanıcı koruması ile merkeziyetsizlik arasında belirli bir denge noktası seçmiştir. Anahtar sorun, şeffaf bir yönetişim mekanizmasının ve net sınır standartlarının eksikliğidir.
Şu aşamada, blockchain projelerinin çoğu bu tür bir denge kuruyor, ancak kullanıcıların gerçeği bilme hakkı vardır, yanıltıcı 'tamamen merkeziyetsiz' etiketleriyle değil.
The content is for reference only, not a solicitation or offer. No investment, tax, or legal advice provided. See Disclaimer for more risks disclosure.
Teknik Analiz: Sui, hackerların elinden 160 milyon doları nasıl "donduruyor"?
Yazar: Haotian
Birçok insan merak ediyor, Sui resmi olarak @CetusProtocol'ün bir hacker saldırısına uğradığını söyledikten sonra, doğrulayıcı ağ koordinasyonunun "dondurduğunu" ve 1.6 milyar doları kurtardığını belirtti. Bunu nasıl başardılar? Merkeziyetsizlik gerçekten bir "yalan" mı? Aşağıda, teknik bir bakış açısıyla bunu analiz etmeye çalışalım:
Köprü üzerinden transfer edilen kısım: Hacker saldırısı başarılı olduktan sonra, hemen köprü aracılığıyla bazı USDC gibi varlıklar Ethereum gibi diğer zincirlere transfer edildi. Bu fonların geri alınması artık mümkün değil, çünkü Sui ekosisteminden ayrıldıktan sonra doğrulayıcıların yapabileceği bir şey kalmıyor.
Sui zincirinde kalan kısım: Hala hacker kontrolündeki Sui adreslerinde önemli miktarda çalınan fon bulunuyor. Bu fonlar "dondurulmuş" hedef haline geldi.
Resmi duyuruya göre, "çok sayıda doğrulayıcı çalınan fon adreslerini tespit etti ve bu adreslerdeki işlemleri görmezden geliyor."
——Peki, bunu nasıl gerçekleştireceğiz?
Doğrulayıcılar, işlem havuzundaki (mempool) aşamada hacker adreslerinin işlemlerini doğrudan göz ardı eder;
Bu ticaret teknikleri tamamen geçerli, ancak seni zincire eklemiyor;
Hırsızların fonları böylece adreste "ev hapsinde" kalıyor;
2、Move nesne modelinin ana mekanizması - Move dilinin nesne modeli bu tür bir "dondurma" işlemini mümkün kılar:
Transferlerin zincire kaydedilmesi gerekir: Hacker, Sui adresindeki büyük miktardaki varlıklara sahip olsa da, bu USDC, SUI gibi nesneleri transfer etmek için işlem başlatmalı ve doğrulayıcılar tarafından onaylanmalıdır;
Validator, hayat ve ölüm üzerinde tam yetkiye sahiptir: Validator paketi reddettiğinde, nesne asla hareket edemez;
Sonuç: Hacker, bu varlıkların "sahibi" gibi görünse de, aslında hiçbir şey yapamaz.
Sanki bir banka kartınız var, ama tüm ATM'ler size hizmet etmeyi reddediyor. Kartınızda para var, ama onu çekemiyorsunuz. SUI doğrulama düğümlerinin sürekli izleme ve müdahalesi (ATM) ile, hacker adreslerindeki SUI ve benzeri token'lar dolaşımda olamayacak, bu çalınan fonlar şimdi sanki "imha" edilmiş gibi, nesnel olarak "deflasyon" etkisi yaratıyor?
Elbette, doğrulayıcıların geçici koordinasyonuna ek olarak, Sui'nin sistem düzeyinde önceden ayarlanmış bir reddetme listesi özelliği olabilir. Eğer durum buysa, süreç şu şekilde olabilir: ilgili otorite (örneğin, Sui Vakfı veya yönetişim aracılığıyla) bilgisayar korsanının adresini sistemin reddetme listesine ekler ve doğrulayıcı bu sistem kuralına göre yürütür ve kara listeye alınan adresteki işlemleri gerçekleştirmeyi reddeder.
Hem geçici koordinasyon hem de sistem kurallarına göre uygulama için, çoğu doğrulayıcının ortak hareket etmesi gerekmektedir. Açıkça, Sui'nin doğrulayıcı ağındaki güç dağılımı hala fazla merkezi, birkaç düğüm tüm ağın kritik kararlarını kontrol edebiliyor.
Sui'nin doğrulayıcılarının aşırı merkezileşme sorunu, PoS zincirinin tek örneği değil - Ethereum'dan BSC'ye kadar, çoğu PoS ağı benzer doğrulayıcı merkezileşme riskiyle karşı karşıya. Sui bu sefer sorunu daha belirgin hale getirdi.
——Merkeziyetsiz bir ağ nasıl bu kadar güçlü bir merkeziyetçi "dondurma" yeteneğine sahip olabilir?
Daha da kötü olanı, Sui resmi olarak dondurulan fonları havuza geri vereceğini belirtmişken, eğer gerçekten doğrulayıcılar "işlemleri paketlemeyi reddederse", bu fonlar teorik olarak asla hareket edemez. Sui bunu nasıl geri veriyor? Bu, Sui zincirinin merkeziyetsizlik özelliklerini daha da zorlayacak!
Acaba, azınlık merkezi doğrulayıcıların işlemleri reddetmesi dışında, resmi olarak sistem düzeyinde süper yetkilere sahip olup varlık sahipliğini doğrudan değiştirebilirler mi? (Sui'nin "dondurma" detaylarını daha fazla vermesi gerekiyor)
Belirli detaylar açıklanmadan önce, merkeziyetsizliğin avantajları ve dezavantajları hakkında bir tartışma yapmak gereklidir:
Aceli acil yanıt müdahalesi, merkeziyetsizliğin bir miktarını feda etmek her zaman kötü bir şey midir? Bir siber saldırıyla karşılaşıldığında, tüm zincirin hiçbir şey yapmaması kullanıcıların istediği bir durum mudur?
Söylemek istediğim şey, insanların doğal olarak paranın bilgisayar korsanlarının eline geçmesini istemedikleri, ancak piyasayı daha fazla endişelendiren şey, dondurma kriterlerinin tamamen "öznel" olmasıdır: Neler "çalınan fonlar" olarak sayılır? Kim tanımlıyor? Sınırlar nerede? Bugün bilgisayar korsanlarını dondurun, yarın kimi dondurun? Bu emsal açılır açılmaz, halka açık zincirin temel sansür karşıtı değeri tamamen iflas edecek ve bu da kaçınılmaz olarak kullanıcı güvenine zarar verecektir.
Merkeziyetsizlik sadece siyah ya da beyaz değildir, Sui kullanıcı koruması ile merkeziyetsizlik arasında belirli bir denge noktası seçmiştir. Anahtar sorun, şeffaf bir yönetişim mekanizmasının ve net sınır standartlarının eksikliğidir.
Şu aşamada, blockchain projelerinin çoğu bu tür bir denge kuruyor, ancak kullanıcıların gerçeği bilme hakkı vardır, yanıltıcı 'tamamen merkeziyetsiz' etiketleriyle değil.