SUI 的困境:Децентралізація还是安全?

Криптоактиви повинні бути без централізованого контролю, це валюта, яку ніхто не може заморозити або контролювати.

Автори: Token Dispatch, Thejaswini M A, Nameet Potnis, Prathik Desai

Переклад: Block unicorn

Вступ

Криптоактиви повинні бути незалежними від централізованого контролю — це монета, яку ніхто не може заморозити або контролювати.

Минулого тижня протокол Cetus від Sui зазнав атаки на 223 мільйони доларів, команда терміново заморозила 162 мільйони доларів, але це також викликало жваву дискусію: якщо блокчейн може призупинити ваші кошти, чи є криптоактиви насправді такими незламними, як про це стверджують?

Наступні події є останніми етапами «децентралізованої» комедії Криптоактивів:

  • Як за десять хвилин зникли 223 мільйони доларів у фальшивих монет
  • Спірна подія замороження коштів: врятувала користувачів, але викликала гнів мас.
  • Чому друга велика хакерська атака цієї команди здається знайомою
  • Sui витрачає 10 мільйонів доларів на безпекову реорганізацію (і чому цього може бути недостатньо)

Десятихвилинний крах

22 травня вранці для Sui здавалося, що це просто звичайний день, поки все не змінилося. Далі все пішло шкереберть.

Протокол Cetus, найбільша децентралізована біржа під керівництвом Sui, з денним обсягом торгів понад 200 мільйонів доларів, був вкрадений на 223 мільйони доларів всього за кілька хвилин. Ефективність атаки вражає.

Катастрофа спалахнула миттєво:

  • Основні мем-монети LOFI, HIPPO та SQUIRT на ланцюгу SUI за годину впали більш ніж на 75%.
  • Нативний токен протоколу Cetus $CETUS за останні чотири дні впав на 53%.

!

Джерело: TradingView

Методи атаки? Простий, але смертельний.

Хакери розгорнули фальшиві токени на Cetus (по суті, цифрову версію валюти гри «Монополія») і використали вразливість в смарт-контракті Cetus, змусивши протокол помилково вважати, що ці безцінні токени мають справжню вартість.

Коротше кажучи, «уявіть, що ви йдете на біржу іграшок, приносите кілька підроблених іграшок, які здаються цінними, але насправді нічого не варті, а потім обмінюєте їх на справжні іграшки та тікаєте», — пояснює Манан Вора, голова зберігача криптовалют Liminal.

Централізоване заморожування

Історія на цьому етапі починає ставати досить суперечливою.

Протягом кількох годин 114 валідаторів Sui — вузлів, що підтримують мережу — колективно вирішили заморозити адресу хакера. Без голосування. Без пропозиції щодо управління. Як і будь-яке управлінське рішення, ухвалене централізованими організаціями. Ти бачиш іронію?

Результат який? 162 мільйони доларів були врятовані. А яка ціна? Роздратували всіх прихильників децентралізації.

Європейський фонд криптоактивів Cyber Capital під керівництвом Джастіна Бонса виступив проти цього кроку.

!

Джерело: користувач Твітера - Justin_Bons

Дані виявили жорстоку правду:

  • Верифікаційні вузли Sui: 114
  • Вузли верифікації Ethereum: понад 1 мільйон
  • Верифікаційні вузли Solana: 1153

Коли 114 суб'єктів можуть координувати заморожування коштів, навіть з поважних причин, це викликає тривогу щодо справжнього значення «децентралізації».

Знайома захист

Це не вперше, коли Cetus розігрує таку виставу — це не комплімент.

Та сама команда раніше керувала Crema Finance на Solana, яка у липні 2022 року була зламаною, внаслідок чого було вкрадено 9 мільйонів доларів. А як вони зреагували? Вони запропонували хакерам 1,6 мільйона доларів за повернення коштів. Хакер зрештою прийняв угоду, але, за чутками, все ж таки опинився за ґратами (деталі справи збігаються, але ніколи не були офіційно підтверджені).

Сьогодні, стикаючись з хакерською атакою, масштаб якої в 25 разів більший, ніж раніше, команда Cetus знову застосувала старий прийом і запропонувала обмежене за часом рішення.

  • План: повернення 2.17 мільярда доларів, з можливістю зберегти 600 тисяч доларів
  • Умови: не підлягає судовому переслідуванню, не підлягає допиту
  • Дата закінчення: 48 годин, інакше «будуть вжиті правові дії»

Однак криптоспільнота не сприймає це. Один з користувачів підсумував: «Одна і та ж команда, ті ж самі вразливості, різні блокчейни. Скільки ще у них буде шансів?»

Режим контролю кризи

Після того, як пил осів, дані малюють сувору картину:

  • Загальна сума заблокованих коштів (TVL): з 2,1 мільярда доларів США знизилася до 1,7 мільярда доларів США (зниження на 20%)
  • Токен SUI: знизився приблизно на 15%
  • Обсяги торгівлі: всі децентралізовані біржі Sui повністю зруйнувалися
  • Довіра користувачів: коментарі в Твіттері безжальні

!

Джерело: DefiLlama

Відповідь Sui поділяється на дві частини.

По-перше, вони пообіцяли інвестувати 10 мільйонів доларів у комплексне забезпечення безпеки:

  • Посилити аудит смарт-контрактів
  • Підвищення програми винагород за вразливості
  • Введення інструментів формальної верифікації
  • Навчання безпеки для розробників
  • Відкритий безпечний репозиторій

По-друге, вони оголосили про перехід від «платформенної відповідальності» до «спільної відповідальності». У перекладі це означає: ми не можемо взяти на себе все, розробники також повинні нести відповідальність.

Чи благородно? Так. Чи достатньо? Ринок вже дав відповідь.

У понеділок токен CETUS відскочив на 10%, перейшовши від повного краху до лише серйозного удару. Але технічні виклики набагато глибші, ніж проблеми з ціною.

Ця атака виявила фундаментальну проблему:

  • Нестача ліквідності: різкі коливання цін неминучі
  • Вразливість оракула: «винуватець» всього цього
  • Крос-ланцюговий ризик: як тільки кошти потрапляють в ефір, гра закінчується

Зараз Cetus вже виправив наявну уразливість, але відновлення довіри не є таким простим, як виправлення коду.

Отже, що їм слід робити далі?

Наша точка зору

Цей хакерський напад стосується не лише вкрадених коштів, але й кризи ідентичності криптоактивів.

Парадокс децентралізації: валідатори Sui заощадили $162 млн завдяки скоординованим діям, що доводить ефективність системи. Однак це також доводить, що 114 суб'єктів можуть ефективно контролювати екосистемну мережу, яка має бути децентралізованою. Це не та свобода, стійка до цензури, про яку мріє Сатоші Накамото чи будь-хто з прихильників децентралізації. Натомість це більше схоже на громадський патруль з ядерною зброєю. А це точно працює? Так. Чи є вона децентралізованою? Це стає відносним поняттям.

Сумнів у здібностях: Коли одна і та ж команда зазнає двох великих хакерських атак через схожі методи атаки, це вже не невдача, а закономірність. Криптоіндустрія завжди була дуже терпимою до технічних помилок, але Cetus кидає виклик суті цієї толерантності. Їхня винагорода в розмірі 6 мільйонів доларів може повернути гроші, але це не врятує їхню репутацію. У якийсь момент фраза «наступного разу ми зробимо краще» вже не приймається.

Тест на зрілість: Sui продемонструвала потенціал зростання, виділивши 10 мільйонів доларів на відновлення безпеки та впровадивши модель «спільної відповідальності». Але це реактивно, а не проактивно. Важливо подивитися, чи зможе мережа блокчейн дозріти досить швидко, щоб обробляти інституційне фінансування. З повним занепадом блокування та похитанням довіри, Sui більше не просто бореться з технічними вразливостями; Вони також борються за своє місце в дедалі більш конкурентному ландшафті L1.

Цей хакерський напад виявив тривожну істину? Ідеальна децентралізація може бути несумісною з захистом користувачів. Sui обрала захист. Ethereum в кінцевому підсумку обрав чистоту. А Bitcoin ніколи не потрібно було робити вибір.

Sui стикається з критичним вибором: чи проводити голосування в мережі для повернення заморожених коштів. Якщо це звучить знайомо, то тому, що Ethereum у 2016 році також стикався з таким самим вибором після хакерської атаки на DAO. Їхнє рішення щодо форку досі розділяє спільноту.

Водночас, хакери все ще контролюють понад 60 мільйонів доларів на Ethereum. Термін винагороди Cetus добігає кінця. Чи заберуть вони 6 мільйонів доларів і втечуть, чи ризикнуть і поставлять все на кон?

Індустрія стежить за наступними кроками Sui. Наразі екстремісти принципу «код є законом» програють практичникам, які хочуть, щоб «користувачі забрали свої гроші».

Переглянути оригінал
Контент має виключно довідковий характер і не є запрошенням до участі або пропозицією. Інвестиційні, податкові чи юридичні консультації не надаються. Перегляньте Відмову від відповідальності , щоб дізнатися більше про ризики.
  • Нагородити
  • Прокоментувати
  • Поділіться
Прокоментувати
0/400
Немає коментарів
  • Закріпити