Як може мережа, яка називається децентралізованою, мати таку сильну централізовану «заморожуючу» здатність?
Автор: Haotian
Багато людей здивовані, що Sui офіційно заявила, що @CetusProtocol була атакована хакерами, після чого мережа валідаторів «заморозила» адресу хакера, врятувавши 160 мільйонів доларів. Як це сталося? Децентралізація, чи це «брехня»? Далі, спробуємо проаналізувати з технічної точки зору:
Частина трансферу через крос-чейн міст: після успішної атаки хакерів, частина активів, таких як USDC, була негайно переведена через крос-чейн міст на інші ланцюги, такі як Ethereum. Ці кошти вже неможливо повернути, оскільки, як тільки вони покинули екосистему Sui, валідатори виявилися безсилими.
Залишки на ланцюзі Sui: все ще значна кількість вкрадених коштів зберігається на адресах Sui, контрольованих хакерами. Ця частина коштів стала об'єктом «замороження».
А відповідно до офіційного оголошення, «велику кількість валідаторів було виявлено адреси вкрадених коштів, які ігнорують транзакції за цими адресами».
——Як саме це реалізувати?
Фільтрація транзакцій на рівні валідаторів — простіше кажучи, валідатори колективно «роблять вигляд, що не бачать»:
Верифікатори на стадії пулу транзакцій (mempool) ігнорують транзакції з адрес хакерів;
Ці транзакції технічно повністю дійсні, але просто не пакуються в блокчейн;
Кошти хакерів отак і були «під домашнім арештом» на адресі;
2、Ключовий механізм об'єктної моделі Move — об'єктна модель мови Move робить можливим таке «заморожування»:
Переказ повинен бути в ланцюзі: хоча хакер контролює велику кількість активів на адресі Sui, для того щоб переказати ці об'єкти USDC, SUI тощо, потрібно ініціювати транзакцію та підтвердити її валідатором;
Верифікатор має владу над життям і смертю: якщо верифікатор відмовляється упакувати, об'єкт ніколи не зможе рухатися;
Результат: хакери номінально «володіють» цими активами, але насправді не мають жодних можливостей.
Якщо у вас є банківська картка, але всі банкомати відмовляються вам допомогти. Гроші на картці, але ви не можете їх отримати. Завдяки безперервному моніторингу та втручанню SUI верифікаційних вузлів (банкоматів) токени SUI та інші в адресах хакерів не зможуть циркулювати, ці вкрадені кошти тепер подібні до «знищених», об'єктивно виконуючи функцію «девальвації»?
Звісно, окрім тимчасової координації валідаторів, Sui, можливо, на системному рівні передбачила функцію списку відмов. Якщо це так, тоді процес може бути таким: відповідні уповноважені особи (як-от Фонд Sui або через управління) додають адреси хакерів до системного deny_list, а валідатори виконують ці системні правила, відмовляючись обробляти транзакції адрес в чорному списку.
Але незалежно від того, чи це тимчасова координація, чи виконання за системними правилами, необхідно, щоб більшість валідаторів могли діяти єдине. Очевидно, що розподіл влади в мережі валідаторів Sui все ще занадто централізований, і невелика кількість вузлів може контролювати ключові рішення по всій мережі.
А проблема з надмірною централізацією валідаторів Sui не є унікальною для PoS мереж — від Ethereum до BSC, більшість PoS мереж стикаються з подібними ризиками централізації валідаторів, просто в Sui ця проблема була виявлена більш очевидно.
——Як може бути така сильна централізована «заморожувальна» здатність у мережі, яка називається Децентралізація?
Більш того, офіційні представники Sui повідомили, що планують повернути заморожені кошти до пулу, але якщо справді верифікатори «відмовляться упакувати транзакції», ці кошти теоретично повинні залишатися недоступними назавжди. Як Sui планує повернути їх? Це ще більше ставить під сумнів децентралізовану природу цієї мережі!
Хіба, крім небагатьох централізованих валідаторів, які відмовляються від транзакцій, офіційні особи навіть мають системний суперпривілей для прямого зміни належності активів? (Потрібні додаткові деталі про «замороження» від Sui)
Перед розкриттям конкретних деталей необхідно обговорити компроміси, пов'язані з Децентралізацією:
Термінове реагування на надзвичайні ситуації, чи є жертва деякої децентралізації обов'язково поганою справою? Якщо виникає хакерська атака, чи дійсно користувачі хочуть, щоб весь ланцюг нічого не робив?
Я хочу сказати, що люди, природно, не хочуть, щоб гроші потрапляли до рук хакерів, але ще більше занепокоєння ринку викликає те, що критерії заморожування абсолютно «суб'єктивні»: що вважається «вкраденими коштами»? Хто його визначає? Де межі? Заморозити хакерів сьогодні, заморозити кого завтра? Як тільки цей прецедент буде відкритий, основна антицензурна цінність публічного ланцюга стане повністю банкрутом, що неминуче завдасть шкоди довірі користувачів.
Децентралізація не є чорно-білою, Sui обрала певну точку балансу між захистом користувачів та децентралізацією. Ключова проблема полягає в нестачі прозорих механізмів управління та чітких стандартів меж.
На даному етапі більшість блокчейн-проєктів займаються таким балансуванням, але користувачі мають право знати правду, а не бути введеними в оману маркуванням «повна децентралізація».
Контент має виключно довідковий характер і не є запрошенням до участі або пропозицією. Інвестиційні, податкові чи юридичні консультації не надаються. Перегляньте Відмову від відповідальності , щоб дізнатися більше про ризики.
Чому Sui може заморозити вкрадені у хакера 160 мільйонів доларів?
Автор: Haotian
Багато людей здивовані, що Sui офіційно заявила, що @CetusProtocol була атакована хакерами, після чого мережа валідаторів «заморозила» адресу хакера, врятувавши 160 мільйонів доларів. Як це сталося? Децентралізація, чи це «брехня»? Далі, спробуємо проаналізувати з технічної точки зору:
Частина трансферу через крос-чейн міст: після успішної атаки хакерів, частина активів, таких як USDC, була негайно переведена через крос-чейн міст на інші ланцюги, такі як Ethereum. Ці кошти вже неможливо повернути, оскільки, як тільки вони покинули екосистему Sui, валідатори виявилися безсилими.
Залишки на ланцюзі Sui: все ще значна кількість вкрадених коштів зберігається на адресах Sui, контрольованих хакерами. Ця частина коштів стала об'єктом «замороження».
А відповідно до офіційного оголошення, «велику кількість валідаторів було виявлено адреси вкрадених коштів, які ігнорують транзакції за цими адресами».
——Як саме це реалізувати?
2、Ключовий механізм об'єктної моделі Move — об'єктна модель мови Move робить можливим таке «заморожування»:
Якщо у вас є банківська картка, але всі банкомати відмовляються вам допомогти. Гроші на картці, але ви не можете їх отримати. Завдяки безперервному моніторингу та втручанню SUI верифікаційних вузлів (банкоматів) токени SUI та інші в адресах хакерів не зможуть циркулювати, ці вкрадені кошти тепер подібні до «знищених», об'єктивно виконуючи функцію «девальвації»?
Звісно, окрім тимчасової координації валідаторів, Sui, можливо, на системному рівні передбачила функцію списку відмов. Якщо це так, тоді процес може бути таким: відповідні уповноважені особи (як-от Фонд Sui або через управління) додають адреси хакерів до системного deny_list, а валідатори виконують ці системні правила, відмовляючись обробляти транзакції адрес в чорному списку.
Але незалежно від того, чи це тимчасова координація, чи виконання за системними правилами, необхідно, щоб більшість валідаторів могли діяти єдине. Очевидно, що розподіл влади в мережі валідаторів Sui все ще занадто централізований, і невелика кількість вузлів може контролювати ключові рішення по всій мережі.
А проблема з надмірною централізацією валідаторів Sui не є унікальною для PoS мереж — від Ethereum до BSC, більшість PoS мереж стикаються з подібними ризиками централізації валідаторів, просто в Sui ця проблема була виявлена більш очевидно.
——Як може бути така сильна централізована «заморожувальна» здатність у мережі, яка називається Децентралізація?
Більш того, офіційні представники Sui повідомили, що планують повернути заморожені кошти до пулу, але якщо справді верифікатори «відмовляться упакувати транзакції», ці кошти теоретично повинні залишатися недоступними назавжди. Як Sui планує повернути їх? Це ще більше ставить під сумнів децентралізовану природу цієї мережі!
Хіба, крім небагатьох централізованих валідаторів, які відмовляються від транзакцій, офіційні особи навіть мають системний суперпривілей для прямого зміни належності активів? (Потрібні додаткові деталі про «замороження» від Sui)
Перед розкриттям конкретних деталей необхідно обговорити компроміси, пов'язані з Децентралізацією:
Термінове реагування на надзвичайні ситуації, чи є жертва деякої децентралізації обов'язково поганою справою? Якщо виникає хакерська атака, чи дійсно користувачі хочуть, щоб весь ланцюг нічого не робив?
Я хочу сказати, що люди, природно, не хочуть, щоб гроші потрапляли до рук хакерів, але ще більше занепокоєння ринку викликає те, що критерії заморожування абсолютно «суб'єктивні»: що вважається «вкраденими коштами»? Хто його визначає? Де межі? Заморозити хакерів сьогодні, заморозити кого завтра? Як тільки цей прецедент буде відкритий, основна антицензурна цінність публічного ланцюга стане повністю банкрутом, що неминуче завдасть шкоди довірі користувачів.
Децентралізація не є чорно-білою, Sui обрала певну точку балансу між захистом користувачів та децентралізацією. Ключова проблема полягає в нестачі прозорих механізмів управління та чітких стандартів меж.
На даному етапі більшість блокчейн-проєктів займаються таким балансуванням, але користувачі мають право знати правду, а не бути введеними в оману маркуванням «повна децентралізація».