في 22 مايو، تم سرقة 223 مليون دولار من DEX Cetus في نظام Sui البيئي. من بين ذلك، تم تحويل 60 مليون دولار فقط عبر جسر متعدد السلاسل إلى محفظة القراصنة، بينما تم تجميد 162 مليون دولار المتبقية بواسطة مؤسسة Sui التي تنسق العقد.
في 27 مايو، تم بدء تصويت المجتمع "لتحديد ما إذا كان سيتم تنفيذ ترقية البروتوكول لاسترداد الأموال المجمدة في الحسابات التي تسيطر عليها القراصنة". تم تنفيذ ترقية البروتوكول في النهاية، وتم استرداد 162 مليون من الأموال بنجاح.
أثارت الاستجابة السريعة لمؤسسة Sui تجاه حادثة السرقة هذه والحل الذي تم طرحه بسرعة جدلاً كبيرًا داخل المجتمع. من ناحية، استردت معظم الأموال وضمنت مصالح المستخدمين الذين تعرضوا للسرقة، ومن ناحية أخرى، كانت طريقة الاسترداد من خلال إجماع العقد لإجبار تعديل ملكية الأصول، وهذه هي المرة الأولى التي يتم فيها تنفيذ "نقل الأصول بدون مفتاح خاص" على مستوى سلسلة الكتل العامة.
أُهمل هذا الإجراء "الجريء" الذي يتعارض مع "روح اللامركزية" أمام مصالح المستخدمين.
كيف يتم تنفيذ نقل الأصول بدون مفتاح؟
في 22 مايو، تعرض DEX Cetus في نظام Sui البيئي للاختراق بسبب خطأ برمجي بسيط، مما أدى إلى خسارة 2.23 مليار دولار. بعد وقوع الحادث، تم تجميد 1.62 مليار دولار من الأموال المسروقة بواسطة مؤسسة Sui التي نسقت مع عقد التحقق.
في 27 مايو، قامت مؤسسة Sui بدفع المجتمع للتصويت، وكان الهدف من هذه الفرصة التصويتية هو تحديد ما إذا كان سيتم تنفيذ ترقية البروتوكول لاستعادة الأموال المجمدة في حسابات يسيطر عليها القراصنة. في النهاية، خلال 48 ساعة، صوت 114 عقدًا وشارك 103 في التصويت، 99 صوتًا لصالح، و2 صوتًا ضد، و2 صوتًا بالامتناع، وقد تم تمرير الاقتراح بنسبة تصويت مرتفعة بلغت 90.9%.
من خلال الاقتراح، يعني ذلك ترقية بروتوكول Sui، مما سيسمح لعنوان معين بتمثيل عنوان الهاكر لإجراء عمليتين، لتسهيل استرداد الأموال. سيتم تصميم هذه المعاملات وسيتم الإعلان عنها بعد تحديد عنوان الاسترداد بشكل نهائي. سيتم الاحتفاظ بالأصول المستردة في محفظة متعددة التوقيعات يتم التحكم بها بواسطة OtterSec، المدقق الموثوق به من قبل Cetus ومؤسسة Sui ومجتمع Sui.
على مستوى ترقية البروتوكول، تم إدخال وظيفة aliasing (اسم مستعار للعناوين)، وبالتحديد، تم تعريف القواعد مسبقًا على مستوى البروتوكول: يتم تمويه عمليات الحوكمة المحددة ك"توقيع قانوني لحسابات القراصنة"، ثم يقوم العقدة بالتحقق من أن التوقيع المزيف مقبول بعد الترقية، مما يجعل نقل الأموال المجمدة قانونيًا. وهذا يجعل من الممكن، دون المساس بالمفتاح الخاص، تعديل ملكية الأصول من خلال توافق العقد (وهذا مشابه لتجميد البنك المركزي لحسابات البنوك ثم نقل الأموال).
كيف تم تنفيذ تجميد الأصول في البداية؟ تدعم Sui في حد ذاتها وظيفة قائمة الرفض (Deny list) والرموز الخاضعة للتنظيم (Regulated tokens)، وفي هذه المرة تم استدعاء واجهة التجميد مباشرة لقفل عنوان المتسلل.
التداعيات التقنية للتدخل القوي المتبقي
على الرغم من أن هذه الخطوة قد استردت معظم الأصول المجمدة، إلا أنها تثير القلق، لأن ترقية البروتوكول قد فرضت تعديل ملكية الأصول من خلال توافق عقدة، مما يعني أن فريق Sui يمكنه استبدال أي عنوان للتوقيع، وبالتالي سحب الأصول الموجودة فيه.
إن ما يحدد ما إذا كان بإمكان Sui الرسمي القيام بذلك ليس هو كود العقد الذكي، بل هو حق التصويت الخاص بالعقد، ومن الذي يمتلك نتائج تصويت العقد؟ إنه ببساطة العقد الكبير الذي تسيطر عليه المؤسسة بسبب رأس المال! بمعنى آخر، فإن الأطراف المعنية في Sui الرسمي تمتلك أكبر قدر من السلطة على الكلام، حتى لو كانت هناك تصويت، فهو لا يعدو كونه مجرد إجراء شكلي.
لم يعد المفتاح الخاص للمستخدم هو الشهادة المطلقة للتحكم في الأصول، طالما أن توافق العقدة متفق عليه، يمكن لطبقة البروتوكول تجاوز صلاحيات المفتاح الخاص مباشرة.
ولكن من ناحية أخرى، تحقق هذا كفاءة عالية في استرداد الأصول، وتجميد الأصول بسرعة، بفضل الوظائف التنظيمية المدمجة في Sui، مما يسمح بتقليل الخسائر بسرعة، حيث تم الانتهاء من التصويت خلال 48 ساعة، وتم تنفيذ ترقية البروتوكول.
لكن في رأي الكاتب، فإن ميزة ت aliasing عنوان قد أنشأت سابقة خطيرة - حيث يمكن للبروتوكولات تزوير "العمليات الشرعية" لأي عنوان، مما يزرع بذور التدخل السلطوي من الناحية التقنية.
لكن سلسلة العمليات لاسترداد الأموال من Sui هذه المرة لم تكن سوى اختيار من جانب شبكة البلوكتشين للوقوف مع مصلحة المستخدمين عندما تتعارض مع مبادئ اللامركزية. وبالنسبة لما إذا كان ذلك يتعارض مع مبادئ اللامركزية، يبدو أنه ليس مهمًا للمستخدمين وSui على حد سواء، فبعد كل شيء، يمكنهم الرد عند تعرضهم للتشكيك بالقول إنه تم "تحديده عبر التصويت".
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تم استرداد الأموال المسروقة من Cetus و"اللامركزية" تنازلت عن مصالح المستخدمين
جيسي، المالية الذهبية
في 22 مايو، تم سرقة 223 مليون دولار من DEX Cetus في نظام Sui البيئي. من بين ذلك، تم تحويل 60 مليون دولار فقط عبر جسر متعدد السلاسل إلى محفظة القراصنة، بينما تم تجميد 162 مليون دولار المتبقية بواسطة مؤسسة Sui التي تنسق العقد.
في 27 مايو، تم بدء تصويت المجتمع "لتحديد ما إذا كان سيتم تنفيذ ترقية البروتوكول لاسترداد الأموال المجمدة في الحسابات التي تسيطر عليها القراصنة". تم تنفيذ ترقية البروتوكول في النهاية، وتم استرداد 162 مليون من الأموال بنجاح.
أثارت الاستجابة السريعة لمؤسسة Sui تجاه حادثة السرقة هذه والحل الذي تم طرحه بسرعة جدلاً كبيرًا داخل المجتمع. من ناحية، استردت معظم الأموال وضمنت مصالح المستخدمين الذين تعرضوا للسرقة، ومن ناحية أخرى، كانت طريقة الاسترداد من خلال إجماع العقد لإجبار تعديل ملكية الأصول، وهذه هي المرة الأولى التي يتم فيها تنفيذ "نقل الأصول بدون مفتاح خاص" على مستوى سلسلة الكتل العامة.
أُهمل هذا الإجراء "الجريء" الذي يتعارض مع "روح اللامركزية" أمام مصالح المستخدمين.
كيف يتم تنفيذ نقل الأصول بدون مفتاح؟
في 22 مايو، تعرض DEX Cetus في نظام Sui البيئي للاختراق بسبب خطأ برمجي بسيط، مما أدى إلى خسارة 2.23 مليار دولار. بعد وقوع الحادث، تم تجميد 1.62 مليار دولار من الأموال المسروقة بواسطة مؤسسة Sui التي نسقت مع عقد التحقق.
في 27 مايو، قامت مؤسسة Sui بدفع المجتمع للتصويت، وكان الهدف من هذه الفرصة التصويتية هو تحديد ما إذا كان سيتم تنفيذ ترقية البروتوكول لاستعادة الأموال المجمدة في حسابات يسيطر عليها القراصنة. في النهاية، خلال 48 ساعة، صوت 114 عقدًا وشارك 103 في التصويت، 99 صوتًا لصالح، و2 صوتًا ضد، و2 صوتًا بالامتناع، وقد تم تمرير الاقتراح بنسبة تصويت مرتفعة بلغت 90.9%.
من خلال الاقتراح، يعني ذلك ترقية بروتوكول Sui، مما سيسمح لعنوان معين بتمثيل عنوان الهاكر لإجراء عمليتين، لتسهيل استرداد الأموال. سيتم تصميم هذه المعاملات وسيتم الإعلان عنها بعد تحديد عنوان الاسترداد بشكل نهائي. سيتم الاحتفاظ بالأصول المستردة في محفظة متعددة التوقيعات يتم التحكم بها بواسطة OtterSec، المدقق الموثوق به من قبل Cetus ومؤسسة Sui ومجتمع Sui.
على مستوى ترقية البروتوكول، تم إدخال وظيفة aliasing (اسم مستعار للعناوين)، وبالتحديد، تم تعريف القواعد مسبقًا على مستوى البروتوكول: يتم تمويه عمليات الحوكمة المحددة ك"توقيع قانوني لحسابات القراصنة"، ثم يقوم العقدة بالتحقق من أن التوقيع المزيف مقبول بعد الترقية، مما يجعل نقل الأموال المجمدة قانونيًا. وهذا يجعل من الممكن، دون المساس بالمفتاح الخاص، تعديل ملكية الأصول من خلال توافق العقد (وهذا مشابه لتجميد البنك المركزي لحسابات البنوك ثم نقل الأموال).
كيف تم تنفيذ تجميد الأصول في البداية؟ تدعم Sui في حد ذاتها وظيفة قائمة الرفض (Deny list) والرموز الخاضعة للتنظيم (Regulated tokens)، وفي هذه المرة تم استدعاء واجهة التجميد مباشرة لقفل عنوان المتسلل.
التداعيات التقنية للتدخل القوي المتبقي
على الرغم من أن هذه الخطوة قد استردت معظم الأصول المجمدة، إلا أنها تثير القلق، لأن ترقية البروتوكول قد فرضت تعديل ملكية الأصول من خلال توافق عقدة، مما يعني أن فريق Sui يمكنه استبدال أي عنوان للتوقيع، وبالتالي سحب الأصول الموجودة فيه.
إن ما يحدد ما إذا كان بإمكان Sui الرسمي القيام بذلك ليس هو كود العقد الذكي، بل هو حق التصويت الخاص بالعقد، ومن الذي يمتلك نتائج تصويت العقد؟ إنه ببساطة العقد الكبير الذي تسيطر عليه المؤسسة بسبب رأس المال! بمعنى آخر، فإن الأطراف المعنية في Sui الرسمي تمتلك أكبر قدر من السلطة على الكلام، حتى لو كانت هناك تصويت، فهو لا يعدو كونه مجرد إجراء شكلي.
لم يعد المفتاح الخاص للمستخدم هو الشهادة المطلقة للتحكم في الأصول، طالما أن توافق العقدة متفق عليه، يمكن لطبقة البروتوكول تجاوز صلاحيات المفتاح الخاص مباشرة.
ولكن من ناحية أخرى، تحقق هذا كفاءة عالية في استرداد الأصول، وتجميد الأصول بسرعة، بفضل الوظائف التنظيمية المدمجة في Sui، مما يسمح بتقليل الخسائر بسرعة، حيث تم الانتهاء من التصويت خلال 48 ساعة، وتم تنفيذ ترقية البروتوكول.
لكن في رأي الكاتب، فإن ميزة ت aliasing عنوان قد أنشأت سابقة خطيرة - حيث يمكن للبروتوكولات تزوير "العمليات الشرعية" لأي عنوان، مما يزرع بذور التدخل السلطوي من الناحية التقنية.
لكن سلسلة العمليات لاسترداد الأموال من Sui هذه المرة لم تكن سوى اختيار من جانب شبكة البلوكتشين للوقوف مع مصلحة المستخدمين عندما تتعارض مع مبادئ اللامركزية. وبالنسبة لما إذا كان ذلك يتعارض مع مبادئ اللامركزية، يبدو أنه ليس مهمًا للمستخدمين وSui على حد سواء، فبعد كل شيء، يمكنهم الرد عند تعرضهم للتشكيك بالقول إنه تم "تحديده عبر التصويت".