Le 22 mai, le DEX Cetus de l'écosystème Sui a été victime d'un vol de 223 millions de dollars. Parmi cela, seuls 60 millions de dollars ont été échangés en ETH via un pont inter-chaînes et ont été versés dans la poche des hackers, tandis que les 162 millions de dollars restants ont été gelés par la fondation Sui en coordination avec les nœuds.
Le 27 mai, le vote communautaire a été lancé pour "décider s'il faut mettre en œuvre une mise à niveau du protocole afin de récupérer les fonds gelés dans des comptes contrôlés par des hackers". La mise à niveau du protocole a finalement été réalisée, et 162 millions de fonds ont été récupérés avec succès.
La réponse rapide de la fondation Sui à cet incident de vol et la solution rapidement mise en place ont également suscité de vives controverses au sein de la communauté. D'une part, elle a récupéré la majeure partie des fonds, garantissant ainsi les intérêts des utilisateurs victimes du vol. D'autre part, la méthode de récupération a été de forcer la modification de l'appartenance des actifs par consensus des nœuds, ce qui représente la première fois qu'un "transfert d'actifs sans clé privée" est réalisé au niveau de la chaîne publique.
Face aux intérêts des utilisateurs, cette opération si "audacieuse" qui va à l'encontre de l'esprit de "décentralisation" a été ainsi ignorée.
Comment le transfert d'actifs sans clé privée est-il réalisé ?
Le 22 mai, le DEX Cetus de l'écosystème Sui a été attaqué par des hackers en raison d'une erreur de code de bas niveau, entraînant une perte de 223 millions de dollars. Après l'incident, 162 millions de dollars des fonds volés ont été gelés par la fondation Sui en coordination avec les nœuds de validation.
Le 27 mai, la Fondation Sui a encouragé un vote communautaire, visant à décider de la mise en œuvre d'une mise à niveau du protocole pour récupérer les fonds gelés dans des comptes contrôlés par des hackers. Finalement, dans les 48 heures, 114 nœuds ont participé, avec 103 votes exprimés, 99 votes pour, 2 votes contre et 2 abstentions, le projet a été approuvé avec 90,9 % des voix.
La proposition indique également une mise à niveau du protocole Sui, ce qui permettra à une adresse spécifique de représenter l'adresse du hacker pour effectuer deux transactions, afin de faciliter le recouvrement des fonds. Ces transactions seront conçues et publiées après que l'adresse de récupération aura été finalisée. Les actifs récupérés seront conservés dans un portefeuille multi-signatures contrôlé par OtterSec, un auditeur de confiance au sein de Cetus, de la fondation Sui et de la communauté Sui.
Au niveau de la mise à niveau du protocole, introduction de la fonctionnalité d'aliasing d'adresse, plus précisément en définissant des règles au niveau du protocole : déguiser certaines opérations de gouvernance en "signature légitime d'un compte de hacker", puis les nœuds de validation reconnaissent cette signature falsifiée après la mise à niveau, légalisant ainsi le transfert de fonds gelés. Cela permet donc, sans toucher à la clé privée, de modifier de manière forcée l'appartenance des actifs par le consensus des nœuds (ce qui est similaire au transfert de fonds après que la banque centrale a gelé les comptes bancaires).
Mais comment les actifs gelés ont-ils été initialement réalisés ? Sui prend en charge la fonctionnalité de liste de refus (Deny list) et de jetons réglementés (Regulated tokens). Cette fois, l'interface de gel a été directement appelée pour verrouiller l'adresse du hacker.
Les risques techniques laissés par l'intervention des puissances
Bien que cette action ait permis de récupérer la majeure partie des actifs gelés, elle suscite néanmoins des inquiétudes, car la mise à niveau du protocole a modifié de force la propriété des actifs par le consensus des nœuds, ce qui signifie que les responsables de Sui peuvent remplacer n'importe quelle adresse pour signer, permettant ainsi de transférer les actifs qu'elle contient.
La capacité de l'équipe officielle de Sui à agir de cette façon ne repose pas sur le code des contrats intelligents, mais sur les droits de vote des nœuds. Et qui détient le résultat des votes des nœuds ? Cela revient simplement à de grands nœuds contrôlés par des fonds ayant du capital ! En d'autres termes, les parties prenantes officielles de Sui détiennent le plus grand pouvoir de décision, et même le vote n'est qu'une formalité.
La clé privée de l'utilisateur n'est plus un certificat de contrôle absolu des actifs, tant que le consensus des nœuds est d'accord, la couche de protocole peut directement écraser les droits de la clé privée.
Cependant, d'autre part, cela a permis une récupération efficace des actifs, un gel rapide des actifs, grâce aux fonctionnalités de réglementation intégrées dans Sui, ce qui a également permis de minimiser rapidement les pertes. Le vote a été complété dans les 48 heures et la mise à niveau du protocole a été mise en œuvre.
Cependant, selon l'auteur, la fonctionnalité de l'aliasing d'adresse crée un précédent dangereux - la couche de protocole peut falsifier toute "opération légitime" d'adresse, ce qui jette les bases d'une intervention autoritaire.
Et cette série d'opérations de récupération de fonds par Sui n'est rien d'autre que le choix de la blockchain publique de prendre des décisions du point de vue des intérêts des utilisateurs lorsque les intérêts des utilisateurs entrent en conflit avec le principe de décentralisation. Et quant à savoir si cela va à l'encontre du principe de décentralisation, cela semble être sans importance pour les utilisateurs et Sui, après tout, lorsqu'ils sont remis en question, ils peuvent toujours répondre que c'était une décision "votée".
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Cetus a récupéré des fonds volés "Décentralisation" a fait des concessions sur les intérêts des utilisateurs
Jessy, Finance en Or
Le 22 mai, le DEX Cetus de l'écosystème Sui a été victime d'un vol de 223 millions de dollars. Parmi cela, seuls 60 millions de dollars ont été échangés en ETH via un pont inter-chaînes et ont été versés dans la poche des hackers, tandis que les 162 millions de dollars restants ont été gelés par la fondation Sui en coordination avec les nœuds.
Le 27 mai, le vote communautaire a été lancé pour "décider s'il faut mettre en œuvre une mise à niveau du protocole afin de récupérer les fonds gelés dans des comptes contrôlés par des hackers". La mise à niveau du protocole a finalement été réalisée, et 162 millions de fonds ont été récupérés avec succès.
La réponse rapide de la fondation Sui à cet incident de vol et la solution rapidement mise en place ont également suscité de vives controverses au sein de la communauté. D'une part, elle a récupéré la majeure partie des fonds, garantissant ainsi les intérêts des utilisateurs victimes du vol. D'autre part, la méthode de récupération a été de forcer la modification de l'appartenance des actifs par consensus des nœuds, ce qui représente la première fois qu'un "transfert d'actifs sans clé privée" est réalisé au niveau de la chaîne publique.
Face aux intérêts des utilisateurs, cette opération si "audacieuse" qui va à l'encontre de l'esprit de "décentralisation" a été ainsi ignorée.
Comment le transfert d'actifs sans clé privée est-il réalisé ?
Le 22 mai, le DEX Cetus de l'écosystème Sui a été attaqué par des hackers en raison d'une erreur de code de bas niveau, entraînant une perte de 223 millions de dollars. Après l'incident, 162 millions de dollars des fonds volés ont été gelés par la fondation Sui en coordination avec les nœuds de validation.
Le 27 mai, la Fondation Sui a encouragé un vote communautaire, visant à décider de la mise en œuvre d'une mise à niveau du protocole pour récupérer les fonds gelés dans des comptes contrôlés par des hackers. Finalement, dans les 48 heures, 114 nœuds ont participé, avec 103 votes exprimés, 99 votes pour, 2 votes contre et 2 abstentions, le projet a été approuvé avec 90,9 % des voix.
La proposition indique également une mise à niveau du protocole Sui, ce qui permettra à une adresse spécifique de représenter l'adresse du hacker pour effectuer deux transactions, afin de faciliter le recouvrement des fonds. Ces transactions seront conçues et publiées après que l'adresse de récupération aura été finalisée. Les actifs récupérés seront conservés dans un portefeuille multi-signatures contrôlé par OtterSec, un auditeur de confiance au sein de Cetus, de la fondation Sui et de la communauté Sui.
Au niveau de la mise à niveau du protocole, introduction de la fonctionnalité d'aliasing d'adresse, plus précisément en définissant des règles au niveau du protocole : déguiser certaines opérations de gouvernance en "signature légitime d'un compte de hacker", puis les nœuds de validation reconnaissent cette signature falsifiée après la mise à niveau, légalisant ainsi le transfert de fonds gelés. Cela permet donc, sans toucher à la clé privée, de modifier de manière forcée l'appartenance des actifs par le consensus des nœuds (ce qui est similaire au transfert de fonds après que la banque centrale a gelé les comptes bancaires).
Mais comment les actifs gelés ont-ils été initialement réalisés ? Sui prend en charge la fonctionnalité de liste de refus (Deny list) et de jetons réglementés (Regulated tokens). Cette fois, l'interface de gel a été directement appelée pour verrouiller l'adresse du hacker.
Les risques techniques laissés par l'intervention des puissances
Bien que cette action ait permis de récupérer la majeure partie des actifs gelés, elle suscite néanmoins des inquiétudes, car la mise à niveau du protocole a modifié de force la propriété des actifs par le consensus des nœuds, ce qui signifie que les responsables de Sui peuvent remplacer n'importe quelle adresse pour signer, permettant ainsi de transférer les actifs qu'elle contient.
La capacité de l'équipe officielle de Sui à agir de cette façon ne repose pas sur le code des contrats intelligents, mais sur les droits de vote des nœuds. Et qui détient le résultat des votes des nœuds ? Cela revient simplement à de grands nœuds contrôlés par des fonds ayant du capital ! En d'autres termes, les parties prenantes officielles de Sui détiennent le plus grand pouvoir de décision, et même le vote n'est qu'une formalité.
La clé privée de l'utilisateur n'est plus un certificat de contrôle absolu des actifs, tant que le consensus des nœuds est d'accord, la couche de protocole peut directement écraser les droits de la clé privée.
Cependant, d'autre part, cela a permis une récupération efficace des actifs, un gel rapide des actifs, grâce aux fonctionnalités de réglementation intégrées dans Sui, ce qui a également permis de minimiser rapidement les pertes. Le vote a été complété dans les 48 heures et la mise à niveau du protocole a été mise en œuvre.
Cependant, selon l'auteur, la fonctionnalité de l'aliasing d'adresse crée un précédent dangereux - la couche de protocole peut falsifier toute "opération légitime" d'adresse, ce qui jette les bases d'une intervention autoritaire.
Et cette série d'opérations de récupération de fonds par Sui n'est rien d'autre que le choix de la blockchain publique de prendre des décisions du point de vue des intérêts des utilisateurs lorsque les intérêts des utilisateurs entrent en conflit avec le principe de décentralisation. Et quant à savoir si cela va à l'encontre du principe de décentralisation, cela semble être sans importance pour les utilisateurs et Sui, après tout, lorsqu'ils sont remis en question, ils peuvent toujours répondre que c'était une décision "votée".