Beaucoup de gens se demandent comment, après que le @CetusProtocol a été attaqué par des hackers, le réseau des validateurs a « gelé » l'adresse du hacker et a récupéré 160 millions de dollars. Comment ont-ils réussi cela ? La décentralisation est-elle vraiment un « mensonge » ? Voici une tentative d'analyse du point de vue technique :
Partie du transfert via le pont inter-chaînes : après le succès d'une attaque de hacker, une partie des actifs tels que l'USDC a été immédiatement transférée vers d'autres chaînes comme Ethereum via le pont inter-chaînes. Cette partie des fonds ne peut plus être récupérée, car une fois sortis de l'écosystème Sui, les validateurs ne peuvent plus rien faire.
Partie toujours sur la chaîne Sui : un nombre considérable de fonds volés est encore stocké dans des adresses Sui contrôlées par des hackers. Cette partie des fonds est devenue l'objectif de la "gelée".
Selon l'annonce officielle, « de nombreux validateurs ont identifié les adresses des fonds volés et ignorent les transactions sur ces adresses ».
——Comment cela peut-il être réalisé concrètement ?
1、Filtrage des transactions au niveau des validateurs——En d'autres termes, les validateurs font semblant de ne pas voir :
Les validateurs ignorent directement les transactions des adresses de hacker à l'étape de la mémoire des transactions (mempool) ;
Ces techniques de transaction sont techniquement entièrement valables, mais elles ne vous permettent tout simplement pas d'être empaquetées sur la chaîne ;
Les fonds du hacker sont ainsi « assignés à résidence » dans l'adresse ;
Mécanisme clé du modèle d'objet Move - Le modèle d'objet du langage Move rend cette "gel" réalisable :
La transfert doit être enregistré sur la chaîne : bien que les hackers contrôlent un grand nombre d'actifs dans l'adresse Sui, pour transférer ces objets comme USDC, SUI, il est nécessaire d'initier une transaction et d'être confirmé par les validateurs ;
Les validateurs détiennent le pouvoir de vie et de mort : si un validateur refuse de packager, l'objet ne pourra jamais bouger ;
Résultat : les hackers « possèdent » ces actifs en théorie, mais en réalité, ils n'ont aucun moyen.
C'est comme si vous aviez une carte bancaire, mais tous les DAB refusaient de vous servir. L'argent est sur la carte, mais vous ne pouvez pas le retirer. Grâce à la surveillance et à l'intervention continues des nœuds de validation SUI (DAB), les tokens SUI et autres dans les adresses de hackers ne pourront pas circuler, ces fonds volés sont maintenant comme s'ils étaient « détruits », jouant objectivement un rôle de « déflation » ?
Bien sûr, en plus de la coordination temporaire des validateurs, Sui pourrait avoir intégré une fonction de liste de refus au niveau du système. Si c'est le cas, le processus pourrait être le suivant : les parties concernées (comme la Sui Foundation ou par le biais de la gouvernance) ajoutent les adresses des hackers à la deny_list du système, et les validateurs exécutent cette règle système en refusant de traiter les transactions des adresses sur la liste noire.
Que ce soit pour une coordination temporaire ou pour une exécution selon des règles systématiques, il est nécessaire que la majorité des validateurs puissent agir de manière unifiée. Il est évident que la répartition du pouvoir au sein du réseau de validateurs de Sui reste trop centralisée, quelques nœuds pouvant contrôler les décisions clés du réseau.
Le problème de la concentration excessive des validateurs de Sui n'est pas un cas isolé des chaînes PoS - des Ethereum à BSC, la plupart des réseaux PoS sont confrontés à des risques de concentration des validateurs similaires, mais Sui a simplement exposé le problème de manière plus évidente.
——un réseau prétendument décentralisé, comment peut-il avoir une telle capacité de « gel » centralisée ?
Il est encore plus préoccupant que l'équipe de Sui ait déclaré qu'elle allait restituer les fonds gelés au pool, mais si les validateurs « refusent de regrouper les transactions », ces fonds ne devraient théoriquement jamais pouvoir être débloqués. Comment Sui parvient-elle à effectuer ce remboursement ? Cela remet encore en question la caractéristique de décentralisation de cette chaîne Sui !
N'est-il pas étonnant que, à part quelques validateurs centralisés qui refusent les transactions, les autorités aient même des super-pouvoirs au niveau du système pour modifier directement la propriété des actifs ? (Sui doit fournir plus de détails sur le « gel »)
Avant de divulguer les détails spécifiques, il est nécessaire de discuter des compromis liés à la décentralisation :
Intervention d'urgence, sacrifier un peu de décentralisation est-il forcément une mauvaise chose ? Si une attaque de hacker se produit, est-ce que c'est vraiment ce que l'utilisateur veut que toute la chaîne ne puisse rien faire ?
Ce que je veux dire, c’est que les gens ne veulent naturellement pas que de l’argent tombe entre les mains de pirates informatiques, mais ce qui rend le marché encore plus inquiet, c’est que les critères de gel sont complètement « subjectifs » : qu’est-ce qui compte comme des « fonds volés » ? Qui le définit ? Où sont les frontières ? Geler les pirates informatiques aujourd’hui, geler qui demain ? Dès que ce précédent sera ouvert, la valeur anti-censure fondamentale de la chaîne publique sera complètement en faillite, ce qui causera inévitablement des dommages à la confiance des utilisateurs.
La décentralisation n'est pas binaire, Sui a choisi un point d'équilibre spécifique entre la protection des utilisateurs et la décentralisation. Le problème clé réside dans le manque de mécanismes de gouvernance transparents et de normes de limites claires.
À ce stade, la plupart des projets blockchain font ce genre de compromis, mais les utilisateurs ont le droit de connaître la vérité, et non d'être induits en erreur par l'étiquette « complètement décentralisée ».
Le contenu est fourni à titre de référence uniquement, il ne s'agit pas d'une sollicitation ou d'une offre. Aucun conseil en investissement, fiscalité ou juridique n'est fourni. Consultez l'Avertissement pour plus de détails sur les risques.
Une blockchain publique prétendument sécurisée et décentralisée, pourquoi Sui a-t-elle pu congeler 160 millions de dollars volés par des hackers ?
Beaucoup de gens se demandent comment, après que le @CetusProtocol a été attaqué par des hackers, le réseau des validateurs a « gelé » l'adresse du hacker et a récupéré 160 millions de dollars. Comment ont-ils réussi cela ? La décentralisation est-elle vraiment un « mensonge » ? Voici une tentative d'analyse du point de vue technique :
Partie du transfert via le pont inter-chaînes : après le succès d'une attaque de hacker, une partie des actifs tels que l'USDC a été immédiatement transférée vers d'autres chaînes comme Ethereum via le pont inter-chaînes. Cette partie des fonds ne peut plus être récupérée, car une fois sortis de l'écosystème Sui, les validateurs ne peuvent plus rien faire.
Partie toujours sur la chaîne Sui : un nombre considérable de fonds volés est encore stocké dans des adresses Sui contrôlées par des hackers. Cette partie des fonds est devenue l'objectif de la "gelée".
Selon l'annonce officielle, « de nombreux validateurs ont identifié les adresses des fonds volés et ignorent les transactions sur ces adresses ».
——Comment cela peut-il être réalisé concrètement ?
1、Filtrage des transactions au niveau des validateurs——En d'autres termes, les validateurs font semblant de ne pas voir :
C'est comme si vous aviez une carte bancaire, mais tous les DAB refusaient de vous servir. L'argent est sur la carte, mais vous ne pouvez pas le retirer. Grâce à la surveillance et à l'intervention continues des nœuds de validation SUI (DAB), les tokens SUI et autres dans les adresses de hackers ne pourront pas circuler, ces fonds volés sont maintenant comme s'ils étaient « détruits », jouant objectivement un rôle de « déflation » ?
Bien sûr, en plus de la coordination temporaire des validateurs, Sui pourrait avoir intégré une fonction de liste de refus au niveau du système. Si c'est le cas, le processus pourrait être le suivant : les parties concernées (comme la Sui Foundation ou par le biais de la gouvernance) ajoutent les adresses des hackers à la deny_list du système, et les validateurs exécutent cette règle système en refusant de traiter les transactions des adresses sur la liste noire.
Que ce soit pour une coordination temporaire ou pour une exécution selon des règles systématiques, il est nécessaire que la majorité des validateurs puissent agir de manière unifiée. Il est évident que la répartition du pouvoir au sein du réseau de validateurs de Sui reste trop centralisée, quelques nœuds pouvant contrôler les décisions clés du réseau.
Le problème de la concentration excessive des validateurs de Sui n'est pas un cas isolé des chaînes PoS - des Ethereum à BSC, la plupart des réseaux PoS sont confrontés à des risques de concentration des validateurs similaires, mais Sui a simplement exposé le problème de manière plus évidente.
——un réseau prétendument décentralisé, comment peut-il avoir une telle capacité de « gel » centralisée ?
Il est encore plus préoccupant que l'équipe de Sui ait déclaré qu'elle allait restituer les fonds gelés au pool, mais si les validateurs « refusent de regrouper les transactions », ces fonds ne devraient théoriquement jamais pouvoir être débloqués. Comment Sui parvient-elle à effectuer ce remboursement ? Cela remet encore en question la caractéristique de décentralisation de cette chaîne Sui !
N'est-il pas étonnant que, à part quelques validateurs centralisés qui refusent les transactions, les autorités aient même des super-pouvoirs au niveau du système pour modifier directement la propriété des actifs ? (Sui doit fournir plus de détails sur le « gel »)
Avant de divulguer les détails spécifiques, il est nécessaire de discuter des compromis liés à la décentralisation :
Intervention d'urgence, sacrifier un peu de décentralisation est-il forcément une mauvaise chose ? Si une attaque de hacker se produit, est-ce que c'est vraiment ce que l'utilisateur veut que toute la chaîne ne puisse rien faire ?
Ce que je veux dire, c’est que les gens ne veulent naturellement pas que de l’argent tombe entre les mains de pirates informatiques, mais ce qui rend le marché encore plus inquiet, c’est que les critères de gel sont complètement « subjectifs » : qu’est-ce qui compte comme des « fonds volés » ? Qui le définit ? Où sont les frontières ? Geler les pirates informatiques aujourd’hui, geler qui demain ? Dès que ce précédent sera ouvert, la valeur anti-censure fondamentale de la chaîne publique sera complètement en faillite, ce qui causera inévitablement des dommages à la confiance des utilisateurs.
La décentralisation n'est pas binaire, Sui a choisi un point d'équilibre spécifique entre la protection des utilisateurs et la décentralisation. Le problème clé réside dans le manque de mécanismes de gouvernance transparents et de normes de limites claires.
À ce stade, la plupart des projets blockchain font ce genre de compromis, mais les utilisateurs ont le droit de connaître la vérité, et non d'être induits en erreur par l'étiquette « complètement décentralisée ».