Le 22 mai, le DEX Cetus de l'écosystème Sui a été volé pour 223 millions de dollars. Parmi cela, seulement 60 millions de dollars ont été échangés en ETH via un pont inter-chaînes et sont entrés dans la poche du pirate, tandis que les 162 millions de dollars restants ont été gelés par la fondation Sui en coordination avec les nœuds.
Le 27 mai, le vote de la communauté a été lancé pour "décider s'il faut mettre en œuvre la mise à niveau du protocole afin de récupérer les fonds gelés dans les comptes contrôlés par des hackers". La mise à niveau du protocole a finalement été réalisée, et 162 millions de fonds ont été récupérés avec succès.
La réponse rapide de la fondation Sui à l'incident de vol et la solution rapidement mise en place ont également suscité de vives controverses au sein de la communauté. D'une part, elle a récupéré la majeure partie des fonds, garantissant ainsi les intérêts des utilisateurs volés, et d'autre part, la méthode de récupération a été de modifier de manière contraignante la propriété des actifs par consensus des nœuds, ce qui constitue la première mise en œuvre du "transfert d'actifs sans clé" au niveau de la blockchain.
Face aux intérêts des utilisateurs, cette opération si "audacieuse" qui va à l'encontre de l'esprit de "décentralisation" a été ainsi ignorée.
Comment la transférabilité des actifs sans clé privée est-elle réalisée ?
Le 22 mai, le DEX Cetus de l'écosystème Sui a été attaqué par des hackers en raison d'une erreur dans son code, entraînant une perte de 223 millions de dollars. Après l'incident, 162 millions de dollars des fonds volés ont été gelés par la fondation Sui en coordonnant les nœuds de validation.
Le 27 mai, la fondation Sui a encouragé un vote communautaire, cette opportunité de vote vise à décider si une mise à niveau du protocole doit être mise en œuvre pour récupérer les fonds gelés dans un compte contrôlé par des hackers. Finalement, dans les 48 heures, 114 nœuds ont participé, 103 ont voté, avec 99 voix pour, 2 contre et 2 abstentions, le projet a été adopté avec un taux de 90,9 %.
La proposition signifie également une mise à niveau du protocole Sui, ce qui permettra à une adresse spécifique de représenter une adresse de hacker pour effectuer deux transactions afin de faciliter la récupération de fonds. Ces transactions seront conçues et publiées une fois que l'adresse de récupération sera définitivement déterminée. Les actifs récupérés seront conservés dans un portefeuille multi-signatures contrôlé par Cetus, la fondation Sui et l'auditeur de confiance OtterSec au sein de la communauté Sui.
Au niveau de la mise à niveau du protocole, la fonctionnalité de l'aliasing d'adresse est introduite. Plus précisément, des règles sont définies à l'avance au niveau du protocole : déguiser des opérations de gouvernance spécifiques en "signatures légitimes de comptes de hackers", puis les nœuds de validation reconnaissent cette signature falsifiée après la mise à niveau, légitimant ainsi le transfert de fonds gelés. Cela permet de modifier la propriété des actifs par consensus des nœuds sans toucher à la clé privée (ce qui est similaire à un transfert de fonds après le gel d'un compte bancaire par une banque centrale).
Et comment les actifs gelés ont-ils été réalisés au départ ? Sui prend en charge la fonctionnalité de liste de refus (gel) et de jetons réglementés. Cette fois, il s'agit d'appeler directement l'interface de gel pour verrouiller l'adresse du pirate.
Les risques techniques liés à l'intervention des puissances laissées
Bien que cette action ait permis de récupérer la plupart des actifs gelés, elle suscite néanmoins des inquiétudes, car la mise à niveau du protocole a modifié de force l'attribution des actifs par consensus des nœuds, ce qui signifie également que l'équipe officielle de Sui peut remplacer n'importe quelle adresse pour signer et ainsi transférer les actifs qu'elle contient.
La capacité de l'équipe Sui à agir de la sorte n'est pas déterminée par le code du contrat intelligent, mais par le droit de vote des nœuds. Et qui détient le résultat des votes des nœuds ? Ce ne sont rien d'autre que les grands nœuds contrôlés par le capital de la fondation ! En d'autres termes, les parties prenantes de l'équipe Sui détiennent le plus de pouvoir décisionnel, même si c'est un vote, ce n'est qu'une formalité.
La clé privée de l'utilisateur n'est plus un certificat de contrôle absolu des actifs; tant que le consensus des nœuds est d'accord, la couche de protocole peut directement remplacer les droits de la clé privée.
Cependant, d'autre part, cela a permis un recouvrement d'actifs efficace, un gel rapide des actifs, grâce aux fonctionnalités de réglementation intégrées de Sui, ce qui permet également de limiter rapidement les pertes. Le vote a été complété dans les 48 heures et la mise à niveau du protocole a été mise en œuvre.
Cependant, selon l'auteur, la fonctionnalité de l'aliasage d'adresse a créé un précédent dangereux - le niveau du protocole peut falsifier des "opérations légitimes" pour n'importe quelle adresse, ce qui pose les bases d'une intervention autoritaire.
Et cette série d'opérations pour récupérer des fonds de Sui n'est rien d'autre que le choix de la chaîne publique de prendre une décision du point de vue des intérêts des utilisateurs lorsque les intérêts des utilisateurs entrent en conflit avec le principe de décentralisation. Et quant à savoir si cela viole ou non le principe de décentralisation, cela semble peu important pour les utilisateurs et Sui, après tout, lorsqu'ils sont remis en question, ils peuvent toujours répondre que c'était une décision "votée".
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Cetus a récupéré des fonds volés "Décentralisation" a cédé aux intérêts des utilisateurs
Jessy, Jinse Caijing
Le 22 mai, le DEX Cetus de l'écosystème Sui a été volé pour 223 millions de dollars. Parmi cela, seulement 60 millions de dollars ont été échangés en ETH via un pont inter-chaînes et sont entrés dans la poche du pirate, tandis que les 162 millions de dollars restants ont été gelés par la fondation Sui en coordination avec les nœuds.
Le 27 mai, le vote de la communauté a été lancé pour "décider s'il faut mettre en œuvre la mise à niveau du protocole afin de récupérer les fonds gelés dans les comptes contrôlés par des hackers". La mise à niveau du protocole a finalement été réalisée, et 162 millions de fonds ont été récupérés avec succès.
La réponse rapide de la fondation Sui à l'incident de vol et la solution rapidement mise en place ont également suscité de vives controverses au sein de la communauté. D'une part, elle a récupéré la majeure partie des fonds, garantissant ainsi les intérêts des utilisateurs volés, et d'autre part, la méthode de récupération a été de modifier de manière contraignante la propriété des actifs par consensus des nœuds, ce qui constitue la première mise en œuvre du "transfert d'actifs sans clé" au niveau de la blockchain.
Face aux intérêts des utilisateurs, cette opération si "audacieuse" qui va à l'encontre de l'esprit de "décentralisation" a été ainsi ignorée.
Comment la transférabilité des actifs sans clé privée est-elle réalisée ?
Le 22 mai, le DEX Cetus de l'écosystème Sui a été attaqué par des hackers en raison d'une erreur dans son code, entraînant une perte de 223 millions de dollars. Après l'incident, 162 millions de dollars des fonds volés ont été gelés par la fondation Sui en coordonnant les nœuds de validation.
Le 27 mai, la fondation Sui a encouragé un vote communautaire, cette opportunité de vote vise à décider si une mise à niveau du protocole doit être mise en œuvre pour récupérer les fonds gelés dans un compte contrôlé par des hackers. Finalement, dans les 48 heures, 114 nœuds ont participé, 103 ont voté, avec 99 voix pour, 2 contre et 2 abstentions, le projet a été adopté avec un taux de 90,9 %.
La proposition signifie également une mise à niveau du protocole Sui, ce qui permettra à une adresse spécifique de représenter une adresse de hacker pour effectuer deux transactions afin de faciliter la récupération de fonds. Ces transactions seront conçues et publiées une fois que l'adresse de récupération sera définitivement déterminée. Les actifs récupérés seront conservés dans un portefeuille multi-signatures contrôlé par Cetus, la fondation Sui et l'auditeur de confiance OtterSec au sein de la communauté Sui.
Au niveau de la mise à niveau du protocole, la fonctionnalité de l'aliasing d'adresse est introduite. Plus précisément, des règles sont définies à l'avance au niveau du protocole : déguiser des opérations de gouvernance spécifiques en "signatures légitimes de comptes de hackers", puis les nœuds de validation reconnaissent cette signature falsifiée après la mise à niveau, légitimant ainsi le transfert de fonds gelés. Cela permet de modifier la propriété des actifs par consensus des nœuds sans toucher à la clé privée (ce qui est similaire à un transfert de fonds après le gel d'un compte bancaire par une banque centrale).
Et comment les actifs gelés ont-ils été réalisés au départ ? Sui prend en charge la fonctionnalité de liste de refus (gel) et de jetons réglementés. Cette fois, il s'agit d'appeler directement l'interface de gel pour verrouiller l'adresse du pirate.
Les risques techniques liés à l'intervention des puissances laissées
Bien que cette action ait permis de récupérer la plupart des actifs gelés, elle suscite néanmoins des inquiétudes, car la mise à niveau du protocole a modifié de force l'attribution des actifs par consensus des nœuds, ce qui signifie également que l'équipe officielle de Sui peut remplacer n'importe quelle adresse pour signer et ainsi transférer les actifs qu'elle contient.
La capacité de l'équipe Sui à agir de la sorte n'est pas déterminée par le code du contrat intelligent, mais par le droit de vote des nœuds. Et qui détient le résultat des votes des nœuds ? Ce ne sont rien d'autre que les grands nœuds contrôlés par le capital de la fondation ! En d'autres termes, les parties prenantes de l'équipe Sui détiennent le plus de pouvoir décisionnel, même si c'est un vote, ce n'est qu'une formalité.
La clé privée de l'utilisateur n'est plus un certificat de contrôle absolu des actifs; tant que le consensus des nœuds est d'accord, la couche de protocole peut directement remplacer les droits de la clé privée.
Cependant, d'autre part, cela a permis un recouvrement d'actifs efficace, un gel rapide des actifs, grâce aux fonctionnalités de réglementation intégrées de Sui, ce qui permet également de limiter rapidement les pertes. Le vote a été complété dans les 48 heures et la mise à niveau du protocole a été mise en œuvre.
Cependant, selon l'auteur, la fonctionnalité de l'aliasage d'adresse a créé un précédent dangereux - le niveau du protocole peut falsifier des "opérations légitimes" pour n'importe quelle adresse, ce qui pose les bases d'une intervention autoritaire.
Et cette série d'opérations pour récupérer des fonds de Sui n'est rien d'autre que le choix de la chaîne publique de prendre une décision du point de vue des intérêts des utilisateurs lorsque les intérêts des utilisateurs entrent en conflit avec le principe de décentralisation. Et quant à savoir si cela viole ou non le principe de décentralisation, cela semble peu important pour les utilisateurs et Sui, après tout, lorsqu'ils sont remis en question, ils peuvent toujours répondre que c'était une décision "votée".