Le 22 mai, le DEX Cetus de l'écosystème Sui a été volé pour 223 millions de dollars. Parmi cela, seuls 60 millions de dollars ont été échangés en ETH via un pont inter-chaînes et sont entrés dans la poche des hackers, tandis que les 162 millions de dollars restants ont été gelés par la fondation Sui qui coordonne les nœuds.
Le 27 mai, un vote communautaire a été lancé pour "décider s'il faut mettre en œuvre une mise à niveau du protocole afin de récupérer les fonds gelés sur un compte contrôlé par des hackers". La mise à niveau du protocole a finalement été réalisée, et 162 millions de fonds ont été récupérés avec succès.
La réponse rapide de la fondation Sui à cet incident de vol et la solution rapidement mise en place ont également suscité des controverses au sein de la communauté. D'une part, elle a récupéré la plupart des fonds, garantissant ainsi les intérêts des utilisateurs volés. D'autre part, la méthode de récupération a été d'imposer une modification du droit de propriété des actifs par le consensus des nœuds, ce qui constitue la première mise en œuvre d'un "transfert d'actifs sans clé" au niveau de la blockchain.
Devant l'intérêt des utilisateurs, cette opération si "audacieuse" qui va à l'encontre de l'esprit de "décentralisation" a été ainsi ignorée.
Comment la transfert d'actifs sans clé privée est-il réalisé ?
Le 22 mai, le DEX Cetus de l'écosystème Sui a été attaqué par des hackers en raison d'une erreur de code de bas niveau, entraînant une perte de 223 millions de dollars. Après l'incident, 162 millions de dollars des fonds volés ont été gelés par la fondation Sui en coordination avec les nœuds de validation.
Le 27 mai, la Fondation Sui a encouragé un vote communautaire. Cette opportunité de vote vise à décider s'il faut mettre en œuvre une mise à niveau du protocole pour récupérer les fonds gelés dans des comptes contrôlés par des hackers. Au final, dans les 48 heures, 114 nœuds ont participé, avec 103 votes, 99 pour, 2 contre et 2 abstentions, avec un taux d'approbation de 90,9 % pour la proposition.
La proposition signifie également une mise à niveau du protocole Sui, ce qui permettra à une adresse spécifique de représenter une adresse de hacker pour effectuer deux transactions, afin de faciliter le recouvrement des fonds. Ces transactions seront conçues et publiées après la détermination finale de l'adresse de récupération. Les actifs récupérés seront conservés dans un portefeuille multisignature contrôlé par Cetus, la fondation Sui et l'auditeur de confiance OtterSec au sein de la communauté Sui.
Au niveau de la mise à niveau du protocole, la fonctionnalité d'aliasing d'adresse est introduite. Plus précisément, des règles sont définies à l'avance au niveau du protocole : masquer certaines opérations de gouvernance en tant que "signature légitime d'un compte pirate", puis les nœuds de validation reconnaissent cette signature falsifiée après la mise à niveau, légalisant ainsi le transfert de fonds gelés. Cela permet de modifier la propriété des actifs par consensus des nœuds sans toucher à la clé privée (ce qui est similaire à une banque centrale gelant un compte bancaire puis transférant des fonds).
Comment les actifs gelés ont-ils été réalisés au départ ? Sui prend en charge la fonctionnalité de liste de refus (gel des adresses) et de jetons réglementés. Cette fois, cela a été réalisé en appelant directement l'interface de gel pour verrouiller l'adresse du hacker.
Les risques techniques liés à l'intervention des puissances laissées
Bien que cette mesure ait permis de récupérer la plupart des actifs gelés, elle suscite néanmoins des inquiétudes, car la mise à niveau du protocole a forcé, par le consensus des nœuds, la modification de la propriété des actifs, ce qui indique également que les responsables de Sui peuvent signer à la place de n'importe quelle adresse, permettant ainsi de transférer les actifs qui s'y trouvent.
Ce n'est pas le code du contrat intelligent qui détermine si Sui peut le faire, mais plutôt les droits de vote des nœuds. Et qui détient les résultats du vote des nœuds ? Ce ne sont rien d'autre que les grands nœuds contrôlés par le capital de la fondation ! Cela signifie que les parties prenantes officielles de Sui détiennent le plus grand pouvoir de décision, même si c'est un vote, ce n'est qu'une formalité.
La clé privée de l'utilisateur n'est plus un certificat de contrôle absolu des actifs, tant que le consensus des nœuds est d'accord, la couche de protocole peut directement remplacer les droits de la clé privée.
Cependant, d'un autre côté, cela a permis une récupération efficace des actifs, un gel rapide des actifs, grâce aux fonctionnalités de réglementation intégrées de Sui, ce qui a également permis une réduction rapide des pertes. Le vote a été complété en 48 heures et la mise à niveau du protocole a été mise en œuvre.
Cependant, à mon avis, la fonctionnalité d'aliasage d'adresse ouvre un précédent dangereux : le niveau du protocole peut falsifier toute "opération légale" d'adresse, ce qui pose les bases techniques d'une intervention autoritaire.
Et cette série d'opérations de récupération de fonds par Sui n'est rien d'autre que le choix de la blockchain publique de prendre des décisions du point de vue des intérêts des utilisateurs lorsque ceux-ci entrent en conflit avec le principe de décentralisation. Et quant à savoir si cela viole ou non le principe de décentralisation, cela semble peu importe tant pour les utilisateurs que pour Sui, après tout, lorsqu'ils sont remis en question, ils peuvent également répondre que c'est une décision "votée".
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Cetus a récupéré des fonds volés "Décentralisation" a fait des concessions aux intérêts des utilisateurs
Jessy, Finance en or
Le 22 mai, le DEX Cetus de l'écosystème Sui a été volé pour 223 millions de dollars. Parmi cela, seuls 60 millions de dollars ont été échangés en ETH via un pont inter-chaînes et sont entrés dans la poche des hackers, tandis que les 162 millions de dollars restants ont été gelés par la fondation Sui qui coordonne les nœuds.
Le 27 mai, un vote communautaire a été lancé pour "décider s'il faut mettre en œuvre une mise à niveau du protocole afin de récupérer les fonds gelés sur un compte contrôlé par des hackers". La mise à niveau du protocole a finalement été réalisée, et 162 millions de fonds ont été récupérés avec succès.
La réponse rapide de la fondation Sui à cet incident de vol et la solution rapidement mise en place ont également suscité des controverses au sein de la communauté. D'une part, elle a récupéré la plupart des fonds, garantissant ainsi les intérêts des utilisateurs volés. D'autre part, la méthode de récupération a été d'imposer une modification du droit de propriété des actifs par le consensus des nœuds, ce qui constitue la première mise en œuvre d'un "transfert d'actifs sans clé" au niveau de la blockchain.
Devant l'intérêt des utilisateurs, cette opération si "audacieuse" qui va à l'encontre de l'esprit de "décentralisation" a été ainsi ignorée.
Comment la transfert d'actifs sans clé privée est-il réalisé ?
Le 22 mai, le DEX Cetus de l'écosystème Sui a été attaqué par des hackers en raison d'une erreur de code de bas niveau, entraînant une perte de 223 millions de dollars. Après l'incident, 162 millions de dollars des fonds volés ont été gelés par la fondation Sui en coordination avec les nœuds de validation.
Le 27 mai, la Fondation Sui a encouragé un vote communautaire. Cette opportunité de vote vise à décider s'il faut mettre en œuvre une mise à niveau du protocole pour récupérer les fonds gelés dans des comptes contrôlés par des hackers. Au final, dans les 48 heures, 114 nœuds ont participé, avec 103 votes, 99 pour, 2 contre et 2 abstentions, avec un taux d'approbation de 90,9 % pour la proposition.
La proposition signifie également une mise à niveau du protocole Sui, ce qui permettra à une adresse spécifique de représenter une adresse de hacker pour effectuer deux transactions, afin de faciliter le recouvrement des fonds. Ces transactions seront conçues et publiées après la détermination finale de l'adresse de récupération. Les actifs récupérés seront conservés dans un portefeuille multisignature contrôlé par Cetus, la fondation Sui et l'auditeur de confiance OtterSec au sein de la communauté Sui.
Au niveau de la mise à niveau du protocole, la fonctionnalité d'aliasing d'adresse est introduite. Plus précisément, des règles sont définies à l'avance au niveau du protocole : masquer certaines opérations de gouvernance en tant que "signature légitime d'un compte pirate", puis les nœuds de validation reconnaissent cette signature falsifiée après la mise à niveau, légalisant ainsi le transfert de fonds gelés. Cela permet de modifier la propriété des actifs par consensus des nœuds sans toucher à la clé privée (ce qui est similaire à une banque centrale gelant un compte bancaire puis transférant des fonds).
Comment les actifs gelés ont-ils été réalisés au départ ? Sui prend en charge la fonctionnalité de liste de refus (gel des adresses) et de jetons réglementés. Cette fois, cela a été réalisé en appelant directement l'interface de gel pour verrouiller l'adresse du hacker.
Les risques techniques liés à l'intervention des puissances laissées
Bien que cette mesure ait permis de récupérer la plupart des actifs gelés, elle suscite néanmoins des inquiétudes, car la mise à niveau du protocole a forcé, par le consensus des nœuds, la modification de la propriété des actifs, ce qui indique également que les responsables de Sui peuvent signer à la place de n'importe quelle adresse, permettant ainsi de transférer les actifs qui s'y trouvent.
Ce n'est pas le code du contrat intelligent qui détermine si Sui peut le faire, mais plutôt les droits de vote des nœuds. Et qui détient les résultats du vote des nœuds ? Ce ne sont rien d'autre que les grands nœuds contrôlés par le capital de la fondation ! Cela signifie que les parties prenantes officielles de Sui détiennent le plus grand pouvoir de décision, même si c'est un vote, ce n'est qu'une formalité.
La clé privée de l'utilisateur n'est plus un certificat de contrôle absolu des actifs, tant que le consensus des nœuds est d'accord, la couche de protocole peut directement remplacer les droits de la clé privée.
Cependant, d'un autre côté, cela a permis une récupération efficace des actifs, un gel rapide des actifs, grâce aux fonctionnalités de réglementation intégrées de Sui, ce qui a également permis une réduction rapide des pertes. Le vote a été complété en 48 heures et la mise à niveau du protocole a été mise en œuvre.
Cependant, à mon avis, la fonctionnalité d'aliasage d'adresse ouvre un précédent dangereux : le niveau du protocole peut falsifier toute "opération légale" d'adresse, ce qui pose les bases techniques d'une intervention autoritaire.
Et cette série d'opérations de récupération de fonds par Sui n'est rien d'autre que le choix de la blockchain publique de prendre des décisions du point de vue des intérêts des utilisateurs lorsque ceux-ci entrent en conflit avec le principe de décentralisation. Et quant à savoir si cela viole ou non le principe de décentralisation, cela semble peu importe tant pour les utilisateurs que pour Sui, après tout, lorsqu'ils sont remis en question, ils peuvent également répondre que c'est une décision "votée".