L'incident de hack de la blockchain Sui a provoqué une crise de confiance dans l'industrie : le mécanisme de gel et de récupération des fonds suscite des controverses.
La crise de foi dans l'industrie de la Blockchain : Réflexions suscitées par l'événement de la chaîne de blocs Sui
Introduction
Les événements récents reflètent la victoire du capital, et non les intérêts des utilisateurs. C'est un recul pour le développement de l'industrie.
Le développement du Bitcoin et des nouvelles blockchains est complètement différent. Chaque fois qu'il y a des actions dans l'industrie qui remettent en question la décentralisation, cela suscite une foi encore plus forte des gens envers le Bitcoin.
Le monde a besoin non seulement d'une infrastructure financière mondiale plus complète, mais il est encore plus important de maintenir un espace libre.
En regardant l'histoire, les blockchains de consortium étaient autrefois plus populaires que les blockchains publiques, car elles répondaient aux besoins de régulation de l'époque. Aujourd'hui, le déclin des blockchains de consortium signifie que se conformer simplement aux exigences de régulation ne peut pas satisfaire les besoins réels des utilisateurs. Que vaut un outil de régulation s'il ne reste plus d'utilisateurs soumis à la régulation ?
1、Récapitulatif des événements
Le 22 mai 2025, la plus grande bourse décentralisée de l'écosystème d'une certaine chaîne publique a été victime d'une attaque de hacker, entraînant d'énormes pertes, avec plus de 220 millions de dollars de fonds affectés. La liquidité a chuté de manière drastique, avec plusieurs paires de trading dont les prix se sont effondrés.
Après l'événement, les parties concernées ont rapidement pris une série de mesures :
L'échange suspend d'urgence les contrats et publie un avis
Les nœuds de validation agissent pour mettre l'adresse du hacker sur la "liste noire de refus de service", gelant les fonds.
Commencer à corriger les vulnérabilités et à mettre à jour le contrat
Lancer le vote de gouvernance sur la blockchain, discuter de l'exécution de la mise à niveau du protocole pour transférer les actifs des hackers
Les résultats du vote montrent que plus de 2/3 du poids des nœuds de validation soutiennent cette proposition
La mise à niveau du protocole est en vigueur, les transactions désignées ont été exécutées, les actifs des hackers ont été transférés.
2、Analyse des principes d'attaque
L'attaquant a utilisé un prêt flash pour emprunter une grande quantité de jetons, provoquant une chute drastique du prix du pool de liquidité. Ensuite, l'attaquant a créé des positions de liquidité dans une fourchette de prix très étroite, amplifiant l'impact de l'erreur de calcul sur la quantité de jetons requise.
Le cœur de l'attaque réside dans une vulnérabilité de débordement entier dans la fonction utilisée par l'échange pour calculer le nombre de jetons requis. L'attaquant déclare avoir ajouté une liquidité massive, mais n'a réellement investi qu'une petite quantité de jetons. En raison d'une erreur dans les conditions de détection de débordement, le système a gravement sous-estimé le nombre de jetons requis, permettant à l'attaquant d'obtenir une liquidité massive à un coût très faible.
Sur le plan technique, cette vulnérabilité provient de l'utilisation de masques et de conditions de jugement incorrects dans le contrat intelligent, ce qui permet à un grand nombre de valeurs de contourner la détection. Après l'opération de décalage à gauche, les données de haut niveau sont tronquées, et le système ne perçoit que très peu de jetons comme ayant acquis une énorme liquidité.
3、Mécanisme de gel des fonds
Cette blockchain intègre un mécanisme spécial de liste de refus, permettant le gel des fonds des hackers. De plus, sa norme de jetons comprend également un mode "jetons réglementés", avec une fonction de gel intégrée.
Le gel d'urgence a utilisé cette caractéristique : les nœuds validateurs ont rapidement ajouté les adresses liées aux fonds volés dans le fichier de configuration local. En théorie, chaque opérateur de nœud peut modifier la configuration et mettre à jour la liste noire, mais pour garantir la cohérence du réseau, la fondation, en tant que premier éditeur de la configuration, a coordonné cela de manière centralisée.
Pour faciliter le retour des fonds par la suite, l'équipe a également introduit un patch de mécanisme de liste blanche. Cela permet d'ajouter à l'avance des transactions spécifiques à la "liste d'exemption", ce qui permet à ces transactions de sauter toutes les vérifications de sécurité, y compris les signatures, les autorisations, les listes noires, etc.
Il est important de noter que le patch de liste blanche ne peut pas directement transférer les actifs des hackers ; il ne donne qu'à certaines transactions la capacité de contourner le gel, le transfert réel des actifs nécessitant toujours une signature légale ou un module de permissions système supplémentaire pour être complété.
4, Principe de réalisation du recouvrement des fonds
Plus surprenant encore, cette blockchain a non seulement gelé les actifs des hackers, mais prévoit également de récupérer les fonds volés par une mise à niveau de la chaîne appelée "transfert de récupération".
Après l'approbation du vote communautaire, les fonds gelés annoncés par les autorités seront transférés dans un portefeuille multi-signatures sans nécessiter la signature des hackers. Ce mode de transfert sans la signature du détenteur original est sans précédent dans l'industrie du Blockchain.
D'un point de vue technique, le protocole a introduit un mécanisme d'alias d'adresse. Les contenus de la mise à jour incluent : la spécification préalable des règles d'alias dans la configuration, permettant à certaines transactions autorisées de considérer une signature légitime comme provenant d'un compte de hacker.
Plus précisément, la liste des hachages des transactions de sauvetage à exécuter est liée à l'adresse cible (c'est-à-dire l'adresse du hacker). Tout exécutant qui signe et publie ces résumés de transactions fixes est considéré comme un propriétaire d'adresse de hacker valide ayant initié la transaction. Pour ces transactions spécifiques, le système de nœuds validateurs contournera la vérification de la liste de refus.
5、Opinion et réflexion
5.1 La limite de la foi a été franchie
Cet événement pourrait rapidement se calmer, mais le modèle qu'il représente ne sera pas oublié, car il renverse les fondements de l'industrie et brise le consensus traditionnel d'immutabilité de la Blockchain sous le même registre.
Dans la conception de la Blockchain, le contrat est la loi, le code est l'arbitre. Mais dans cet incident, le code a échoué, l'intervention de la gouvernance a eu lieu, le pouvoir a prévalu, formant le modèle de "décision du comportement de vote sur le résultat du code".
5.2 en comparaison avec le "consensus de falsification" dans l'histoire
En regardant l'histoire, Ethereum a effectué un hard fork pour annuler les transactions et compenser les pertes après l'incident DAO en 2016, ce qui a conduit à la scission entre Ethereum et Ethereum Classic. Bitcoin a également résolu une vulnérabilité d'overflow de valeur en 2010 par un correctif d'urgence et une mise à niveau des règles de consensus.
Tous ces éléments utilisent un modèle de hard fork, permettant de revenir le registre à un état antérieur au problème, et les utilisateurs peuvent décider eux-mêmes sous quel système de registre continuer à utiliser.
En comparaison, cet événement n'a pas choisi de diviser la chaîne, mais a plutôt ciblé précisément cet événement par une mise à niveau du protocole et la configuration d'un alias. Cela a maintenu la continuité de la chaîne et la plupart des règles de consensus inchangées, tout en indiquant que le protocole sous-jacent peut être utilisé pour mettre en œuvre des "actions de sauvetage" ciblées.
5.3 La fin de "Not Your Key, Not Your Coin" ?
À long terme, cela signifie que le principe "Not your keys, not your coins" est contourné sur cette blockchain : même si la clé privée de l'utilisateur est intacte, le réseau peut toujours empêcher le mouvement des actifs et rediriger les actifs par des modifications collectives du protocole.
Si cela devient un précédent pour la Blockchain face à de grands événements de sécurité dans le futur, et est même considéré comme une pratique à suivre à nouveau, alors "lorsqu'une chaîne peut briser les règles pour la justice, elle a également un précédent pour briser n'importe quelle règle."
Une fois qu'il y a eu un succès de "rachat de bien public", la prochaine fois cela pourrait être une opération dans une "zone d'ambiguïté morale".
5.4 Régulation et l'âme du Blockchain
D'un point de vue de l'évolution du secteur, nous devons réfléchir : la centralisation efficace est-elle une étape incontournable du développement de la Blockchain ? Si l'objectif final de la décentralisation est de protéger les intérêts des utilisateurs, pouvons-nous tolérer la centralisation comme moyen de transition ?
Dans le contexte de la gouvernance sur la blockchain, la "démocratie" est en réalité déterminée par le poids des tokens. Alors, si un hacker détient un grand nombre de tokens ou contrôle le droit de vote, peut-il aussi "laver légalement son image" par le vote ?
Finalement, la valeur de la Blockchain ne réside pas dans sa capacité à être gelée, mais dans le fait que même si le groupe a la capacité de geler, il choisit de ne pas le faire. L'avenir d'une chaîne n'est pas déterminé par son architecture technique, mais par le système de croyances qu'elle choisit de défendre.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
16 J'aime
Récompense
16
7
Reposter
Partager
Commentaire
0/400
FundingMartyr
· 08-13 21:52
Hehe, encore un capitaliste de l'univers de la cryptomonnaie qui fait un Rug Pull.
Voir l'originalRépondre0
WalletDoomsDay
· 08-13 13:43
C'est juste un petit tour de passe-passe des capitalistes.
Voir l'originalRépondre0
MetaverseHermit
· 08-11 03:10
Maintenant, Bitcoin est le seul dieu.
Voir l'originalRépondre0
SingleForYears
· 08-11 03:10
Eh, de quoi parlons-nous encore de Décentralisation ? Ce n'est pas le capital qui décide ?
L'incident de hack de la blockchain Sui a provoqué une crise de confiance dans l'industrie : le mécanisme de gel et de récupération des fonds suscite des controverses.
La crise de foi dans l'industrie de la Blockchain : Réflexions suscitées par l'événement de la chaîne de blocs Sui
Introduction
Les événements récents reflètent la victoire du capital, et non les intérêts des utilisateurs. C'est un recul pour le développement de l'industrie.
Le développement du Bitcoin et des nouvelles blockchains est complètement différent. Chaque fois qu'il y a des actions dans l'industrie qui remettent en question la décentralisation, cela suscite une foi encore plus forte des gens envers le Bitcoin.
Le monde a besoin non seulement d'une infrastructure financière mondiale plus complète, mais il est encore plus important de maintenir un espace libre.
En regardant l'histoire, les blockchains de consortium étaient autrefois plus populaires que les blockchains publiques, car elles répondaient aux besoins de régulation de l'époque. Aujourd'hui, le déclin des blockchains de consortium signifie que se conformer simplement aux exigences de régulation ne peut pas satisfaire les besoins réels des utilisateurs. Que vaut un outil de régulation s'il ne reste plus d'utilisateurs soumis à la régulation ?
1、Récapitulatif des événements
Le 22 mai 2025, la plus grande bourse décentralisée de l'écosystème d'une certaine chaîne publique a été victime d'une attaque de hacker, entraînant d'énormes pertes, avec plus de 220 millions de dollars de fonds affectés. La liquidité a chuté de manière drastique, avec plusieurs paires de trading dont les prix se sont effondrés.
Après l'événement, les parties concernées ont rapidement pris une série de mesures :
2、Analyse des principes d'attaque
L'attaquant a utilisé un prêt flash pour emprunter une grande quantité de jetons, provoquant une chute drastique du prix du pool de liquidité. Ensuite, l'attaquant a créé des positions de liquidité dans une fourchette de prix très étroite, amplifiant l'impact de l'erreur de calcul sur la quantité de jetons requise.
Le cœur de l'attaque réside dans une vulnérabilité de débordement entier dans la fonction utilisée par l'échange pour calculer le nombre de jetons requis. L'attaquant déclare avoir ajouté une liquidité massive, mais n'a réellement investi qu'une petite quantité de jetons. En raison d'une erreur dans les conditions de détection de débordement, le système a gravement sous-estimé le nombre de jetons requis, permettant à l'attaquant d'obtenir une liquidité massive à un coût très faible.
Sur le plan technique, cette vulnérabilité provient de l'utilisation de masques et de conditions de jugement incorrects dans le contrat intelligent, ce qui permet à un grand nombre de valeurs de contourner la détection. Après l'opération de décalage à gauche, les données de haut niveau sont tronquées, et le système ne perçoit que très peu de jetons comme ayant acquis une énorme liquidité.
3、Mécanisme de gel des fonds
Cette blockchain intègre un mécanisme spécial de liste de refus, permettant le gel des fonds des hackers. De plus, sa norme de jetons comprend également un mode "jetons réglementés", avec une fonction de gel intégrée.
Le gel d'urgence a utilisé cette caractéristique : les nœuds validateurs ont rapidement ajouté les adresses liées aux fonds volés dans le fichier de configuration local. En théorie, chaque opérateur de nœud peut modifier la configuration et mettre à jour la liste noire, mais pour garantir la cohérence du réseau, la fondation, en tant que premier éditeur de la configuration, a coordonné cela de manière centralisée.
Pour faciliter le retour des fonds par la suite, l'équipe a également introduit un patch de mécanisme de liste blanche. Cela permet d'ajouter à l'avance des transactions spécifiques à la "liste d'exemption", ce qui permet à ces transactions de sauter toutes les vérifications de sécurité, y compris les signatures, les autorisations, les listes noires, etc.
Il est important de noter que le patch de liste blanche ne peut pas directement transférer les actifs des hackers ; il ne donne qu'à certaines transactions la capacité de contourner le gel, le transfert réel des actifs nécessitant toujours une signature légale ou un module de permissions système supplémentaire pour être complété.
4, Principe de réalisation du recouvrement des fonds
Plus surprenant encore, cette blockchain a non seulement gelé les actifs des hackers, mais prévoit également de récupérer les fonds volés par une mise à niveau de la chaîne appelée "transfert de récupération".
Après l'approbation du vote communautaire, les fonds gelés annoncés par les autorités seront transférés dans un portefeuille multi-signatures sans nécessiter la signature des hackers. Ce mode de transfert sans la signature du détenteur original est sans précédent dans l'industrie du Blockchain.
D'un point de vue technique, le protocole a introduit un mécanisme d'alias d'adresse. Les contenus de la mise à jour incluent : la spécification préalable des règles d'alias dans la configuration, permettant à certaines transactions autorisées de considérer une signature légitime comme provenant d'un compte de hacker.
Plus précisément, la liste des hachages des transactions de sauvetage à exécuter est liée à l'adresse cible (c'est-à-dire l'adresse du hacker). Tout exécutant qui signe et publie ces résumés de transactions fixes est considéré comme un propriétaire d'adresse de hacker valide ayant initié la transaction. Pour ces transactions spécifiques, le système de nœuds validateurs contournera la vérification de la liste de refus.
5、Opinion et réflexion
5.1 La limite de la foi a été franchie
Cet événement pourrait rapidement se calmer, mais le modèle qu'il représente ne sera pas oublié, car il renverse les fondements de l'industrie et brise le consensus traditionnel d'immutabilité de la Blockchain sous le même registre.
Dans la conception de la Blockchain, le contrat est la loi, le code est l'arbitre. Mais dans cet incident, le code a échoué, l'intervention de la gouvernance a eu lieu, le pouvoir a prévalu, formant le modèle de "décision du comportement de vote sur le résultat du code".
5.2 en comparaison avec le "consensus de falsification" dans l'histoire
En regardant l'histoire, Ethereum a effectué un hard fork pour annuler les transactions et compenser les pertes après l'incident DAO en 2016, ce qui a conduit à la scission entre Ethereum et Ethereum Classic. Bitcoin a également résolu une vulnérabilité d'overflow de valeur en 2010 par un correctif d'urgence et une mise à niveau des règles de consensus.
Tous ces éléments utilisent un modèle de hard fork, permettant de revenir le registre à un état antérieur au problème, et les utilisateurs peuvent décider eux-mêmes sous quel système de registre continuer à utiliser.
En comparaison, cet événement n'a pas choisi de diviser la chaîne, mais a plutôt ciblé précisément cet événement par une mise à niveau du protocole et la configuration d'un alias. Cela a maintenu la continuité de la chaîne et la plupart des règles de consensus inchangées, tout en indiquant que le protocole sous-jacent peut être utilisé pour mettre en œuvre des "actions de sauvetage" ciblées.
5.3 La fin de "Not Your Key, Not Your Coin" ?
À long terme, cela signifie que le principe "Not your keys, not your coins" est contourné sur cette blockchain : même si la clé privée de l'utilisateur est intacte, le réseau peut toujours empêcher le mouvement des actifs et rediriger les actifs par des modifications collectives du protocole.
Si cela devient un précédent pour la Blockchain face à de grands événements de sécurité dans le futur, et est même considéré comme une pratique à suivre à nouveau, alors "lorsqu'une chaîne peut briser les règles pour la justice, elle a également un précédent pour briser n'importe quelle règle."
Une fois qu'il y a eu un succès de "rachat de bien public", la prochaine fois cela pourrait être une opération dans une "zone d'ambiguïté morale".
5.4 Régulation et l'âme du Blockchain
D'un point de vue de l'évolution du secteur, nous devons réfléchir : la centralisation efficace est-elle une étape incontournable du développement de la Blockchain ? Si l'objectif final de la décentralisation est de protéger les intérêts des utilisateurs, pouvons-nous tolérer la centralisation comme moyen de transition ?
Dans le contexte de la gouvernance sur la blockchain, la "démocratie" est en réalité déterminée par le poids des tokens. Alors, si un hacker détient un grand nombre de tokens ou contrôle le droit de vote, peut-il aussi "laver légalement son image" par le vote ?
Finalement, la valeur de la Blockchain ne réside pas dans sa capacité à être gelée, mais dans le fait que même si le groupe a la capacité de geler, il choisit de ne pas le faire. L'avenir d'une chaîne n'est pas déterminé par son architecture technique, mais par le système de croyances qu'elle choisit de défendre.