Кризис веры в индустрии Блокчейн: размышления, вызванные событием с публичной цепочкой Sui
Введение
Недавние события отражают победу капитала, а не интересы пользователей. Это является шагом назад для развития отрасли.
Развитие биткойна и новых публичных блокчейнов совершенно различно. Каждый раз, когда происходят действия, подрывающие децентрализацию, это вызывает у людей еще более сильную веру в биткойн.
Миру нужно не только более совершенное глобальное финансовое инфраструктура, но и, что более важно, всегда сохранять свободное пространство.
Оглядываясь на историю, можно заметить, что альянсные цепи в какой-то момент были более популярны, чем публичные цепи, именно потому что они удовлетворяли регуляторные потребности того времени. Сегодня упадок альянсных цепей также означает, что простое соблюдение регуляторных требований не может удовлетворить реальные потребности пользователей. Если потеряны пользователи, подлежащие регуляции, то какое значение имеют регуляторные инструменты?
1. Обзор события
22 мая 2025 года крупнейшая децентрализованная биржа в экосистеме одного публичного блокчейна подверглась хакерской атаке, что привело к огромным потерям, более 220 миллионов долларов США оказались под угрозой. Ликвидность резко упала, и цены на несколько торговых пар обрушились.
После происшествия заинтересованные стороны быстро предприняли ряд мер:
Биржа срочно приостановила контракты и выпустила объявление
Узлы проверки принимают меры, добавляя адреса хакеров в "черный список для отказа в обслуживании", замораживая средства.
Начать исправление уязвимостей и обновление контракта
Запуск голосования по управлению в Блокчейн, обсуждение выполнения обновления протокола для перемещения активов хакера
Результаты голосования показывают, что более 2/3 веса узлов-валидаторов поддерживают это предложение
Обновление протокола вступило в силу, назначенная сделка была выполнена, активы хакера были переведены
2、Анализ принципов атаки
Злоумышленник использовал Flash Loan для заимствования большого количества токенов, что привело к резкому падению цен в торговом пуле. Затем злоумышленник создал ликвидные позиции в очень узком ценовом диапазоне, что увеличило влияние вычислительной ошибки на необходимое количество токенов.
Основная суть атаки заключается в том, что функция, используемая биржей для расчета необходимого количества токенов, имеет уязвимость переполнения целого числа. Атакующий заявляет о добавлении огромной ликвидности, но на самом деле вносит лишь небольшое количество токенов. Из-за ошибки в условиях обнаружения переполнения система серьезно недооценивала необходимое количество токенов, что позволило атакующему получить огромную ликвидность за очень низкую стоимость.
С технической точки зрения, уязвимость связана с использованием неправильной маски и условий проверки в смарт-контракте, что позволяет большому количеству значений обходить проверку. После операции сдвига влево старшие разряды данных отсекаются, и система считает, что получила огромную ликвидность, получая лишь очень маленькое количество токенов.
3、Механизм заморозки средств
Эта публичная цепочка имеет встроенный специальный механизм отказа, который позволяет замораживать средства хакеров. Кроме того, стандарт токенов также включает в себя режим "регулируемого токена" с встроенной функцией заморозки.
В данном экстренном замораживании использовалась эта особенность: валидаторы быстро добавили адреса, связанные с украденными средствами, в локальный конфигурационный файл. Теоретически каждый оператор узла может самостоятельно изменить конфигурацию и обновить черный список, но для обеспечения согласованности сети Фонд, как первоначальный издатель конфигурации, провел централизованную координацию.
Для последующего возврата средств команда также запустила патч механизма белого списка. Это позволяет заранее добавлять определенные транзакции в "список освобождения от проверки", что позволяет этим транзакциям пропускать все проверки безопасности, включая подписи, разрешения, черные списки и т.д.
Следует отметить, что патч белого списка не может напрямую перенести активы хакеров; он просто предоставляет некоторым транзакциям возможность обойти заморозку, а для реального переноса активов все еще требуется законная подпись или дополнительный модуль системных прав.
4、Принцип реализации возврата средств
Более удивительно то, что эта публичная цепочка не только заморозила активы хакера, но и планирует через обновление в цепочке "переместить и вернуть" украденные средства.
После одобрения голосования сообщества официально было объявлено, что замороженные средства будут переведены в мультиподписной кошелек без необходимости подписи хакера. Этот способ перевода без подписи первоначального владельца является беспрецедентным в индустрии Блокчейн.
С точки зрения технической реализации протокол ввел механизм псевдонимов адресов. Содержание обновления включает: предварительное указание правил псевдонимов в конфигурации, что позволяет некоторым разрешенным транзакциям рассматривать законные подписи как отправленные с аккаунта хакера.
Конкретно, список хешей спасительных транзакций, которые должны быть выполнены, связывается с целевым адресом (то есть адресом хакера). Любой исполнитель, который подписывает и публикует эти фиксированные摘要 транзакций, считается действительным владельцем адреса хакера, инициировавшим транзакцию. Для этих конкретных транзакций система узлов-валидаторов будет обходить проверку черного списка.
5、Мнения и размышления
5.1 Линия веры была нарушена
Это событие может быстро утихнуть, но модель, которую оно представляет, не будет забыта, поскольку она подрывает основы отрасли и нарушает традиционный консенсус о неоспоримости Блокчейн в одной и той же книге учета.
В проектировании Блокчейн контракты являются законом, а код — судьей. Но в этом событии код оказался неэффективным, вмешательство управления, власть преобладает, что привело к модели "голосование определяет результат кода".
5.2 В сравнении с историческим "консенсусом по подделке"
Обратимся к истории: после события DAO в 2016 году Эфириум компенсировал убытки, откатив транзакции через хардфорк, что привело к разделению на Эфириум и Эфириум Классик. Биткойн также в 2010 году устранил уязвимость переполнения стоимости с помощью экстренного исправления и обновления правил консенсуса.
Все эти методы используют режим жесткого форка, чтобы откатить реестр до момента возникновения проблемы, пользователи могут самостоятельно решить, в какой системе реестра продолжать использование.
В отличие от этого, в данном случае не было выбрано разделение цепочки, а вместо этого было точно нацелено на это событие с помощью обновления протокола и настройки псевдонимов. Это сохранило непрерывность цепочки и большинство правил консенсуса без изменений, но в то же время указывает на то, что базовый протокол может быть использован для реализации целевых "операций по спасению".
5.3 "Не ваш ключ, не ваши монеты" конец?
С точки зрения долгосрочной перспективы, это означает, что идея "Not your keys, not your coins" была разрушена в этой цепочке: даже если у пользователя есть полный доступ к приватным ключам, сеть все равно может предотвратить движение активов и перенаправить их через коллективные изменения протокола.
Если это станет прецедентом для Блокчейн в ответ на крупные инциденты безопасности в будущем, и даже будет считаться практикой, которая может быть вновь соблюдена, тогда "когда одна цепочка может нарушить правила ради справедливости, у нее также есть прецедент для нарушения любых правил."
Как только произойдет успешная "благотворительная атака на деньги", в следующий раз это может быть операция в "моральной зоне неоднозначности".
5.4 Регулирование и душа Блокчейн
С точки зрения развития отрасли, нам нужно задуматься: является ли эффективная централизация необходимым этапом развития Блокчейн? Если конечная цель децентрализации — защита интересов пользователей, можем ли мы терпеть централизацию как переходное средство?
В контексте управления на Блокчейне, "демократия" фактически определяется весом токенов. Так, если хакер владеет большим количеством токенов или контролирует право голоса, может ли он также "легально голосовать, чтобы очистить свое имя"?
В конечном итоге, ценность Блокчейна заключается не в том, может ли он быть заморожен, а в том, что даже если у сообщества есть возможность заморозить, оно выбирает этого не делать. Будущее цепочки определяется не технической архитектурой, а той системой верований, которую она выбирает защищать.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
16 Лайков
Награда
16
7
Репост
Поделиться
комментарий
0/400
FundingMartyr
· 08-13 21:52
Ха-ха, еще один мошенник из мира криптовалют.
Посмотреть ОригиналОтветить0
WalletDoomsDay
· 08-13 13:43
Это всего лишь трюк капиталистов.
Посмотреть ОригиналОтветить0
MetaverseHermit
· 08-11 03:10
Сейчас Биткойн — это единственный бог
Посмотреть ОригиналОтветить0
SingleForYears
· 08-11 03:10
Эх, о какой Децентрализации еще можно говорить, если в конечном итоге все решает капитал.
Событие с хакером на блокчейне Sui вызвало кризис веры в индустрии: механизмы заморозки и возврата средств вызвали споры
Кризис веры в индустрии Блокчейн: размышления, вызванные событием с публичной цепочкой Sui
Введение
Недавние события отражают победу капитала, а не интересы пользователей. Это является шагом назад для развития отрасли.
Развитие биткойна и новых публичных блокчейнов совершенно различно. Каждый раз, когда происходят действия, подрывающие децентрализацию, это вызывает у людей еще более сильную веру в биткойн.
Миру нужно не только более совершенное глобальное финансовое инфраструктура, но и, что более важно, всегда сохранять свободное пространство.
Оглядываясь на историю, можно заметить, что альянсные цепи в какой-то момент были более популярны, чем публичные цепи, именно потому что они удовлетворяли регуляторные потребности того времени. Сегодня упадок альянсных цепей также означает, что простое соблюдение регуляторных требований не может удовлетворить реальные потребности пользователей. Если потеряны пользователи, подлежащие регуляции, то какое значение имеют регуляторные инструменты?
1. Обзор события
22 мая 2025 года крупнейшая децентрализованная биржа в экосистеме одного публичного блокчейна подверглась хакерской атаке, что привело к огромным потерям, более 220 миллионов долларов США оказались под угрозой. Ликвидность резко упала, и цены на несколько торговых пар обрушились.
После происшествия заинтересованные стороны быстро предприняли ряд мер:
2、Анализ принципов атаки
Злоумышленник использовал Flash Loan для заимствования большого количества токенов, что привело к резкому падению цен в торговом пуле. Затем злоумышленник создал ликвидные позиции в очень узком ценовом диапазоне, что увеличило влияние вычислительной ошибки на необходимое количество токенов.
Основная суть атаки заключается в том, что функция, используемая биржей для расчета необходимого количества токенов, имеет уязвимость переполнения целого числа. Атакующий заявляет о добавлении огромной ликвидности, но на самом деле вносит лишь небольшое количество токенов. Из-за ошибки в условиях обнаружения переполнения система серьезно недооценивала необходимое количество токенов, что позволило атакующему получить огромную ликвидность за очень низкую стоимость.
С технической точки зрения, уязвимость связана с использованием неправильной маски и условий проверки в смарт-контракте, что позволяет большому количеству значений обходить проверку. После операции сдвига влево старшие разряды данных отсекаются, и система считает, что получила огромную ликвидность, получая лишь очень маленькое количество токенов.
3、Механизм заморозки средств
Эта публичная цепочка имеет встроенный специальный механизм отказа, который позволяет замораживать средства хакеров. Кроме того, стандарт токенов также включает в себя режим "регулируемого токена" с встроенной функцией заморозки.
В данном экстренном замораживании использовалась эта особенность: валидаторы быстро добавили адреса, связанные с украденными средствами, в локальный конфигурационный файл. Теоретически каждый оператор узла может самостоятельно изменить конфигурацию и обновить черный список, но для обеспечения согласованности сети Фонд, как первоначальный издатель конфигурации, провел централизованную координацию.
Для последующего возврата средств команда также запустила патч механизма белого списка. Это позволяет заранее добавлять определенные транзакции в "список освобождения от проверки", что позволяет этим транзакциям пропускать все проверки безопасности, включая подписи, разрешения, черные списки и т.д.
Следует отметить, что патч белого списка не может напрямую перенести активы хакеров; он просто предоставляет некоторым транзакциям возможность обойти заморозку, а для реального переноса активов все еще требуется законная подпись или дополнительный модуль системных прав.
4、Принцип реализации возврата средств
Более удивительно то, что эта публичная цепочка не только заморозила активы хакера, но и планирует через обновление в цепочке "переместить и вернуть" украденные средства.
После одобрения голосования сообщества официально было объявлено, что замороженные средства будут переведены в мультиподписной кошелек без необходимости подписи хакера. Этот способ перевода без подписи первоначального владельца является беспрецедентным в индустрии Блокчейн.
С точки зрения технической реализации протокол ввел механизм псевдонимов адресов. Содержание обновления включает: предварительное указание правил псевдонимов в конфигурации, что позволяет некоторым разрешенным транзакциям рассматривать законные подписи как отправленные с аккаунта хакера.
Конкретно, список хешей спасительных транзакций, которые должны быть выполнены, связывается с целевым адресом (то есть адресом хакера). Любой исполнитель, который подписывает и публикует эти фиксированные摘要 транзакций, считается действительным владельцем адреса хакера, инициировавшим транзакцию. Для этих конкретных транзакций система узлов-валидаторов будет обходить проверку черного списка.
5、Мнения и размышления
5.1 Линия веры была нарушена
Это событие может быстро утихнуть, но модель, которую оно представляет, не будет забыта, поскольку она подрывает основы отрасли и нарушает традиционный консенсус о неоспоримости Блокчейн в одной и той же книге учета.
В проектировании Блокчейн контракты являются законом, а код — судьей. Но в этом событии код оказался неэффективным, вмешательство управления, власть преобладает, что привело к модели "голосование определяет результат кода".
5.2 В сравнении с историческим "консенсусом по подделке"
Обратимся к истории: после события DAO в 2016 году Эфириум компенсировал убытки, откатив транзакции через хардфорк, что привело к разделению на Эфириум и Эфириум Классик. Биткойн также в 2010 году устранил уязвимость переполнения стоимости с помощью экстренного исправления и обновления правил консенсуса.
Все эти методы используют режим жесткого форка, чтобы откатить реестр до момента возникновения проблемы, пользователи могут самостоятельно решить, в какой системе реестра продолжать использование.
В отличие от этого, в данном случае не было выбрано разделение цепочки, а вместо этого было точно нацелено на это событие с помощью обновления протокола и настройки псевдонимов. Это сохранило непрерывность цепочки и большинство правил консенсуса без изменений, но в то же время указывает на то, что базовый протокол может быть использован для реализации целевых "операций по спасению".
5.3 "Не ваш ключ, не ваши монеты" конец?
С точки зрения долгосрочной перспективы, это означает, что идея "Not your keys, not your coins" была разрушена в этой цепочке: даже если у пользователя есть полный доступ к приватным ключам, сеть все равно может предотвратить движение активов и перенаправить их через коллективные изменения протокола.
Если это станет прецедентом для Блокчейн в ответ на крупные инциденты безопасности в будущем, и даже будет считаться практикой, которая может быть вновь соблюдена, тогда "когда одна цепочка может нарушить правила ради справедливости, у нее также есть прецедент для нарушения любых правил."
Как только произойдет успешная "благотворительная атака на деньги", в следующий раз это может быть операция в "моральной зоне неоднозначности".
5.4 Регулирование и душа Блокчейн
С точки зрения развития отрасли, нам нужно задуматься: является ли эффективная централизация необходимым этапом развития Блокчейн? Если конечная цель децентрализации — защита интересов пользователей, можем ли мы терпеть централизацию как переходное средство?
В контексте управления на Блокчейне, "демократия" фактически определяется весом токенов. Так, если хакер владеет большим количеством токенов или контролирует право голоса, может ли он также "легально голосовать, чтобы очистить свое имя"?
В конечном итоге, ценность Блокчейна заключается не в том, может ли он быть заморожен, а в том, что даже если у сообщества есть возможность заморозить, оно выбирает этого не делать. Будущее цепочки определяется не технической архитектурой, а той системой верований, которую она выбирает защищать.