Криза віри в індустрії Блокчейн: глибокі роздуми, викликані інцидентом з Sui публічною ланцюгом
Вступ
Нещодавні події відображають перемогу капіталу, а не інтересів користувачів. Це є відкатом для розвитку галузі.
Розвиток біткоїна та нових публічних блокчейнів кардинально відрізняється, і кожного разу, коли з'являються дії, що підривають децентралізацію, це викликає в людей ще більшу віру в біткоїн.
Світ потребує не лише більш досконалої глобальної фінансової інфраструктури, але, що більш важливо, завжди підтримувати вільний простір.
Оглядаючись на історію, альянс-ланцюги колись були більш популярними, ніж публічні ланцюги, оскільки вони відповідали вимогам регулювання того часу. Сьогодні занепад альянс-ланцюгів також означає, що просте дотримання вимог регулювання не може задовольнити справжні потреби користувачів. Втративши користувачів, які підлягають регулюванню, якою ж користю є інструменти регулювання?
1、Огляд подій
22 травня 2025 року найбільша децентралізована біржа в екосистемі певного блокчейну зазнала хакерської атаки, що призвела до величезних втрат — постраждало понад 220 мільйонів доларів. Ліквідність різко знизилася, а ціни на кілька торгових пар обвалилися.
Після виникнення події, відповідні сторони швидко вжили низку заходів:
Біржа терміново призупинила контракт і опублікувала оголошення
Вузли верифікації вживають заходів, щоб занести адресу хакера до "чорного списку відмови в обслуговуванні" та заморозити кошти
Почати виправлення вразливостей та оновлення контракту
Запустіть голосування з управління на блокчейні, обговоріть, чи слід виконати оновлення протоколу для переміщення активів хакерів
Результати голосування показують, що більше 2/3 ваги валідаторів підтримують цю пропозицію
Оновлення протоколу набрало чинності, призначена угода була виконана, активи хакера були переведені
2、Аналіз принципів атаки
Атакуючи використали швидкі кредити для позики великої кількості токенів, що призвело до різкого падіння цін у торговому пулі. Потім атакуючий створив ліквідні позиції в дуже вузькому ціновому діапазоні, що збільшило вплив обчислювальної помилки на необхідну кількість токенів.
Атака полягає в тому, що функція, яка використовується біржею для розрахунку необхідної кількості токенів, має вразливість з переповненням цілого числа. Зловмисник оголошує про додавання величезної ліквідності, але насправді вкладає лише невелику кількість токенів. Через помилку в умовах перевірки переповнення система серйозно недооцінює необхідну кількість токенів, що дозволяє зловмиснику отримати величезну ліквідність за дуже низьку вартість.
З технічної точки зору, ця вразливість виникає через використання неправильних масок і умов у смарт-контракті, що призводить до того, що велика кількість значень може обходити перевірку. Після операції зсуву вліво старші біти даних відсікаються, і система вважає, що отримала величезну ліквідність, отримуючи лише дуже небагато токенів.
3、Механізм замороження коштів
Ця публічна блокчейн-мережа має вбудований спеціальний механізм списку відмов, що дозволяє заморожувати кошти хакерів. Крім того, її стандарт токенів також включає режим "регульованих токенів" з вбудованою функцією заморожування.
Це термінове заморожування скористалося цією особливістю: вузли перевірки швидко додали адреси, пов'язані з вкраденими коштами, до локального конфігураційного файлу. Теоретично кожен оператор вузла може самостійно змінювати конфігурацію для оновлення чорного списку, але для забезпечення узгодженості мережі фонд, як первинний постачальник конфігурації, провів централізовану координацію.
Для подальшого повернення коштів команда також запровадила патч механізму білого списку. Це дозволяє попередньо додавати певні транзакції до "списку без перевірки", що дозволяє цим транзакціям обходити всі перевірки безпеки, включаючи підпис, права доступу, чорний список тощо.
Слід звернути увагу на те, що патч білого списку не може безпосередньо перемістити активи хакера; він лише надає певним транзакціям можливість обійти замороження, справжній переказ активів все ще потребує законного підпису або додаткового модуля системних прав.
4、Принцип реалізації повернення коштів
Ще більш вражаючим є те, що ця публічна блокчейн не лише заморозила активи хакера, але й планує через оновлення в мережі "перемістити повернуті" вкрадені кошти.
Після того, як голосування спільноти пройшло, офіційно було оголошено, що заморожені кошти будуть переведені в багатопідписаний гаманець без підпису хакерів. Такий спосіб передачі, який не вимагає підпису від початкового власника, є безпрецедентним в індустрії Блокчейн.
З технічної точки зору, протокол вводить механізм псевдонімів адрес. До складу оновлення входить: попереднє визначення правил псевдонімів у конфігурації, що дозволяє певним дозволеним транзакціям вважати законний підпис таким, що надіслано з акаунта хакера.
Конкретно, список хешів рятувальних транзакцій, які потрібно виконати, прив'язується до цільової адреси (тобто адреси хакера). Будь-який виконавець, який підписує та публікує ці фіксовані підсумки транзакцій, вважається дійсним власником адреси хакера, який ініціював транзакцію. Щодо цих конкретних транзакцій, система вузлів-верифікаторів обійде перевірку чорного списку.
5、Погляди та роздуми
5.1 Межа віри була подолана
Ця подія може швидко вщухнути, але модель, яку вона представляє, не буде забута, оскільки вона підриває основу галузі, руйнуючи традиційний консенсус незмінності Блокчейн в одному реєстрі.
У дизайні Блокчейн контракти є законом, а код є суддею. Але в цій події код втратив силу, управлінське втручання, влада домінує, сформувавши модель "голосування визначає результати коду".
5.2 у порівнянні з історичним "консенсусом щодо підробки"
Оглядаючись на історію, Ethereum у 2016 році після подій DAO відкотило транзакції через хард-форк, щоб компенсувати збитки, що призвело до розділення Ethereum та Ethereum Classic. Bitcoin також у 2010 році вирішив вразливість надмірної вартості шляхом термінового виправлення та оновлення правил консенсусу.
Це все реалізовано за допомогою жорсткого форку, що дозволяє повернути книгу обліку до моменту виникнення проблеми, користувачі можуть самостійно вирішувати, в якій системі обліку продовжувати використовувати.
У порівнянні з цим, у цій події не було обрано розділення блоків, а натомість було точно націлено на цю подію шляхом оновлення протоколу та конфігурації псевдонімів. Це зберегло безперервність блокчейну та більшість правил консенсусу незмінними, але також показує, що базовий протокол може бути використано для реалізації цільових "рятувальних операцій".
5.3 "Не ваш ключ, не ваша монета" кінець?
З довгострокової перспективи це означає, що концепція «Не ваші ключі, не ваші монети» на цьому Блокчейн розвалюється: навіть якщо приватний ключ користувача є повним, мережа все ще може через колективні зміни протоколу завадити руху активів і перенаправити активи.
Якщо це стане прецедентом для блокчейн-технологій у відповідь на великі безпекові інциденти, і навіть буде вважатися звичаєм, якого можна дотримуватися в майбутньому, тоді "коли ланцюг може порушити правила заради справедливості, він також має прецедент для порушення будь-яких правил."
Одного разу, коли буде успішний "благодійний грабіж", наступного разу це може бути дія в "морально неоднозначній зоні".
5.4 Регулювання та душа Блокчейн
З точки зору розвитку галузі, нам потрібно подумати: чи є ефективна централізація обов'язковим етапом розвитку Блокчейн? Якщо остатньою метою децентралізації є забезпечення інтересів користувачів, чи можемо ми терпіти централізацію як перехідний засіб?
У контексті управління в Блокчейн, «демократія» насправді визначається вагою токенів. Отже, якщо хакер володіє великою кількістю токенів або контролює право голосу, чи може він також «легітимно проголосувати, щоб виправдати себе»?
Врешті-решт, цінність Блокчейн не в тому, чи може він бути заморожений, а в тому, що навіть якщо спільнота має можливість заморозити, вона обирає цього не робити. Майбутнє ланцюга визначається не технічною архітектурою, а тією системою вірувань, яку він обирає захищати.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
16 лайків
Нагородити
16
7
Репост
Поділіться
Прокоментувати
0/400
FundingMartyr
· 08-13 21:52
Хе-хе, ще один шахрайство криптосвіт капіталіст.
Переглянути оригіналвідповісти на0
WalletDoomsDay
· 08-13 13:43
Це всього лише хитрощі капіталістів.
Переглянути оригіналвідповісти на0
MetaverseHermit
· 08-11 03:10
Зараз Біткойн є єдиним богом
Переглянути оригіналвідповісти на0
SingleForYears
· 08-11 03:10
Ай, про що ще говорити про Децентралізацію, якщо все ще вирішує капітал.
Інцидент з хакером на публічному ланцюгу Sui викликав кризу довіри в індустрії: механізми замороження та повернення коштів викликали суперечки
Криза віри в індустрії Блокчейн: глибокі роздуми, викликані інцидентом з Sui публічною ланцюгом
Вступ
Нещодавні події відображають перемогу капіталу, а не інтересів користувачів. Це є відкатом для розвитку галузі.
Розвиток біткоїна та нових публічних блокчейнів кардинально відрізняється, і кожного разу, коли з'являються дії, що підривають децентралізацію, це викликає в людей ще більшу віру в біткоїн.
Світ потребує не лише більш досконалої глобальної фінансової інфраструктури, але, що більш важливо, завжди підтримувати вільний простір.
Оглядаючись на історію, альянс-ланцюги колись були більш популярними, ніж публічні ланцюги, оскільки вони відповідали вимогам регулювання того часу. Сьогодні занепад альянс-ланцюгів також означає, що просте дотримання вимог регулювання не може задовольнити справжні потреби користувачів. Втративши користувачів, які підлягають регулюванню, якою ж користю є інструменти регулювання?
1、Огляд подій
22 травня 2025 року найбільша децентралізована біржа в екосистемі певного блокчейну зазнала хакерської атаки, що призвела до величезних втрат — постраждало понад 220 мільйонів доларів. Ліквідність різко знизилася, а ціни на кілька торгових пар обвалилися.
Після виникнення події, відповідні сторони швидко вжили низку заходів:
2、Аналіз принципів атаки
Атакуючи використали швидкі кредити для позики великої кількості токенів, що призвело до різкого падіння цін у торговому пулі. Потім атакуючий створив ліквідні позиції в дуже вузькому ціновому діапазоні, що збільшило вплив обчислювальної помилки на необхідну кількість токенів.
Атака полягає в тому, що функція, яка використовується біржею для розрахунку необхідної кількості токенів, має вразливість з переповненням цілого числа. Зловмисник оголошує про додавання величезної ліквідності, але насправді вкладає лише невелику кількість токенів. Через помилку в умовах перевірки переповнення система серйозно недооцінює необхідну кількість токенів, що дозволяє зловмиснику отримати величезну ліквідність за дуже низьку вартість.
З технічної точки зору, ця вразливість виникає через використання неправильних масок і умов у смарт-контракті, що призводить до того, що велика кількість значень може обходити перевірку. Після операції зсуву вліво старші біти даних відсікаються, і система вважає, що отримала величезну ліквідність, отримуючи лише дуже небагато токенів.
3、Механізм замороження коштів
Ця публічна блокчейн-мережа має вбудований спеціальний механізм списку відмов, що дозволяє заморожувати кошти хакерів. Крім того, її стандарт токенів також включає режим "регульованих токенів" з вбудованою функцією заморожування.
Це термінове заморожування скористалося цією особливістю: вузли перевірки швидко додали адреси, пов'язані з вкраденими коштами, до локального конфігураційного файлу. Теоретично кожен оператор вузла може самостійно змінювати конфігурацію для оновлення чорного списку, але для забезпечення узгодженості мережі фонд, як первинний постачальник конфігурації, провів централізовану координацію.
Для подальшого повернення коштів команда також запровадила патч механізму білого списку. Це дозволяє попередньо додавати певні транзакції до "списку без перевірки", що дозволяє цим транзакціям обходити всі перевірки безпеки, включаючи підпис, права доступу, чорний список тощо.
Слід звернути увагу на те, що патч білого списку не може безпосередньо перемістити активи хакера; він лише надає певним транзакціям можливість обійти замороження, справжній переказ активів все ще потребує законного підпису або додаткового модуля системних прав.
4、Принцип реалізації повернення коштів
Ще більш вражаючим є те, що ця публічна блокчейн не лише заморозила активи хакера, але й планує через оновлення в мережі "перемістити повернуті" вкрадені кошти.
Після того, як голосування спільноти пройшло, офіційно було оголошено, що заморожені кошти будуть переведені в багатопідписаний гаманець без підпису хакерів. Такий спосіб передачі, який не вимагає підпису від початкового власника, є безпрецедентним в індустрії Блокчейн.
З технічної точки зору, протокол вводить механізм псевдонімів адрес. До складу оновлення входить: попереднє визначення правил псевдонімів у конфігурації, що дозволяє певним дозволеним транзакціям вважати законний підпис таким, що надіслано з акаунта хакера.
Конкретно, список хешів рятувальних транзакцій, які потрібно виконати, прив'язується до цільової адреси (тобто адреси хакера). Будь-який виконавець, який підписує та публікує ці фіксовані підсумки транзакцій, вважається дійсним власником адреси хакера, який ініціював транзакцію. Щодо цих конкретних транзакцій, система вузлів-верифікаторів обійде перевірку чорного списку.
5、Погляди та роздуми
5.1 Межа віри була подолана
Ця подія може швидко вщухнути, але модель, яку вона представляє, не буде забута, оскільки вона підриває основу галузі, руйнуючи традиційний консенсус незмінності Блокчейн в одному реєстрі.
У дизайні Блокчейн контракти є законом, а код є суддею. Але в цій події код втратив силу, управлінське втручання, влада домінує, сформувавши модель "голосування визначає результати коду".
5.2 у порівнянні з історичним "консенсусом щодо підробки"
Оглядаючись на історію, Ethereum у 2016 році після подій DAO відкотило транзакції через хард-форк, щоб компенсувати збитки, що призвело до розділення Ethereum та Ethereum Classic. Bitcoin також у 2010 році вирішив вразливість надмірної вартості шляхом термінового виправлення та оновлення правил консенсусу.
Це все реалізовано за допомогою жорсткого форку, що дозволяє повернути книгу обліку до моменту виникнення проблеми, користувачі можуть самостійно вирішувати, в якій системі обліку продовжувати використовувати.
У порівнянні з цим, у цій події не було обрано розділення блоків, а натомість було точно націлено на цю подію шляхом оновлення протоколу та конфігурації псевдонімів. Це зберегло безперервність блокчейну та більшість правил консенсусу незмінними, але також показує, що базовий протокол може бути використано для реалізації цільових "рятувальних операцій".
5.3 "Не ваш ключ, не ваша монета" кінець?
З довгострокової перспективи це означає, що концепція «Не ваші ключі, не ваші монети» на цьому Блокчейн розвалюється: навіть якщо приватний ключ користувача є повним, мережа все ще може через колективні зміни протоколу завадити руху активів і перенаправити активи.
Якщо це стане прецедентом для блокчейн-технологій у відповідь на великі безпекові інциденти, і навіть буде вважатися звичаєм, якого можна дотримуватися в майбутньому, тоді "коли ланцюг може порушити правила заради справедливості, він також має прецедент для порушення будь-яких правил."
Одного разу, коли буде успішний "благодійний грабіж", наступного разу це може бути дія в "морально неоднозначній зоні".
5.4 Регулювання та душа Блокчейн
З точки зору розвитку галузі, нам потрібно подумати: чи є ефективна централізація обов'язковим етапом розвитку Блокчейн? Якщо остатньою метою децентралізації є забезпечення інтересів користувачів, чи можемо ми терпіти централізацію як перехідний засіб?
У контексті управління в Блокчейн, «демократія» насправді визначається вагою токенів. Отже, якщо хакер володіє великою кількістю токенів або контролює право голосу, чи може він також «легітимно проголосувати, щоб виправдати себе»?
Врешті-решт, цінність Блокчейн не в тому, чи може він бути заморожений, а в тому, що навіть якщо спільнота має можливість заморозити, вона обирає цього не робити. Майбутнє ланцюга визначається не технічною архітектурою, а тією системою вірувань, яку він обирає захищати.