В Блокчейн-индустрии основополагающие убеждения подверглись испытанию: размышления о событиях в сети Sui

Введение

Недавние события знаменуют победу капитала, а не интересов пользователей, что является регрессом для развития отрасли. Направления развития Биткойна и Sui совершенно разные, и каждый раз, когда происходят действия, подрывающие децентрализацию, это вызывает у людей еще более твердую веру в Биткойн.

Миру нужно не только более совершенная глобальная финансовая инфраструктура, но и, что более важно, постоянное поддержание свободного пространства. Оглядываясь на историю, можно заметить, что консорциумные блоки когда-то были более популярны, чем публичные блоки, в основном потому, что они удовлетворяли требования регулирования того времени. Сегодня угасание консорциумных блоков означает, что простое соблюдение требований регулирования не может удовлетворить реальные потребности пользователей.

1. Фон события

22 мая 2025 года крупнейшая децентрализованная биржа в экосистеме одной из публичных блокчейнов подверглась хакерской атаке, что привело к резкому снижению ликвидности, обрушению цен на несколько торговых пар и убыткам более 220 миллионов долларов.

Хронология событий:

• 22 мая утром: Хакеры атаковали биржу, похитив 230 миллионов долларов, биржа срочно приостановила контракты и выпустила объявление.
• 22 мая в послеобеденное время: хакер вывел около 60 миллионов долларов через кросс-чейн, оставшиеся 162 миллиона долларов все еще находятся в блокчейне.
• 22 мая вечером: сторона публичной цепи подтвердила, что средства были заморожены, возврат начнется скоро.
• 23 мая: Биржа начала исправление уязвимостей и обновление контракта
• 24 мая: Разработчики публичной цепи объяснили, что будут использовать механизм псевдонимов для возврата средств с помощью белого списка.
• 26 мая: Запуск голосования по управлению на публичном блокчейне, предложение о выполнении обновления протокола и передаче активов хакеров на адрес хранения.
• 29 мая: опубликование результатов голосования, поддержка более 2/3 веса валидирующих узлов
• 30 мая - начало июня: вступление в силу обновления протокола, выполнение назначенного хеш-операции, активы хакеров были "законно переведены".

2. Принципы атаки

Атакующий сначала использует флеш-займ для заимствования большого количества токенов, что приводит к падению цены в пуле на 99,90%. Затем атакующий создает ликвидные позиции на бирже в очень узком ценовом диапазоне, увеличивая влияние последующих расчетных ошибок на необходимое количество токенов.

Суть атаки заключается в том, что в функции, используемой биржей для расчета необходимого количества токенов, существует уязвимость переполнения целого числа. Атакующий заявляет о намерении добавить огромную ликвидность, но фактически вносит только 1 токен. Из-за неправильной проверки условий переполнения система серьезно недооценивает необходимое количество токенов, что позволяет атакующему получить огромную ликвидность за минимальные затраты.

3. Механизм заморозки публичных цепей

Внутри этой публичной цепочки существует специальный механизм черного списка, который реализует заморозку средств хакеров. Кроме того, ее стандарт токенов также имеет режим "регулируемых токенов", с встроенной функцией заморозки.

В узле валидатора быстро добавлены адреса, связанные с украденными средствами, в локальный файл конфигурации. Фонд публичной цепи осуществил централизованную координацию как первоначальный издатель конфигурации, сначала официально выпустив обновление конфигурации с адресами хакера, валидаторы синхронизируют по умолчанию.

Чтобы освободить жертв из замороженных средств, команда публичной блокчейн запустила патч механизма белого списка. Эта новая функция позволяет заранее добавлять определенные транзакции в "список освобождения от проверки", позволяя этим транзакциям пропускать все проверки безопасности, включая подписи, разрешения, черные списки и т. д.

4. Принцип реализации "переводного возврата" в публичном блоке

Публичная цепочка не только заморозила активы хакеров, но и планирует через в блокчейне обновление "перемещение возврата" украденных средств. Биржа предложила план голосования сообщества, требуя обновления протокола, чтобы отправить замороженные средства в многоподписной кошелек.

Официальная публичная цепочка внедрила механизм псевдонимов адресов. Содержимое обновления включает: предварительное указание правил псевдонимов в конфигурации протокола, что позволяет некоторым разрешенным транзакциям рассматривать законные подписи как отправленные с аккаунта хакера. Конкретно, список хешей спасительных транзакций, которые необходимо выполнить, связывается с целевым адресом (то есть адресом хакера), и любой исполнитель, подписывающий и публикующий эти фиксированные сводки транзакций, рассматривается как инициатор транзакции, имеющий действующий адрес хакера.

5. Мнение

1,6 миллиарда долларов, разорвав самые глубокие основания веры в индустрии

Это событие разрушило основы отрасли и нарушило традиционный консенсус о неизменности блокчейна в одной и той же книге учета. В дизайне блокчейна контракт является законом, а код — судьей. Но в этом случае код стал недействительным, вмешательство управления, власть преобладала, что привело к модели "голосование определяет результат кода".

Это не первый раз "изменения консенсуса", но это был самый тихий раз.

В истории Эфириум однажды откатил транзакции через жесткий форк для возмещения потерь, а Биткойн также срочно исправлял уязвимость переполнения стоимости. Но на этот раз публичная цепочка не выбрала разделение цепи, а точно нацелилась на это событие с помощью обновления протокола и настройки псевдонимов.

Это означает, что идея «Не ваши ключи, не ваши монеты» была разрушена на этом Блокчейн: даже если у пользователя есть полный доступ к приватным ключам, сеть все равно может предотвратить движение активов и перенаправить их через коллективные изменения протокола.

Будущие возможные события

Если это станет прецедентом для того, как Блокчейн будет реагировать на крупные инциденты безопасности в будущем, это может вызвать ряд проблем. На основании чего будет проходить голосование: у кого больше денег или у кого больше людей? Это может привести к появлению "конечных производителей" или к возникновению голосов толпы.

Сегодня можно заморозить и изменить баланс счета из-за хакеров, а завтра это может быть сделано из-за геополитических факторов или конфликтов. Если Блокчейн станет частью региональных инструментов, ценность отрасли будет значительно снижена, и в лучшем случае это будет просто еще одна неэффективная финансовая система.

Регулирование становится тенденцией, сможет ли Блокчейн сохранить свою душу?

Является ли эффективная централизация необходимым этапом в развитии Блокчейна? Если конечной целью децентрализации является защита интересов пользователей, можем ли мы терпеть централизацию как переходный метод?

Ценность Блокчейн не в том, можно ли его заморозить, а в том, что даже если группа имеет возможность заморозить, она выбирает этого не делать. Будущее одной цепочки определяется не технической архитектурой, а тем набором верований, который она выбирает защищать.