Віра в основи індустрії блокчейну під загрозою: роздуми про події на Sui у блокчейні

Вступ

Нещодавні події позначають перемогу капіталу, а не перемогу інтересів користувачів, що є кроком назад для розвитку галузі. Розвиток біткойна і Sui кардинально відрізняється, і щоразу, коли відбуваються дії, які підривають децентралізацію в галузі, це викликає в людей ще більшу віру в біткойн.

Світ потребує не лише більш досконалої глобальної фінансової інфраструктури, але й важливо зберігати вільний простір. Оглядаючи історію, альянс-ланцюги колись були більш популярні, ніж публічні ланцюги, головним чином через те, що вони відповідали регуляторним вимогам того часу. Сьогодні занепад альянс-ланцюгів означає, що просте дотримання регуляторних вимог не може задовольнити реальні потреби користувачів.

1. Передумови події

22 травня 2025 року найбільша децентралізована біржа в екосистемі певного Блокчейн зазнала хакерської атаки, що призвело до різкого зниження ліквідності, обвалу цін на кілька торгових пар та збитків, що перевищують 220 мільйонів доларів.

Хронологія розвитку подій:

• 22 травня вранці: Хакерська атака на біржу, що призвела до втрати 230 мільйонів доларів, біржа терміново призупинила контракти та опублікувала оголошення
• 22 травня вдень: хакер перевів близько 60 мільйонів доларів через Блокчейн, залишок у 162 мільйони доларів все ще у блокчейні.
• 22 травня ввечері: сторона публічного блокчейну підтвердила, що кошти були заморожені, повернення незабаром почнеться.
• 23 травня: Біржа почала виправлення вразливостей та оновлення контракту
• 24 травня: представник публічної мережі пояснив, що повернення коштів буде здійснено через механізм псевдонімів та білий список.
• 26 травня: Публічний блокчейн розпочинає голосування з управління у блокчейні, пропозиція щодо виконання оновлення протоколу, передачі активів хакера на адреси зберігання
• 29 травня: опубліковано результати голосування, більше 2/3 ваги верифікаційних вузлів підтримують
• 30 травня - початок червня: оновлення протоколу набирає чинності, призначений хеш угоди виконується, активи хакера "легально переводяться"

2. Принцип атаки

Зловмисник спочатку використовує кредитування через блискавку для позики великої кількості токенів, що призводить до падіння ціни в торговому пулі на 99,90%. Потім зловмисник створює ліквідні позиції на біржі в дуже вузькому ціновому діапазоні, що посилює вплив наступних обчислювальних помилок на необхідну кількість токенів.

Ядром атаки є наявність вразливості переповнення цілих чисел у функції, яку використовує біржа для обчислення необхідної кількості токенів. Атакуючий стверджує, що хоче додати величезну ліквідність, але насправді вкладає лише 1 токен. Через помилкову перевірку умов переповнення система серйозно недооцінює необхідну кількість токенів, що дозволяє атакуючому отримати величезну ліквідність за дуже низьку вартість.

3. Механізм заморожування публічних блоків

У цій публічній блокчейн-мережі існує спеціальний механізм списку відмов, який реалізує замороження коштів у результаті цього хакерського нападу. Крім того, її стандарт токенів також має режим "регульованих токенів", що має вбудовану функцію замороження.

Валідатор додав адреси, пов'язані із вкраденими коштами, до локального конфігураційного файлу. Фонд публічної блокчейн-мережі провів централізовану координацію як первинний розповсюджувач конфігурацій, спочатку офіційно опублікувавши оновлення конфігурації з адресами хакерів, валідатори синхронізувалися з конфігурацією за замовчуванням.

Щоб врятувати жертв з заморожених коштів, команда публічної блокчейн запровадила патч механізму білого списку. Ця нова функція дозволяє попередньо додавати певні транзакції до "списку без перевірки", що дозволяє цим транзакціям пропускати всі перевірки безпеки, включаючи підписи, дозволи, чорні списки тощо.

4. Принцип реалізації "переведення коштів" в державній мережі

Громадський блокчейн не лише заморозив активи хакерів, але й планує через у блокчейні оновлення "перемістити повернення" вкрадені кошти. Біржа запропонувала план голосування для громади, що вимагає оновлення протоколу, щоб заморожені кошти були надіслані до мультипідписного гаманця з ескроу.

Офіційна публічна блокчейн платформа впровадила механізм адресних псевдонімів. Вміст оновлення включає: попереднє визначення правил псевдонімів у конфігурації протоколу, що дозволяє деяким допустимим транзакціям розглядати легітимні підписи як такі, що надсилаються з рахунку хакера. Конкретно, список хешів рятувальних транзакцій, що виконуються, пов'язується з цільовою адресою (тобто адресою хакера), і будь-який виконавець, що підписує та публікує ці фіксовані підсумки транзакцій, вважається дійсним власником адреси хакера, який ініціював транзакцію.

5. Точка зору

1.6 мільярда доларів США, розірвавши найглибшу основну віру в індустрії

Ця подія зруйнувала основи галузі, порушивши традиційний консенсус незмінності Блокчейн в рамках одного й того ж реєстру. У дизайні блокчейну контракт є законом, а код є суддею. Але в цій події код втратив силу, управлінське втручання, влада переважає, що сформувало модель "голосування як рішення для результатів коду".

Це не перший випадок "підробки консенсусу", але це був найтихіший з них.

В історії Блокчейн, Ефіріум колись повертав транзакції через хард-форк, щоб відшкодувати збитки, а Біткойн також терміново виправляв уразливість переповнення вартості. Але цього разу публічна ланцюгова мережа не вибрала розділення ланцюга, а точно націлилася на цю подію через оновлення протоколу та налаштування альтернативних імен.

Це означає, що ідея "Not your keys, not your coins" була зруйнована на цьому Блокчейні: навіть якщо користувач має повний доступ до своїх приватних ключів, мережа все ще може за допомогою колективних змін протоколу перешкоджати руху активів і перенаправляти їх.

Можливі ситуації в майбутньому

Якщо це стане прецедентом для Блокчейн у майбутньому у відповідь на великі безпекові події, це може викликати низку питань. На основі чого голосують: чи то більше грошей, чи більше людей? Це може призвести до появи "кінцевих виробників" або до наростання голосу натовпу.

Сьогодні можна заморозити та змінити баланс рахунку через хакерів, а завтра це може бути зроблено з геополітичних чи конфліктних причин. Якщо Блокчейн стане регіональним інструментом, вартість галузі значно зменшиться, і в кращому випадку це буде ще одна, гірша фінансова система.

Регулювання є тенденцією, чи зможе Блокчейн зберегти свою душу?

Чи є ефективна централізація обов'язковим етапом розвитку Блокчейн? Якщо остаточною метою децентралізації є забезпечення інтересів користувачів, чи можемо ми терпіти централізацію як перехідний засіб?

Цінність Блокчейн не в тому, чи може він бути заморожений, а в тому, що навіть якщо спільнота має можливість заморозити, вона вибирає цього не робити. Майбутнє однієї ланки не визначається технічною архітектурою, а тим, яку віру вона обирає охороняти.