هذه الحادثة هي انتصار لرأس المال، وليس للمستخدم، وهي تراجع لصناعة التطوير.
بيتكوين إلى اليسار، Sui إلى اليمين، وكل حركة تتزعزع بها صناعة اللامركزية تأتي لتعزز من الإيمان ببيتكوين.
العالم يحتاج إلى أكثر من مجرد بنية تحتية مالية عالمية أفضل، بل سيظل هناك دائمًا مجموعة من الناس بحاجة إلى مساحة حرة.
في وقت من الأوقات، كانت الشبكة المتحالفة أكثر ازدهارًا من الشبكة العامة، وذلك لأنها كانت تلبي احتياجات الرقابة في ذلك الوقت. اليوم، فإن تراجع الشبكة المتحالفة يعني في الواقع أنها لم تعد تلبي احتياجات المستخدمين الحقيقية، بعد أن فقدت المستخدمين الذين يتبعون الرقابة، فما الحاجة إلى أدوات الرقابة؟
1، خلفية الحدث
في 22 مايو 2025، تعرض أكبر بورصة لامركزية في نظام Sui البيئي (DEX) Cetus لهجوم قرصنة، مما أدى إلى انخفاض حاد في السيولة، وانهيار أسعار العديد من أزواج التداول، وبلغت الخسائر أكثر من 220 مليون دولار.
اعتبارا من وقت النشر، يكون الجدول الزمني كما يلي:
في صباح 22 مايو، هاجم قراصنة نظام Cetus وسرقوا 230 مليون دولار، وقامت Cetus بإيقاف العقد بشكل عاجل وأصدرت إعلانًا.
بعد ظهر يوم 22 مايو ، قام المتسلل بتحويل حوالي 60 مليون دولار عبر السلسلة ، وكان المبلغ المتبقي البالغ 162 مليون دولار لا يزال في عنوان Sui على السلسلة
في مساء 22 مايو، أكد CPO Sui @emanabio عبر تويتر: تم تجميد الأموال، وستبدأ عملية الإرجاع قريبًا.
في 23 مايو، بدأت Cetus بإصلاح الثغرات وتحديث العقد
في 24 مايو، قدم Sui PR مفتوح المصدر، موضحًا أنه سيتم استرداد الأموال من خلال آلية الأسماء المستعارة (aliasing) والقائمة البيضاء (whitelist).
في 26 مايو، أطلقت Sui تصويتًا على الحوكمة على السلسلة، حيث اقترحت ما إذا كان يجب تنفيذ ترقية البروتوكول، ونقل أصول القراصنة إلى عنوان الحفظ.
في 29 مايو، تم الإعلان عن نتائج التصويت، حيث دعم أكثر من ثلثي وزن العقد المصدقين؛ تم إعداد ترقية البروتوكول للتنفيذ.
30 مايو - أوائل يونيو، ساري مفعول ترقية البروتوكول، تم تنفيذ تجزئة الصفقة المحددة، تم "نقل" أصول الهاكر بشكل "قانوني"
2، مبدأ الهجوم
تتعلق المبادئ الأساسية للأحداث، وقد تم تقديم العديد من المقالات في هذا المجال، هنا فقط نظرة عامة على المبادئ الأساسية:
من حيث سير الهجوم:
المهاجم استخدم أولاً قرضًا سريعًا لاقتراض حوالي 10,024,321.28 من haSUI، مما أدى إلى انخفاض سعر حمولة التداول في瞬ة.
99.90%. أدت هذه الصفقة الضخمة إلى انخفاض سعر صندوق الهدف من حوالي 1.8956×10^19 إلى 1.8425×10^19، مما أدى إلى تقريباً تفريغ كامل.
بعد ذلك، قام المهاجم بإنشاء موقف سيولة على Cetus ضمن نطاق ضيق جدًا (حد أدنى للتكتل 300000، حد أقصى 300200، عرض النطاق 1.00496621% فقط). هذا النطاق الضيق يعزز تأثير الأخطاء الحسابية اللاحقة على عدد الرموز المطلوبة.
ومبدأ الهجوم الأساسي:
يوجد في دالة get_delta_a المستخدمة في Cetus لحساب عدد الرموز المطلوبة ثغرة في تجاوز العدد الصحيح. يعلن المهاجم عمدًا عن إضافة سيولة ضخمة (حوالي 10^37 وحدة)، لكنه في الواقع يضيف فقط رمزًا واحدًا إلى العقد.
بسبب خطأ في شرط كشف الفيضانات لـ checked_shlw، حدث قطع عالي أثناء حساب النقل إلى اليسار في العقد، مما أدى إلى تقدير النظام بشكل خاطئ للعدد المطلوب من haSUI، وبالتالي حصل على سيولة ضخمة بتكلفة ضئيلة.
من الناحية التقنية، فإن الثغرة المذكورة ناتجة عن استخدام Cetus لقناع وشروط判断 خاطئة في عقد Move الذكي، مما يسمح لأي قيمة أقل من 0xffffffffffffffff << 192 بتجاوز الكشف؛ بينما يتم قطع البيانات العليا بعد التحول إلى اليسار بمقدار 64 بت، مما يجعل النظام يعتبر أنه حصل على سيولة هائلة مقابل جمع كمية ضئيلة من الرموز.
بعد حدوث الحدث، نشأت عمليتان رسميتان: "التجميد" مقابل "الاسترداد"، وهما مرحلتان:
تكتمل مرحلة التجميد بفضل قائمة الرفض + توافق العقد.
تتطلب مرحلة الاسترداد ترقية بروتوكول على السلسلة + تصويت المجتمع + تنفيذ معاملات محددة لتجاوز القائمة السوداء.
3، آلية تجميد Sui
توجد قائمة رفض خاصة على سلسلة Sui نفسها ( والتي تسببت في تجميد أموال القراصنة هذه المرة. وليس ذلك فحسب، فإن معيار رمز Sui يحتوي أيضًا على وضع "رموز خاضعة للتنظيم"، مع وظيفة تجميد مدمجة.
يستفيد هذا التجميد في حالات الطوارئ من هذه الميزة: تضيف عقد المدقق بسرعة عناوين متعلقة بالأموال المسروقة في ملفات التكوين المحلية الخاصة بها. من الناحية النظرية ، يمكن لكل مشغل عقدة تعديل TransactionDenyConfig لتحديث القائمة السوداء من تلقاء نفسه ، ولكن من أجل ضمان اتساق الشبكة ، قامت مؤسسة Sui بتنسيق مركزي كناشر التكوين الأصلي.
أصدرت المؤسسة أولاً تحديثاً رسمياً يتضمن عناوين القراصنة، وتمكن المدققون من التزامن بفعالية وفقاً للإعدادات الافتراضية، مما جعل أموال القراصنة محصورة مؤقتاً على السلسلة، وهناك في الواقع عوامل مركزة عالية وراء ذلك.
من أجل إنقاذ الضحايا من الأموال المجمدة ، أطلق فريق Sui على الفور تصحيحا لآلية )Whitelist( القائمة البيضاء.
هذا يتعلق بعمليات إعادة الأموال في المستقبل. يمكن بناء معاملات قانونية مسبقًا وتسجيلها في القائمة البيضاء، حتى إذا كان عنوان الأموال لا يزال في القائمة السوداء، يمكن تنفيذها قسريًا.
تسمح هذه الميزة الجديدة ، المعاملة \ _allow \ _list \ _skip \ _all \ _checks بإضافة معاملات محددة مسبقا إلى القائمة "غير الخاضعة للرقابة" ، بحيث يمكن لهذه المعاملات تخطي جميع عمليات التحقق الأمنية ، بما في ذلك التوقيعات والأذونات والقوائم السوداء وما إلى ذلك.
من المهم ملاحظة أن تصحيح القائمة البيضاء لا يمكنه سرقة أصول الهاكر مباشرة؛ بل إنه يمنح بعض المعاملات القدرة على تجاوز التجميد، ولا يزال يتعين نقل الأصول الحقيقية بتوقيع قانوني أو وحدة أذونات إضافية.
في الواقع، فإن خطط التجميد السائدة في الصناعة غالبًا ما تحدث على مستوى عقد الرموز، وتكون تحت سيطرة التوقيع المتعدد من قبل الجهة المصدرة.
على سبيل المثال، بالنظر إلى USDT الصادر عن Tether، يحتوي العقد على وظيفة قائمة سوداء مدمجة، حيث يمكن للشركة المصدرة تجميد العناوين المخالفة، مما يجعلها غير قادرة على تحويل USDT. تتطلب هذه الخطة توقيعًا متعددًا لبدء طلب التجميد على السلسلة، وبعد توافق التوقيعات المتعددة يتم التنفيذ فعليًا، مما يؤدي إلى وجود تأخير في التنفيذ.
على الرغم من أن آلية تجميد Tether فعالة، تشير الإحصاءات إلى أن عملية التوقيع المتعدد غالبًا ما تظهر "فترة فراغ"، مما يتيح فرصًا للمجرمين.
بالمقابل، تحدث عملية التجميد في Sui على مستوى البروتوكول الأساسي، من خلال العمليات الجماعية لعقد التحقق، مما يجعل سرعة التنفيذ تفوق بكثير استدعاءات العقود العادية.
في هذا النظام، إذا كان من المطلوب أن يتم التنفيذ بسرعة كافية، فهذا يعني أن إدارة هذه العقد من المدققين نفسها يجب أن تكون موحدة بشكل كبير.
3، مبدأ تنفيذ "استرداد التحويل" في Sui
الأكثر إثارة للدهشة هو أن Sui لم تقم فقط بتجميد أصول القراصنة، بل تخطط أيضًا لاستعادة الأموال المسروقة من خلال ترقية على السلسلة "إعادة التوجيه".
في 27 مايو، قدمت Cetus اقتراح تصويت المجتمع، الذي يتطلب ترقية البروتوكول، وإرسال الأموال المجمدة إلى محفظة متعددة التوقيعات. على الفور، أطلق صندوق Sui تصويت الحوكمة على السلسلة.
في 29 مايو، تم الإعلان عن نتائج التصويت، حيث دعم حوالي 90.9% من وزن المصادقين الاقتراح. أعلنت Sui رسميًا أنه بمجرد اعتماد الاقتراح، "سيتم استرداد جميع الأموال المجمدة في حسابين مخترقين إلى محفظة متعددة التوقيع دون الحاجة إلى توقيع المخترقين."
لا حاجة لتوقيع القراصنة، ما مدى اختلاف هذه الميزة، لم يكن لدى صناعة البلوكشين طريقة إصلاح مثل هذه من قبل.
من خلال PR الرسمي لـ Sui على GitHub، يتضح أن البروتوكول قدم آلية )address aliasing(. تشمل محتويات التحديث: تحديد قواعد الأسماء المستعارة مسبقًا في ProtocolConfig، مما يسمح لبعض المعاملات المسموح بها أن تعتبر التوقيعات القانونية وكأنها قادمة من حسابات هاكر.
بشكل أكثر تحديدًا، يتم ربط قائمة هاشات معاملات الإنقاذ التي سيتم تنفيذها بعنوان الهدف (أي عنوان المخترق)، وأي منفذ يقوم بتوقيع ونشر ملخصات المعاملات الثابتة هذه يُعتبر مالك عنوان المخترق الصالح الذي بدأ المعاملة. بالنسبة لهذه المعاملات المحددة، سيتجاوز نظام عقد التحقق فحص قائمة الرفض.
من منظور الكود، أضاف Sui في منطق التحقق من المعاملات الحكم التالي: عندما يتم اعتراض معاملة بواسطة القائمة السوداء، يقوم النظام بتمرير الموقعين الخاصين بها، والتحقق مما إذا كانت protocol_config.is_tx_allowed_via_aliasing)sender، signer، tx_digest( صحيحة.
طالما أن هناك موقّع معين يستوفي قواعد الاسم المستعار، فإنّ هذه المعاملة تعتبر مسموح بها، وبالتالي يتم تجاهل الأخطاء السابقة في الاعتراض، وتستمر عملية التعبئة والتنفيذ بشكل طبيعي.
4، وجهة نظر
١.٦ مليار، ما يتمزق هو أعمق إيمان في الصناعة
من وجهة نظر الكاتب الشخصي، قد تمر هذه الأزمة بسرعة، ولكن هذا النموذج لن يُنسى، لأنه قلب أساس الصناعة، وكسر التوافق التقليدي على عدم التغيير في نفس دفتر الحسابات في blockchain.
في تصميم blockchain، العقد هو القانون، والشيفرة هي الحكم.
لكن في هذه الحادثة، فشل الكود، وتدخل الحوكمة، وتجاوز السلطة، مما شكل نمطاً من تصرفات التصويت التي تحكم نتائج الكود.
هذا لأن الطريقة التي استخدمتها Sui للاستيلاء مباشرة على المعاملات تختلف اختلافًا كبيرًا عن كيفية معالجة سلاسل الكتل الرئيسية لمشكلات القرصنة.
هذه ليست المرة الأولى التي "تتم فيها تزوير الإجماع"، لكنها كانت الأكثر هدوءًا.
من الناحية التاريخية:
حدث The DAO في Ethereum عام 2016 تم استعادة التحويلات من خلال تقسيم صعب لتعويض الخسائر، ولكن هذا القرار أدى إلى انقسام Ethereum إلى سلسلتين: Ethereum و Ethereum Classic، وكانت العملية مثيرة للجدل، ولكن في النهاية تشكلت قناعات مختلفة من قبل مجموعات مختلفة.
واجهت مجتمع البيتكوين تحديات تقنية مماثلة: تم إصلاح ثغرة القيمة الزائدة في عام 2010 بشكل عاجل من قبل المطورين وترقية قواعد الإجماع، مما قضى تمامًا على حوالي 18.4 مليار بيتكوين تم إنشاؤها بشكل غير قانوني.
هذه كلها نماذج انقسام صلبة مماثلة، تعيد دفتر الحسابات إلى ما قبل المشكلة، ثم يمكن للمستخدمين الاستمرار في استخدام أي نظام دفتر حسابات يختارونه.
بالمقارنة مع الانقسام الصلب لـ DAO، لم تختار Sui تقسيم السلاسل، بل استهدفت الحدث الحالي بدقة من خلال ترقية البروتوكول وتكوين أسماء بديلة. من خلال القيام بذلك، حافظت Sui على استمرارية السلسلة وغالبية قواعد الإجماع دون تغيير، لكنها في نفس الوقت تشير إلى أن البروتوكول الأساسي يمكن استخدامه لتنفيذ "عمليات إنقاذ" مستهدفة.
المشكلة هي أن "العودة إلى الوراء عن طريق الانقسام" في التاريخ كانت خيارًا لمستخدمي الإيمان؛ بينما "التصحيح البروتوكولي" في Sui قد قررت لك على الشبكة.
ليس مفتاحك، ليس عملتك؟ أخشى أنه لم يعد كذلك.
على المدى الطويل، يعني ذلك أن مفهوم "ليس مفاتيحك، ليس عملاتك" قد تم تفكيكه على سلسلة Sui: حتى لو كانت مفاتيح المستخدم الخاصة كاملة، لا يزال بإمكان الشبكة منع تدفق الأصول وإعادة توجيه الأصول من خلال تغيير البروتوكول الجماعي.
إذا أصبحت هذه سابقة لمواجهة أحداث الأمان الكبيرة في blockchain في المستقبل، أو حتى اعتبرت تقليدًا يمكن الالتزام به مرة أخرى.
"عندما تتمكن سلسلة من كسر القواعد من أجل العدالة، فإنها قد وضعت سابقة لكسر أي قواعد."
بمجرد أن تنجح مرة واحدة في "الاستيلاء على الأموال لأغراض خيرية"، قد تكون المرة القادمة عملية في "المنطقة الرمادية الأخلاقية".
ماذا سيحدث بعد ذلك؟
إذا كان القراصنة قد سرقوا أموال المستخدمين، فهل يمكن للتصويت الجماعي أن يسلب أمواله؟
هل يعتمد التصويت على من لديه المزيد من المال (pos) أم على عدد الأشخاص؟ إذا فاز من لديه المزيد من المال، فإن المنتج النهائي الذي وصفه ليو تسى شين سيأتي قريبًا، وإذا فاز من هم أكثر عددًا، فإن الحشود المتجمعة ستبدأ في إصدار أصواتها.
في النظام التقليدي، من الطبيعي جداً أن تكون العائدات غير القانونية غير محمية، فالتجميد والتحويل هما من العمليات الروتينية للبنوك التقليدية.
لكن من الناحية النظرية التقنية لا يمكن تحقيق ذلك، أليس هو جذر تطور صناعة blockchain؟
الآن يتم تخمير عصا الامتثال في الصناعة باستمرار، اليوم يمكن تجميد الحسابات وتعديل أرصدة الحسابات من أجل القراصنة، وغدًا يمكن إجراء تعديلات عشوائية لأسباب جغرافية أو عوامل صراع. إذا أصبحت السلسلة أداة جزئية إقليمية.
تم تقليص قيمة تلك الصناعة بشكل كبير، وبحد أقصى أصبحت مجرد نظام مالي آخر أقل كفاءة.
هذا أيضًا هو سبب تمسك الكاتب بالصناعة: "البلوكشين ليست ذات قيمة لأنه لا يمكن تجميدها، بل لأنها حتى لو كنت تكرهها، فإنها لا تتغير من أجلك."
هل يمكن أن تحافظ السلسلة على روحها في ظل الاتجاه المتزايد نحو التنظيم؟
ذات مرة ، كانت سلسلة التحالف أكثر ازدهارا من السلسلة العامة ، لأنها تلبي الاحتياجات التنظيمية لتلك الحقبة ، والآن تراجع التحالف يعني في الواقع أنه يتوافق ببساطة مع هذا الطلب ، وليس احتياجات المستخدمين الحقيقيين.
من منظور تطور الصناعة
هل المركزية الفعالة هي مرحلة حتمية في تطوير blockchain؟ إذا كان الهدف النهائي من اللامركزية هو حماية مصالح المستخدمين، فهل يمكننا تحمل المركزية كوسيلة انتقال؟
كلمة "ديمقراطية" في سياق الحوكمة على السلسلة تعني في الواقع الوزن القائم على التوكن. فهل يمكن للقراصنة الذين يمتلكون كميات كبيرة من SUI (أو إذا تم اختراق DAO في يوم ما وتحكم القراصنة في حقوق التصويت) أن "يصوتوا بشكل قانوني لتبييض أنفسهم"؟
في النهاية، فإن قيمة البلوكشين لا تكمن في إمكانية تجميدها، بل في أنه حتى إذا كانت الجماعة قادرة على التجميد، فإنها تختار عدم القيام بذلك.
مستقبل سلسلة لا تحدده الهيكلية التقنية، بل تحدده مجموعة المعتقدات التي تختار حمايتها.
المحتوى هو للمرجعية فقط، وليس دعوة أو عرضًا. لا يتم تقديم أي مشورة استثمارية أو ضريبية أو قانونية. للمزيد من الإفصاحات حول المخاطر، يُرجى الاطلاع على إخلاء المسؤولية.
وجهة نظر: هاكر سرق المال، هل يمكن لـ Sui أن يسرق أيضًا؟
كتبه:十四君
هذه الحادثة هي انتصار لرأس المال، وليس للمستخدم، وهي تراجع لصناعة التطوير.
بيتكوين إلى اليسار، Sui إلى اليمين، وكل حركة تتزعزع بها صناعة اللامركزية تأتي لتعزز من الإيمان ببيتكوين.
العالم يحتاج إلى أكثر من مجرد بنية تحتية مالية عالمية أفضل، بل سيظل هناك دائمًا مجموعة من الناس بحاجة إلى مساحة حرة.
في وقت من الأوقات، كانت الشبكة المتحالفة أكثر ازدهارًا من الشبكة العامة، وذلك لأنها كانت تلبي احتياجات الرقابة في ذلك الوقت. اليوم، فإن تراجع الشبكة المتحالفة يعني في الواقع أنها لم تعد تلبي احتياجات المستخدمين الحقيقية، بعد أن فقدت المستخدمين الذين يتبعون الرقابة، فما الحاجة إلى أدوات الرقابة؟
1، خلفية الحدث
في 22 مايو 2025، تعرض أكبر بورصة لامركزية في نظام Sui البيئي (DEX) Cetus لهجوم قرصنة، مما أدى إلى انخفاض حاد في السيولة، وانهيار أسعار العديد من أزواج التداول، وبلغت الخسائر أكثر من 220 مليون دولار.
اعتبارا من وقت النشر، يكون الجدول الزمني كما يلي:
في صباح 22 مايو، هاجم قراصنة نظام Cetus وسرقوا 230 مليون دولار، وقامت Cetus بإيقاف العقد بشكل عاجل وأصدرت إعلانًا.
بعد ظهر يوم 22 مايو ، قام المتسلل بتحويل حوالي 60 مليون دولار عبر السلسلة ، وكان المبلغ المتبقي البالغ 162 مليون دولار لا يزال في عنوان Sui على السلسلة
في مساء 22 مايو، أكد CPO Sui @emanabio عبر تويتر: تم تجميد الأموال، وستبدأ عملية الإرجاع قريبًا.
في 23 مايو، بدأت Cetus بإصلاح الثغرات وتحديث العقد
في 24 مايو، قدم Sui PR مفتوح المصدر، موضحًا أنه سيتم استرداد الأموال من خلال آلية الأسماء المستعارة (aliasing) والقائمة البيضاء (whitelist).
في 26 مايو، أطلقت Sui تصويتًا على الحوكمة على السلسلة، حيث اقترحت ما إذا كان يجب تنفيذ ترقية البروتوكول، ونقل أصول القراصنة إلى عنوان الحفظ.
في 29 مايو، تم الإعلان عن نتائج التصويت، حيث دعم أكثر من ثلثي وزن العقد المصدقين؛ تم إعداد ترقية البروتوكول للتنفيذ.
30 مايو - أوائل يونيو، ساري مفعول ترقية البروتوكول، تم تنفيذ تجزئة الصفقة المحددة، تم "نقل" أصول الهاكر بشكل "قانوني"
2، مبدأ الهجوم
تتعلق المبادئ الأساسية للأحداث، وقد تم تقديم العديد من المقالات في هذا المجال، هنا فقط نظرة عامة على المبادئ الأساسية:
من حيث سير الهجوم:
المهاجم استخدم أولاً قرضًا سريعًا لاقتراض حوالي 10,024,321.28 من haSUI، مما أدى إلى انخفاض سعر حمولة التداول في瞬ة.
99.90%. أدت هذه الصفقة الضخمة إلى انخفاض سعر صندوق الهدف من حوالي 1.8956×10^19 إلى 1.8425×10^19، مما أدى إلى تقريباً تفريغ كامل.
بعد ذلك، قام المهاجم بإنشاء موقف سيولة على Cetus ضمن نطاق ضيق جدًا (حد أدنى للتكتل 300000، حد أقصى 300200، عرض النطاق 1.00496621% فقط). هذا النطاق الضيق يعزز تأثير الأخطاء الحسابية اللاحقة على عدد الرموز المطلوبة.
ومبدأ الهجوم الأساسي:
يوجد في دالة get_delta_a المستخدمة في Cetus لحساب عدد الرموز المطلوبة ثغرة في تجاوز العدد الصحيح. يعلن المهاجم عمدًا عن إضافة سيولة ضخمة (حوالي 10^37 وحدة)، لكنه في الواقع يضيف فقط رمزًا واحدًا إلى العقد.
بسبب خطأ في شرط كشف الفيضانات لـ checked_shlw، حدث قطع عالي أثناء حساب النقل إلى اليسار في العقد، مما أدى إلى تقدير النظام بشكل خاطئ للعدد المطلوب من haSUI، وبالتالي حصل على سيولة ضخمة بتكلفة ضئيلة.
من الناحية التقنية، فإن الثغرة المذكورة ناتجة عن استخدام Cetus لقناع وشروط判断 خاطئة في عقد Move الذكي، مما يسمح لأي قيمة أقل من 0xffffffffffffffff << 192 بتجاوز الكشف؛ بينما يتم قطع البيانات العليا بعد التحول إلى اليسار بمقدار 64 بت، مما يجعل النظام يعتبر أنه حصل على سيولة هائلة مقابل جمع كمية ضئيلة من الرموز.
بعد حدوث الحدث، نشأت عمليتان رسميتان: "التجميد" مقابل "الاسترداد"، وهما مرحلتان:
تكتمل مرحلة التجميد بفضل قائمة الرفض + توافق العقد.
تتطلب مرحلة الاسترداد ترقية بروتوكول على السلسلة + تصويت المجتمع + تنفيذ معاملات محددة لتجاوز القائمة السوداء.
3، آلية تجميد Sui
توجد قائمة رفض خاصة على سلسلة Sui نفسها ( والتي تسببت في تجميد أموال القراصنة هذه المرة. وليس ذلك فحسب، فإن معيار رمز Sui يحتوي أيضًا على وضع "رموز خاضعة للتنظيم"، مع وظيفة تجميد مدمجة.
يستفيد هذا التجميد في حالات الطوارئ من هذه الميزة: تضيف عقد المدقق بسرعة عناوين متعلقة بالأموال المسروقة في ملفات التكوين المحلية الخاصة بها. من الناحية النظرية ، يمكن لكل مشغل عقدة تعديل TransactionDenyConfig لتحديث القائمة السوداء من تلقاء نفسه ، ولكن من أجل ضمان اتساق الشبكة ، قامت مؤسسة Sui بتنسيق مركزي كناشر التكوين الأصلي.
أصدرت المؤسسة أولاً تحديثاً رسمياً يتضمن عناوين القراصنة، وتمكن المدققون من التزامن بفعالية وفقاً للإعدادات الافتراضية، مما جعل أموال القراصنة محصورة مؤقتاً على السلسلة، وهناك في الواقع عوامل مركزة عالية وراء ذلك.
من أجل إنقاذ الضحايا من الأموال المجمدة ، أطلق فريق Sui على الفور تصحيحا لآلية )Whitelist( القائمة البيضاء.
هذا يتعلق بعمليات إعادة الأموال في المستقبل. يمكن بناء معاملات قانونية مسبقًا وتسجيلها في القائمة البيضاء، حتى إذا كان عنوان الأموال لا يزال في القائمة السوداء، يمكن تنفيذها قسريًا.
تسمح هذه الميزة الجديدة ، المعاملة \ _allow \ _list \ _skip \ _all \ _checks بإضافة معاملات محددة مسبقا إلى القائمة "غير الخاضعة للرقابة" ، بحيث يمكن لهذه المعاملات تخطي جميع عمليات التحقق الأمنية ، بما في ذلك التوقيعات والأذونات والقوائم السوداء وما إلى ذلك.
من المهم ملاحظة أن تصحيح القائمة البيضاء لا يمكنه سرقة أصول الهاكر مباشرة؛ بل إنه يمنح بعض المعاملات القدرة على تجاوز التجميد، ولا يزال يتعين نقل الأصول الحقيقية بتوقيع قانوني أو وحدة أذونات إضافية.
في الواقع، فإن خطط التجميد السائدة في الصناعة غالبًا ما تحدث على مستوى عقد الرموز، وتكون تحت سيطرة التوقيع المتعدد من قبل الجهة المصدرة.
على سبيل المثال، بالنظر إلى USDT الصادر عن Tether، يحتوي العقد على وظيفة قائمة سوداء مدمجة، حيث يمكن للشركة المصدرة تجميد العناوين المخالفة، مما يجعلها غير قادرة على تحويل USDT. تتطلب هذه الخطة توقيعًا متعددًا لبدء طلب التجميد على السلسلة، وبعد توافق التوقيعات المتعددة يتم التنفيذ فعليًا، مما يؤدي إلى وجود تأخير في التنفيذ.
على الرغم من أن آلية تجميد Tether فعالة، تشير الإحصاءات إلى أن عملية التوقيع المتعدد غالبًا ما تظهر "فترة فراغ"، مما يتيح فرصًا للمجرمين.
بالمقابل، تحدث عملية التجميد في Sui على مستوى البروتوكول الأساسي، من خلال العمليات الجماعية لعقد التحقق، مما يجعل سرعة التنفيذ تفوق بكثير استدعاءات العقود العادية.
في هذا النظام، إذا كان من المطلوب أن يتم التنفيذ بسرعة كافية، فهذا يعني أن إدارة هذه العقد من المدققين نفسها يجب أن تكون موحدة بشكل كبير.
3، مبدأ تنفيذ "استرداد التحويل" في Sui
الأكثر إثارة للدهشة هو أن Sui لم تقم فقط بتجميد أصول القراصنة، بل تخطط أيضًا لاستعادة الأموال المسروقة من خلال ترقية على السلسلة "إعادة التوجيه".
في 27 مايو، قدمت Cetus اقتراح تصويت المجتمع، الذي يتطلب ترقية البروتوكول، وإرسال الأموال المجمدة إلى محفظة متعددة التوقيعات. على الفور، أطلق صندوق Sui تصويت الحوكمة على السلسلة.
في 29 مايو، تم الإعلان عن نتائج التصويت، حيث دعم حوالي 90.9% من وزن المصادقين الاقتراح. أعلنت Sui رسميًا أنه بمجرد اعتماد الاقتراح، "سيتم استرداد جميع الأموال المجمدة في حسابين مخترقين إلى محفظة متعددة التوقيع دون الحاجة إلى توقيع المخترقين."
لا حاجة لتوقيع القراصنة، ما مدى اختلاف هذه الميزة، لم يكن لدى صناعة البلوكشين طريقة إصلاح مثل هذه من قبل.
من خلال PR الرسمي لـ Sui على GitHub، يتضح أن البروتوكول قدم آلية )address aliasing(. تشمل محتويات التحديث: تحديد قواعد الأسماء المستعارة مسبقًا في ProtocolConfig، مما يسمح لبعض المعاملات المسموح بها أن تعتبر التوقيعات القانونية وكأنها قادمة من حسابات هاكر.
بشكل أكثر تحديدًا، يتم ربط قائمة هاشات معاملات الإنقاذ التي سيتم تنفيذها بعنوان الهدف (أي عنوان المخترق)، وأي منفذ يقوم بتوقيع ونشر ملخصات المعاملات الثابتة هذه يُعتبر مالك عنوان المخترق الصالح الذي بدأ المعاملة. بالنسبة لهذه المعاملات المحددة، سيتجاوز نظام عقد التحقق فحص قائمة الرفض.
من منظور الكود، أضاف Sui في منطق التحقق من المعاملات الحكم التالي: عندما يتم اعتراض معاملة بواسطة القائمة السوداء، يقوم النظام بتمرير الموقعين الخاصين بها، والتحقق مما إذا كانت protocol_config.is_tx_allowed_via_aliasing)sender، signer، tx_digest( صحيحة.
طالما أن هناك موقّع معين يستوفي قواعد الاسم المستعار، فإنّ هذه المعاملة تعتبر مسموح بها، وبالتالي يتم تجاهل الأخطاء السابقة في الاعتراض، وتستمر عملية التعبئة والتنفيذ بشكل طبيعي.
4، وجهة نظر
١.٦ مليار، ما يتمزق هو أعمق إيمان في الصناعة
من وجهة نظر الكاتب الشخصي، قد تمر هذه الأزمة بسرعة، ولكن هذا النموذج لن يُنسى، لأنه قلب أساس الصناعة، وكسر التوافق التقليدي على عدم التغيير في نفس دفتر الحسابات في blockchain.
في تصميم blockchain، العقد هو القانون، والشيفرة هي الحكم.
لكن في هذه الحادثة، فشل الكود، وتدخل الحوكمة، وتجاوز السلطة، مما شكل نمطاً من تصرفات التصويت التي تحكم نتائج الكود.
هذا لأن الطريقة التي استخدمتها Sui للاستيلاء مباشرة على المعاملات تختلف اختلافًا كبيرًا عن كيفية معالجة سلاسل الكتل الرئيسية لمشكلات القرصنة.
هذه ليست المرة الأولى التي "تتم فيها تزوير الإجماع"، لكنها كانت الأكثر هدوءًا.
من الناحية التاريخية:
حدث The DAO في Ethereum عام 2016 تم استعادة التحويلات من خلال تقسيم صعب لتعويض الخسائر، ولكن هذا القرار أدى إلى انقسام Ethereum إلى سلسلتين: Ethereum و Ethereum Classic، وكانت العملية مثيرة للجدل، ولكن في النهاية تشكلت قناعات مختلفة من قبل مجموعات مختلفة.
واجهت مجتمع البيتكوين تحديات تقنية مماثلة: تم إصلاح ثغرة القيمة الزائدة في عام 2010 بشكل عاجل من قبل المطورين وترقية قواعد الإجماع، مما قضى تمامًا على حوالي 18.4 مليار بيتكوين تم إنشاؤها بشكل غير قانوني.
هذه كلها نماذج انقسام صلبة مماثلة، تعيد دفتر الحسابات إلى ما قبل المشكلة، ثم يمكن للمستخدمين الاستمرار في استخدام أي نظام دفتر حسابات يختارونه.
بالمقارنة مع الانقسام الصلب لـ DAO، لم تختار Sui تقسيم السلاسل، بل استهدفت الحدث الحالي بدقة من خلال ترقية البروتوكول وتكوين أسماء بديلة. من خلال القيام بذلك، حافظت Sui على استمرارية السلسلة وغالبية قواعد الإجماع دون تغيير، لكنها في نفس الوقت تشير إلى أن البروتوكول الأساسي يمكن استخدامه لتنفيذ "عمليات إنقاذ" مستهدفة.
المشكلة هي أن "العودة إلى الوراء عن طريق الانقسام" في التاريخ كانت خيارًا لمستخدمي الإيمان؛ بينما "التصحيح البروتوكولي" في Sui قد قررت لك على الشبكة.
ليس مفتاحك، ليس عملتك؟ أخشى أنه لم يعد كذلك.
على المدى الطويل، يعني ذلك أن مفهوم "ليس مفاتيحك، ليس عملاتك" قد تم تفكيكه على سلسلة Sui: حتى لو كانت مفاتيح المستخدم الخاصة كاملة، لا يزال بإمكان الشبكة منع تدفق الأصول وإعادة توجيه الأصول من خلال تغيير البروتوكول الجماعي.
إذا أصبحت هذه سابقة لمواجهة أحداث الأمان الكبيرة في blockchain في المستقبل، أو حتى اعتبرت تقليدًا يمكن الالتزام به مرة أخرى.
"عندما تتمكن سلسلة من كسر القواعد من أجل العدالة، فإنها قد وضعت سابقة لكسر أي قواعد."
بمجرد أن تنجح مرة واحدة في "الاستيلاء على الأموال لأغراض خيرية"، قد تكون المرة القادمة عملية في "المنطقة الرمادية الأخلاقية".
ماذا سيحدث بعد ذلك؟
إذا كان القراصنة قد سرقوا أموال المستخدمين، فهل يمكن للتصويت الجماعي أن يسلب أمواله؟
هل يعتمد التصويت على من لديه المزيد من المال (pos) أم على عدد الأشخاص؟ إذا فاز من لديه المزيد من المال، فإن المنتج النهائي الذي وصفه ليو تسى شين سيأتي قريبًا، وإذا فاز من هم أكثر عددًا، فإن الحشود المتجمعة ستبدأ في إصدار أصواتها.
في النظام التقليدي، من الطبيعي جداً أن تكون العائدات غير القانونية غير محمية، فالتجميد والتحويل هما من العمليات الروتينية للبنوك التقليدية.
لكن من الناحية النظرية التقنية لا يمكن تحقيق ذلك، أليس هو جذر تطور صناعة blockchain؟
الآن يتم تخمير عصا الامتثال في الصناعة باستمرار، اليوم يمكن تجميد الحسابات وتعديل أرصدة الحسابات من أجل القراصنة، وغدًا يمكن إجراء تعديلات عشوائية لأسباب جغرافية أو عوامل صراع. إذا أصبحت السلسلة أداة جزئية إقليمية.
تم تقليص قيمة تلك الصناعة بشكل كبير، وبحد أقصى أصبحت مجرد نظام مالي آخر أقل كفاءة.
هذا أيضًا هو سبب تمسك الكاتب بالصناعة: "البلوكشين ليست ذات قيمة لأنه لا يمكن تجميدها، بل لأنها حتى لو كنت تكرهها، فإنها لا تتغير من أجلك."
هل يمكن أن تحافظ السلسلة على روحها في ظل الاتجاه المتزايد نحو التنظيم؟
ذات مرة ، كانت سلسلة التحالف أكثر ازدهارا من السلسلة العامة ، لأنها تلبي الاحتياجات التنظيمية لتلك الحقبة ، والآن تراجع التحالف يعني في الواقع أنه يتوافق ببساطة مع هذا الطلب ، وليس احتياجات المستخدمين الحقيقيين.
من منظور تطور الصناعة
هل المركزية الفعالة هي مرحلة حتمية في تطوير blockchain؟ إذا كان الهدف النهائي من اللامركزية هو حماية مصالح المستخدمين، فهل يمكننا تحمل المركزية كوسيلة انتقال؟
كلمة "ديمقراطية" في سياق الحوكمة على السلسلة تعني في الواقع الوزن القائم على التوكن. فهل يمكن للقراصنة الذين يمتلكون كميات كبيرة من SUI (أو إذا تم اختراق DAO في يوم ما وتحكم القراصنة في حقوق التصويت) أن "يصوتوا بشكل قانوني لتبييض أنفسهم"؟
في النهاية، فإن قيمة البلوكشين لا تكمن في إمكانية تجميدها، بل في أنه حتى إذا كانت الجماعة قادرة على التجميد، فإنها تختار عدم القيام بذلك.
مستقبل سلسلة لا تحدده الهيكلية التقنية، بل تحدده مجموعة المعتقدات التي تختار حمايتها.