Cetus gestohlene Gelder zurückgeholt "Dezentralisierung" Zugeständnis an die Nutzerinteressen

Jessy, Goldene Finanz

Am 22. Mai wurde das Sui-Ökosystem DEX Cetus um 223 Millionen US-Dollar betrogen. Davon wurden nur 60 Millionen US-Dollar über eine Cross-Chain-Brücke in ETH umgetauscht und in die Tasche des Hackers gesteckt, während die verbleibenden 162 Millionen US-Dollar von der Sui-Stiftung durch koordinierte Knoten eingefroren wurden.

Am 27. Mai startete die Community-Abstimmung, “um zu entscheiden, ob das Protokoll-Upgrade durchgeführt werden soll, um die in gehackten Konten gefrorenen Mittel zurückzuholen”. Das endgültige Protokoll-Upgrade wurde umgesetzt, 162 Millionen Mittel wurden erfolgreich zurückgeholt.

Die schnelle Reaktion der Sui-Stiftung auf den Diebstahl und die rasch eingeführte Lösung haben innerhalb der Community große Kontroversen ausgelöst. Einerseits hat sie einen Großteil der Gelder zurückgeholt und die Interessen der betroffenen Nutzer gesichert, andererseits wurde das Rückholverfahren durch eine konsensorientierte Änderung des Vermögensbesitzes über die Knoten durchgesetzt. Dies ist das erste Mal, dass auf der Ebene der öffentlichen Blockchain ein “Schlüsselloser Vermögensübergang” realisiert wurde.

Im Angesicht der Interessen der Nutzer wurde dieser so “mutige” Verstoß gegen den “Geist der Dezentralisierung” einfach ignoriert.

Wie wird ein Asset-Transfer ohne Private Key realisiert?

Am 22. Mai wurde das Sui-Ökosystem-DEX Cetus aufgrund eines groben Fehlers im Code von Hackern angegriffen und verlor 223 Millionen Dollar. Nach dem Vorfall wurden 162 Millionen Dollar der gestohlenen Gelder von der Sui-Stiftung koordinierten Validierungs-Knoten eingefroren.

Am 27. Mai hat die Sui-Stiftung eine Abstimmung in der Gemeinschaft angestoßen, um zu entscheiden, ob ein Protokoll-Upgrade durchgeführt werden soll, um die in von Hackern kontrollierten Konten eingefrorenen Gelder zurückzuholen. Schließlich haben innerhalb von 48 Stunden 114 Knoten an der Abstimmung teilgenommen, 103 haben abgestimmt, 99 Stimmen waren dafür, 2 dagegen und 2 enthielten sich, was zu einer hohen Zustimmung von 90,9 % für den Vorschlag führte.

Der Vorschlag bedeutet auch ein Upgrade des Sui-Protokolls, das es einer bestimmten Adresse ermöglicht, im Namen der Hacker-Adresse zwei Transaktionen durchzuführen, um die Rückführung von Geldern zu erleichtern. Diese Transaktionen werden entworfen und nach der endgültigen Bestätigung der Wiederherstellungsadresse veröffentlicht. Die zurückgeholten Vermögenswerte werden in einer von Cetus, der Sui-Stiftung und dem vertrauenswürdigen Prüfer OtterSec innerhalb der Sui-Community kontrollierten Multisignatur-Wallet aufbewahrt.

Auf der Ebene des Protokoll-Upgrades wird die Funktion des Address Aliasing eingeführt. Genauer gesagt werden im Protokoll Regeln definiert: Bestimmte Governance-Operationen werden als “legitimer Signatur eines Hacker-Kontos” maskiert, und die Validierungs-Knoten erkennen nach dem Upgrade diese gefälschte Signatur an, wodurch die Übertragung eingefrorener Gelder legitimiert wird. Dies ermöglicht es, das Eigentum an Vermögenswerten durch die Konsensentscheidung der Knoten zu ändern, ohne die privaten Schlüssel zu berühren (ähnlich wie die Zentralbank, die Gelder nach der Sperrung eines Bankkontos überweist).

Wie wurde das früheste Einfrieren von Vermögenswerten erreicht? Sui unterstützt selbst die Funktionen Deny list (Einfriereliste) und Regulated tokens (regulierte Token), und diesmal wurde direkt die Schnittstelle zum Einfrieren verwendet, um die Hackeradresse zu sperren.

Die technischen Risiken der verbleibenden Einflussnahme der Mächtigen

Obwohl dieser Schritt den Großteil der eingefrorenen Vermögenswerte zurückgeholt hat, gibt es dennoch Bedenken, da das Upgrade des Protokolls durch den Konsens der Knoten die Zugehörigkeit der Vermögenswerte zwangsweise geändert hat, was auch bedeutet, dass die Sui-Offizielle jede Adresse zum Signieren ersetzen kann, um die darin enthaltenen Vermögenswerte abzuziehen.

Ob die Sui-Behörde dies tun kann, hängt nicht vom Code des Smart Contracts ab, sondern von den Stimmen der Knotenpunkte. Und wer kontrolliert das Ergebnis der Knotenabstimmung? Das sind letztendlich die großen Knotenpunkte, die von der Stiftung mit Kapital kontrolliert werden! Das bedeutet, dass die Interessengruppen der Sui-Behörde die größte Macht haben; selbst wenn es Abstimmungen gibt, sind sie nur ein formeller Akt.

Der private Schlüssel des Benutzers ist nicht mehr das absolute Kontrollzertifikat für Vermögenswerte; solange die Konsens der Knoten zustimmt, kann die Protokollebene die Berechtigungen des privaten Schlüssels direkt überschreiben.

Auf der anderen Seite ermöglicht dies eine effiziente Rückholung von Vermögenswerten, das schnelle Einfrieren von Vermögenswerten, dank der integrierten Regulierungsfunktionen von Sui, die auch eine schnelle Verlustbegrenzung ermöglichen. Die Abstimmung wurde innerhalb von 48 Stunden abgeschlossen und das Upgrade des Protokolls wurde umgesetzt.

Aber aus der Sicht des Autors hat die Funktion der Adressaliasierung einen gefährlichen Präzedenzfall geschaffen – die Protokollebene kann jede Adresse als “legale Operation” fälschen, was einen technischen Vorwand für autoritäre Eingriffe schafft.

Die Reihe von Operationen zur Wiederherstellung von Geldern durch Sui ist jedoch lediglich das Ergebnis der Entscheidung der öffentlichen Kette, die Interessen der Benutzer zu priorisieren, wenn diese mit den Prinzipien der Dezentralisierung in Konflikt stehen. Ob dies gegen die Prinzipien der Dezentralisierung verstößt, scheint für die Benutzer und Sui unwichtig zu sein, schließlich kann man im Falle von Zweifeln auch sagen, dass es eine “Abstimmung” war, die die Entscheidung getroffen hat.