Подія "замороження" адреси хакера в мережі Sui викликала суперечки

Нещодавно, після атаки на певний протокол, мережа Sui вжила заходів, які викликали широкий резонанс — "заморозила" адресу хакера, врятувавши приблизно 160 мільйонів доларів активів. Ця дія викликала гостру дискусію про сутність децентралізації. Давайте проаналізуємо цю подію з технічної точки зору.

Хакер успішно здійснив атаку, швидко перемістивши частину активів, таких як USDC, через кросчейн міст до інших блокчейн-мереж. Ці кошти вже не можна повернути, оскільки, як тільки вони покидають екосистему Sui, валідатори не можуть втрутитися. Однак значна кількість вкрадених коштів все ще залишається на Sui адресі, контрольованій хакером, ставши "замороженою" метою.

Згідно з офіційною заявою, велика кількість валідаторів ідентифікувала адреси вкрадених коштів і почала ігнорувати транзакції на цих адресах. Цей механізм "заморожування" реалізується переважно через два основні аспекти:

1. Фільтрація транзакцій на рівні валідаторів:

   • Валідатори на етапі торгового пулу безпосередньо ігнорують транзакції з адреси хакера
   • Ці транзакції технічно є повністю дійсними, але не пакуються в блоки.
   • Кошти хакера внаслідок цього були "під домашнім арештом" в адресі

2. Особливості об'єктної моделі мови Move:

   • Переміщення активів має бути записано в блокчейні: хоча хакер контролює велику кількість активів на адресі, для переміщення цих об'єктів USDC, SUI тощо необхідно ініціювати транзакцію та отримати підтвердження від валідаторів.
   • Верифікатор має право ухвалювати рішення: якщо верифікатор відмовляється упакувати, об'єкт не може бути переміщений
   • Результат: Хакер номінально "володіє" цими активами, насправді не може їх використовувати

Ця ситуація подібна до того, як мати банківську картку, але всі банкомати відмовляються вам служити. Хоча кошти на картці, їх не можна зняти. Під постійним моніторингом і втручанням валідаційних вузлів Sui токени SUI та інші в адресі хакера не зможуть обертатися, ці викрадені кошти фактично перебувають у "знищеному" стані, об'єктивно це може спричинити "дефляційний" ефект.

Окрім тимчасової координації валідаторів, Sui може на системному рівні передбачити функцію списку відмови. Якщо це правда, відповідні уповноважені особи можуть додати адреси хакерів до системного списку відмови, а валідатори виконують правила цієї системи, відмовляючись обробляти транзакції адрес із чорного списку.

Незалежно від обраного способу, потрібна узгоджена дія більшості валідаторів. Це виявляє надмірну концентрацію влади в мережі валідаторів Sui, де кілька вузлів можуть контролювати ключові рішення для всієї мережі. Варто відзначити, що проблема концентрації валідаторів не є унікальною для Sui, адже з ризиком концентрації валідаторів стикаються всі мережі PoS, від Ethereum до інших, а Sui просто яскравіше демонструє цю проблему.

Ще більш заплутаним є те, що офіційні представники Sui заявили про плани повернути заморожені кошти до пулу. Проте, якщо це дійсно так, що валідатори "відмовилися упакувати транзакції", ці кошти теоретично не повинні бути в змозі пересуватися. Як Sui планує реалізувати повернення коштів? Це ще більше викликає сумніви щодо децентралізованих характеристик Sui.

Перед публікацією конкретних деталей необхідно обговорити питання децентралізації:

Чи обов'язково жертва певного ступеня децентралізації в екстрених ситуаціях є негативною? Чи дійсно повна бездіяльність всього мережі під час хакерських атак відповідає очікуванням користувачів?

Можна зрозуміти, що користувачі, природно, не хочуть, щоб їхні кошти потрапили в руки хакера. Але більша тривога, викликана цим кроком, стосується "суб'єктивізації" стандартів заморожування: як визначити "вкрадені кошти"? Хто має встановлювати стандарти? Де межа? Сьогодні заморожують хакера, завтра можуть заморозити кого завгодно? Як тільки цей прецедент буде встановлено, основна цінність блокчейну щодо опору цензурі буде серйозно під загрозою, що неминуче призведе до зменшення довіри користувачів.

Децентралізація не є чорно-білою концепцією. Sui обрала певну точку балансу між захистом користувачів і децентралізацією. Ключове питання полягає у відсутності прозорих механізмів управління та чітких стандартів меж.

На даному етапі більшість блокчейн-проектів здійснюють подібні компроміси. Але користувачі мають право знати правду, а не повинні бути введені в оману етикеткою "повна децентралізація". Ця подія безумовно надала всій галузі можливість для глибоких роздумів про те, як знайти краще співвідношення між безпекою, ефективністю та децентралізацією.