Pada 22 Mei, DEX Cetus dari ekosistem Sui dicuri dana sebesar 223 juta USD. Dari jumlah tersebut, hanya 60 juta USD yang ditukar menjadi ETH melalui jembatan lintas rantai masuk ke kantong peretas, sementara sisa 162 juta USD dibekukan oleh yayasan Sui yang mengoordinasikan node.
Pada 27 Mei, pemungutan suara komunitas dimulai, "untuk memutuskan apakah akan melaksanakan peningkatan protokol untuk memulihkan dana yang dibekukan di akun yang dikendalikan oleh peretas." Akhirnya, peningkatan protokol berhasil dilaksanakan, dan 162 juta dana berhasil dipulihkan.
Tanggapan cepat dari Yayasan Sui terhadap insiden pencurian ini dan solusi yang segera diluncurkan telah memicu perdebatan yang cukup besar di dalam komunitas. Di satu sisi, mereka berhasil memulihkan sebagian besar dana dan melindungi kepentingan pengguna yang menjadi korban pencurian, sementara di sisi lain, cara pemulihan dilakukan dengan memaksa modifikasi kepemilikan aset melalui konsensus node, yang merupakan kali pertama di lapisan blockchain publik mewujudkan "pemindahan aset tanpa kunci".
Di depan kepentingan pengguna, tindakan yang begitu "berani" yang melanggar "semangat desentralisasi" ini diabaikan.
Bagaimana transfer aset tanpa kunci pribadi dapat dilakukan?
Pada 22 Mei, DEX Cetus dari ekosistem Sui diserang oleh peretas karena kesalahan mendasar dalam kodenya, mengalami kerugian sebesar 2,23 juta dolar. Setelah kejadian tersebut, dana yang dicuri sebesar 162 juta dolar berhasil dibekukan oleh yayasan Sui dengan koordinasi dari node verifikasi.
Pada 27 Mei, Yayasan Sui mendorong pemungutan suara komunitas, yang bertujuan untuk memutuskan apakah akan menerapkan peningkatan protokol untuk mendapatkan kembali dana yang dibekukan di akun yang dikendalikan oleh peretas. Akhirnya, dalam 48 jam, 114 node dengan 103 yang berpartisipasi dalam pemungutan suara, 99 suara mendukung, 2 suara menolak, 2 suara abstain, dengan 90,9% suara tinggi meloloskan proposal.
Melalui proposal ini menunjukkan bahwa protokol Sui akan ditingkatkan, yang akan memungkinkan satu alamat tertentu untuk mewakili alamat peretas untuk melakukan dua transaksi, guna memfasilitasi pemulihan dana. Transaksi ini akan dirancang dan diumumkan setelah alamat pemulihan ditentukan. Aset yang dipulihkan akan disimpan dalam dompet multisignature yang dikendalikan oleh auditor terpercaya OtterSec dari Cetus, Yayasan Sui, dan komunitas Sui.
Pada tingkat peningkatan protokol, fitur address aliasing (alias alamat) diperkenalkan, secara khusus mendefinisikan aturan di tingkat protokol: menyamarkan operasi tata kelola tertentu sebagai "tanda tangan sah dari akun peretas", kemudian node verifikasi mengakui tanda tangan palsu setelah peningkatan, sehingga memvalidasi pemindahan dana yang dibekukan. Hal ini memungkinkan modifikasi kepemilikan aset secara paksa melalui konsensus node tanpa menyentuh kunci pribadi (ini mirip dengan bank sentral yang membekukan rekening bank dan mentransfer dana).
Lalu, bagaimana aset yang paling awal dibekukan? Sui sendiri mendukung fungsi Daftar Penolakan (Deny list) dan Token yang Diatur (Regulated tokens), kali ini langsung memanggil antarmuka pembekuan untuk mengunci alamat peretas.
Menjaga risiko teknis dari intervensi kekuasaan yang tersisa
Meskipun langkah ini berhasil memulihkan sebagian besar aset yang dibekukan, namun tetap menimbulkan kekhawatiran, karena peningkatan protokol yang memaksa perubahan kepemilikan aset melalui konsensus node, juga menandakan bahwa pihak resmi Sui dapat menggantikan alamat mana pun untuk melakukan tanda tangan, sehingga dapat mengambil aset di dalamnya.
Apakah Sui resmi dapat melakukan hal ini bukanlah kode kontrak pintar, melainkan hak suara node, dan siapa yang menguasai hasil suara node tersebut? Itu tidak lain adalah node besar yang dikendalikan oleh lembaga yang memiliki modal! Artinya, pihak berkepentingan resmi Sui menguasai suara terbesar, meskipun itu adalah pemungutan suara, itu hanyalah sebuah formalitas.
Kunci pribadi pengguna tidak lagi menjadi bukti kontrol absolut atas aset, selama konsensus node disetujui, lapisan protokol dapat langsung mengesampingkan hak akses kunci pribadi.
Namun di sisi lain, ini mewujudkan efisiensi dalam pemulihan aset, pembekuan aset secara cepat, berkat fungsi regulasi bawaan Sui yang juga dapat menghentikan kerugian dengan cepat, pemungutan suara selesai dalam waktu 48 jam, dan peningkatan protokol telah diterapkan.
Namun menurut penulis, fitur aliasing alamat telah menciptakan preseden berbahaya - lapisan protokol dapat memalsukan "operasi sah" dari alamat mana pun, yang menanamkan benih intervensi kekuatan.
Dan serangkaian operasi pemulihan dana Sui kali ini hanyalah keputusan yang diambil oleh pihak blockchain publik dari sudut pandang kepentingan pengguna ketika kepentingan pengguna bertentangan dengan prinsip desentralisasi. Dan apakah itu bertentangan dengan prinsip desentralisasi atau tidak, tampaknya tidak penting bagi pengguna dan Sui, karena pada akhirnya ketika diragukan, mereka juga dapat menjawab bahwa itu adalah keputusan "voting."
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Cetus mencuri dana yang dipulihkan "Desentralisasi" mengorbankan kepentingan pengguna
Jessy, Keuangan Emas
Pada 22 Mei, DEX Cetus dari ekosistem Sui dicuri dana sebesar 223 juta USD. Dari jumlah tersebut, hanya 60 juta USD yang ditukar menjadi ETH melalui jembatan lintas rantai masuk ke kantong peretas, sementara sisa 162 juta USD dibekukan oleh yayasan Sui yang mengoordinasikan node.
Pada 27 Mei, pemungutan suara komunitas dimulai, "untuk memutuskan apakah akan melaksanakan peningkatan protokol untuk memulihkan dana yang dibekukan di akun yang dikendalikan oleh peretas." Akhirnya, peningkatan protokol berhasil dilaksanakan, dan 162 juta dana berhasil dipulihkan.
Tanggapan cepat dari Yayasan Sui terhadap insiden pencurian ini dan solusi yang segera diluncurkan telah memicu perdebatan yang cukup besar di dalam komunitas. Di satu sisi, mereka berhasil memulihkan sebagian besar dana dan melindungi kepentingan pengguna yang menjadi korban pencurian, sementara di sisi lain, cara pemulihan dilakukan dengan memaksa modifikasi kepemilikan aset melalui konsensus node, yang merupakan kali pertama di lapisan blockchain publik mewujudkan "pemindahan aset tanpa kunci".
Di depan kepentingan pengguna, tindakan yang begitu "berani" yang melanggar "semangat desentralisasi" ini diabaikan.
Bagaimana transfer aset tanpa kunci pribadi dapat dilakukan?
Pada 22 Mei, DEX Cetus dari ekosistem Sui diserang oleh peretas karena kesalahan mendasar dalam kodenya, mengalami kerugian sebesar 2,23 juta dolar. Setelah kejadian tersebut, dana yang dicuri sebesar 162 juta dolar berhasil dibekukan oleh yayasan Sui dengan koordinasi dari node verifikasi.
Pada 27 Mei, Yayasan Sui mendorong pemungutan suara komunitas, yang bertujuan untuk memutuskan apakah akan menerapkan peningkatan protokol untuk mendapatkan kembali dana yang dibekukan di akun yang dikendalikan oleh peretas. Akhirnya, dalam 48 jam, 114 node dengan 103 yang berpartisipasi dalam pemungutan suara, 99 suara mendukung, 2 suara menolak, 2 suara abstain, dengan 90,9% suara tinggi meloloskan proposal.
Melalui proposal ini menunjukkan bahwa protokol Sui akan ditingkatkan, yang akan memungkinkan satu alamat tertentu untuk mewakili alamat peretas untuk melakukan dua transaksi, guna memfasilitasi pemulihan dana. Transaksi ini akan dirancang dan diumumkan setelah alamat pemulihan ditentukan. Aset yang dipulihkan akan disimpan dalam dompet multisignature yang dikendalikan oleh auditor terpercaya OtterSec dari Cetus, Yayasan Sui, dan komunitas Sui.
Pada tingkat peningkatan protokol, fitur address aliasing (alias alamat) diperkenalkan, secara khusus mendefinisikan aturan di tingkat protokol: menyamarkan operasi tata kelola tertentu sebagai "tanda tangan sah dari akun peretas", kemudian node verifikasi mengakui tanda tangan palsu setelah peningkatan, sehingga memvalidasi pemindahan dana yang dibekukan. Hal ini memungkinkan modifikasi kepemilikan aset secara paksa melalui konsensus node tanpa menyentuh kunci pribadi (ini mirip dengan bank sentral yang membekukan rekening bank dan mentransfer dana).
Lalu, bagaimana aset yang paling awal dibekukan? Sui sendiri mendukung fungsi Daftar Penolakan (Deny list) dan Token yang Diatur (Regulated tokens), kali ini langsung memanggil antarmuka pembekuan untuk mengunci alamat peretas.
Menjaga risiko teknis dari intervensi kekuasaan yang tersisa
Meskipun langkah ini berhasil memulihkan sebagian besar aset yang dibekukan, namun tetap menimbulkan kekhawatiran, karena peningkatan protokol yang memaksa perubahan kepemilikan aset melalui konsensus node, juga menandakan bahwa pihak resmi Sui dapat menggantikan alamat mana pun untuk melakukan tanda tangan, sehingga dapat mengambil aset di dalamnya.
Apakah Sui resmi dapat melakukan hal ini bukanlah kode kontrak pintar, melainkan hak suara node, dan siapa yang menguasai hasil suara node tersebut? Itu tidak lain adalah node besar yang dikendalikan oleh lembaga yang memiliki modal! Artinya, pihak berkepentingan resmi Sui menguasai suara terbesar, meskipun itu adalah pemungutan suara, itu hanyalah sebuah formalitas.
Kunci pribadi pengguna tidak lagi menjadi bukti kontrol absolut atas aset, selama konsensus node disetujui, lapisan protokol dapat langsung mengesampingkan hak akses kunci pribadi.
Namun di sisi lain, ini mewujudkan efisiensi dalam pemulihan aset, pembekuan aset secara cepat, berkat fungsi regulasi bawaan Sui yang juga dapat menghentikan kerugian dengan cepat, pemungutan suara selesai dalam waktu 48 jam, dan peningkatan protokol telah diterapkan.
Namun menurut penulis, fitur aliasing alamat telah menciptakan preseden berbahaya - lapisan protokol dapat memalsukan "operasi sah" dari alamat mana pun, yang menanamkan benih intervensi kekuatan.
Dan serangkaian operasi pemulihan dana Sui kali ini hanyalah keputusan yang diambil oleh pihak blockchain publik dari sudut pandang kepentingan pengguna ketika kepentingan pengguna bertentangan dengan prinsip desentralisasi. Dan apakah itu bertentangan dengan prinsip desentralisasi atau tidak, tampaknya tidak penting bagi pengguna dan Sui, karena pada akhirnya ketika diragukan, mereka juga dapat menjawab bahwa itu adalah keputusan "voting."