استعادة الأموال المسروقة من شركة Cetus، و"اللامركزية" تعرض مصالح المستخدمين للخطر

جيسي، جولدن فاينانس

في 22 مايو، سُرقت 223 مليون دولار من منصة Sui Ecological DEX Cetus. من هذا المبلغ، حُوِّل 60 مليون دولار فقط إلى إيثريوم عبر الجسر المتقاطع، ودخلت في جيب المخترق، بينما جُمِّد المبلغ المتبقي (162 مليون دولار) بواسطة عقدة التنسيق التابعة لمؤسسة Sui.

في 27 مايو، أُطلق تصويت مجتمعي "لتحديد ما إذا كان ينبغي تطبيق ترقية بروتوكول لاستعادة الأموال المجمدة في الحساب الذي يتحكم به المخترق". في النهاية، طُبِّقت ترقية البروتوكول، وتم استرداد 162 مليون دولار بنجاح.

أثارت الاستجابة السريعة لمؤسسة Sui للسرقة والحل الذي طرحته بسرعة جدلاً واسعًا في المجتمع. فمن ناحية، استعادت معظم الأموال وحمت مصالح المستخدمين المسروقين. ومن ناحية أخرى، كانت طريقة استرداد الأموال هي فرض تعديل ملكية الأصول من خلال إجماع العقد. كانت هذه هي المرة الأولى التي يُنفذ فيها "نقل أصول بدون مفاتيح خاصة" على مستوى السلسلة العامة.

في مواجهة مصالح المستخدمين، تم تجاهل هذه العملية "الجريئة" التي انتهكت "روح اللامركزية".

كيف يتم نقل الأصول بدون مفاتيح خاصة؟

في 22 مايو، تعرضت منصة Sui Ecological DEX Cetus للاختراق بسبب أخطاء برمجية بسيطة، مما أدى إلى خسارة 223 مليون دولار. بعد الحادثة، جُمدت 162 مليون دولار من الأموال المسروقة بواسطة عُقد التحقق المُنسقة التابعة لمؤسسة Sui.

في 27 مايو، دعت مؤسسة Sui إلى تصويت مجتمعي، بهدف تحديد ما إذا كان سيتم تطبيق ترقية بروتوكول لاستعادة الأموال المُجمدة في الحسابات التي يسيطر عليها المُخترقون. في النهاية، وفي غضون 48 ساعة، شاركت 103 من أصل 114 عقدة في التصويت، بأغلبية 99 صوتًا مؤيدًا، وصوتين معارضين، وامتناع عضوين عن التصويت، ووافق 90.9% من الأصوات على الاقتراح.

يشير اعتماد الاقتراح أيضًا إلى أنه سيتم ترقية بروتوكول Sui، مما سيسمح لعنوان محدد بإجراء معاملتين نيابة عن عنوان المخترق لتسهيل استرداد الأموال. سيتم تصميم هذه المعاملات والإعلان عنها بعد الانتهاء من عنوان الاسترداد. سيتم تخزين الأصول المستردة في محفظة متعددة التوقيعات تسيطر عليها Cetus ومؤسسة Sui وOtterSec، وهي مدقق حسابات موثوق به في مجتمع Sui.

في مستوى ترقية البروتوكول، تم تقديم وظيفة  الاسم المستعار للعنوان. على وجه التحديد، تُحدد القواعد مسبقًا على مستوى البروتوكول: تُموَّه عمليات حوكمة محددة على أنها "توقيعات شرعية لحسابات المخترقين"، ثم تتعرف عقد التحقق على التوقيعات المزورة بعد الترقية لإضفاء الشرعية على تحويل الأموال المجمدة. يتيح هذا الأمر فرض تعديل ملكية الأصول من خلال إجماع العقد دون الحاجة إلى لمس المفتاح الخاص (وهذا يُشبه تجميد البنك المركزي للحسابات المصرفية وتحويل الأموال). كيف تم تجميد الأصول في البداية؟ تدعم منصة Sui نفسها وظيفتي قائمة الرفض والرموز المنظمة. في هذه المرة، يتم استدعاء واجهة التجميد مباشرةً لقفل عنوان المخترق. المخاطر التقنية للتدخل القوي: على الرغم من أن هذه الخطوة قد استعادت معظم الأصول المجمدة، إلا أنها مثيرة للقلق أيضًا، لأن تحديث البروتوكول قد فرض تعديل ملكية الأصول من خلال إجماع العقد، مما يشير أيضًا إلى أن مسؤولي سوي يمكنهم استبدال أي عنوان للتوقيع، وبالتالي نقل الأصول إلى الداخل. ليس سر قدرة مسؤولي سوي على القيام بذلك هو رمز العقد الذكي، بل حقوق تصويت العقد، ومن يتحكم في نتائج تصويت العقد؟ إنها ليست سوى العقد الكبيرة التي تسيطر عليها المؤسسة! بمعنى آخر، أصحاب المصلحة من مسؤولي سوي هم أصحاب الكلمة العليا، وحتى التصويت مجرد إجراء شكلي. لم يعد المفتاح الخاص للمستخدم شهادة التحكم المطلق للأصل. طالما أن إجماع العقد متفق عليه، يمكن لطبقة البروتوكول تغطية أذونات المفتاح الخاص مباشرةً. من ناحية أخرى، حقق هذا كفاءة عالية في استرداد الأصول وتجميدها بسرعة. بفضل وظيفة الإشراف المدمجة في منصة Sui، يُمكنها إيقاف الخسائر بسرعة. تم الانتهاء من التصويت خلال 48 ساعة، وتم تنفيذ ترقية البروتوكول.

ولكن في رأيي، تُشكل وظيفة تغيير اسم العنوان سابقة خطيرة - إذ يُمكن لطبقة البروتوكول تزوير أي "عملية قانونية" للعنوان، مما يُمهّد الطريق لتدخل قوي.

وهذه المرة، فإن سلسلة عمليات Sui لاستعادة الأموال ليست أكثر من تعارض مصالح المستخدمين مع مبدأ اللامركزية، حيث اختار طرف السلسلة العامة اتخاذ القرارات من منظور مصالح المستخدمين. أما فيما يتعلق بانتهاك مبدأ اللامركزية، فيبدو أن ذلك ليس مهمًا للمستخدمين وSui. ففي النهاية، عند سؤالهم، يُمكنهم الرد بأن القرار قد حُسم "بالتصويت".