黑客攻击与资金冻结的背景
原作者:Haotian 许多人对此感到困惑。 Sui官方表示,经历黑客攻击后,验证者网络协调冻结了黑客账户,并成功追回了1.6亿美元的资金。他们是如何做到的?去中心化难道是个谎言吗?以下我们将从技术角度进行分析:
验证者的协调与技术分析
根据官方声明,大量验证者识别了被盗资金的地址,并对这些地址的交易采取了忽视的态度。具体分析如下:
- 验证者层面的交易过滤
- 简而言之,验证者们选择性失明:
- 验证者直接忽视交易池(mempool)中来自黑客地址的交易;
- 这些交易在技术上是有效的,但并不会被打包并上链;
- 黑客的资金因此“被禁闭”在该地址中。
- Move对象模型的关键机制
- Move语言的对象模型使得此类冻结成为可能:
- 转账必须在链上进行:尽管黑客控制着Sui地址中的大量资产,但要转移这些USDC、SUI等对象,必须发起交易并由验证者打包确认;
- 验证者拥有生杀大权:如果验证者拒绝打包该对象,则该对象将永远无法转移;
- 结果:黑客名义上拥有这些资产,但实际上无法控制它们。就像你拥有一张银行卡,但所有ATM都不为你服务。资金在卡里,但你无法取出。
在Sui验证节点(ATM)的持续监控和干扰下,黑客地址中的SUI和其他代币将无法流通。这些被盗资金现在就像被销毁一样,客观上起到了通缩的作用。
去中心化与安全性的权衡
当然,除了验证者的临时协调外,Sui可能在系统层面上预设了拒绝名单功能。如果是这样,整个过程可能是:相关权威机构(如Sui基金会或通过治理机制)将黑客地址加入系统拒绝名单,验证者根据这一系统规则执行并拒绝处理来自黑名单地址的交易。无论是临时协调还是根据系统规则执行,大多数验证者需要齐心协力。
显然,Sui的验证者网络权力分配过于集中,少数节点可以控制整个网络的关键决策。Sui在验证者过度集中方面的问题并非唯一,许多PoS链(如以太坊和BSC)均面临类似的风险,但此次Sui将该问题暴露得更加明显。
更糟糕的是,Sui官方表示会将冻结的资金返还到资金池,但如果验证者真的“拒绝打包交易”,那么这些资金理论上根本不会被转移。Sui是如何将资金返还的?这进一步挑战了Sui链的去中心化特性!
难道除了少数集中化验证者拒绝交易外,相关当局是否具备系统层面的超级权限,以直接修改资产的所有权?(Sui需要提供更详细的冻结措施信息)
去中心化的真正意义
在具体细节未披露之前,我们有必要讨论去中心化的权衡:在紧急响应时,牺牲一点去中心化是否一定是坏事?如果整条链在遭遇黑客攻击时什么都不做,那是否真的符合用户的期望?我想说的是,大家自然不希望自己的钱落入黑客之手,但令市场更担忧的是,冻结标准完全是主观的:什么才算是被盗资金?谁来定义?界限在哪里?
今天冻结黑客,明天是否又冻结其他人?一旦设立了这样的先例,公链核心的反审查价值将完全崩溃,必然会对用户信任造成损害。
去中心化并非黑与白。 Sui在用户保护与去中心化之间选择了特定的平衡。关键问题在于缺乏透明的治理机制和清晰的边界标准。在现阶段,大多数区块链项目都在进行这种权衡,但用户有权知道真相,而不是被“完全去中心化”的标签所误导。
