Cena DAO Maker

Autor: czternaście cze   To wydarzenie jest zwycięstwem kapitału, a nie użytkowników i jest regresem dla rozwoju branży. Bitcoin po lewej, Sui po prawej, a każdy ruch w branży, który wstrząsa decentralizacją, przynosi silniejsze przekonanie o Bitcoinie. Świat potrzebuje nie tylko lepszej globalnej infrastruktury finansowej, ale także grupy ludzi, którzy zawsze będą potrzebować wolności. Dawno, dawno temu łańcuch sojuszy był lepiej prosperujący niż łańcuch publiczny, ponieważ spełniał potrzeby regulacyjne tamtej epoki, a teraz upadek sojuszu faktycznie oznacza, że po prostu spełnia on te wymagania, a nie potrzeby prawdziwych użytkowników. 1. Tło wydarzenia 22 maja 2025 r. Cetus, największa zdecentralizowana giełda (DEX) w ekosystemie łańcucha publicznego Sui, została zaatakowana przez hakerów, powodując gwałtowny spadek płynności i upadek wielu par handlowych, co spowodowało stratę w wysokości ponad 220 milionów dolarów. W chwili publikacji harmonogram jest następujący: Rankiem 22 maja hakerzy zaatakowali Cetus, aby wydobyć 230 milionów dolarów, a Cetus pilnie zawiesił kontrakt i wydał oświadczenie Po południu 22 maja haker przelał około 60 milionów dolarów przez łańcuch, a pozostałe 162 miliony dolarów nadal znajdowały się pod adresem on-chain Sui, a węzeł walidatora Sui szybko podjął działania w celu dodania adresu hakera do "Listy odrzuconych" i zamrożenia środków Wieczorem 22 maja @emanabio Sui CPO napisał na Twitterze, że środki zostały zamrożone, a powrót rozpocznie się wkrótce 23 maja Cetus rozpoczął naprawianie luk w zabezpieczeniach i aktualizację umów 24 maja Sui udostępnił PR na zasadach open source, wyjaśniając, że zamierza przetwarzać fundusze za pomocą aliasingu i białej listy 26 maja Sui zainicjował głosowanie w sprawie zarządzania on-chain, proponując, czy przeprowadzić aktualizację protokołu i przenieść zhakowane aktywa na adres escrow 29 maja ogłoszono wyniki głosowania, a ponad 2/3 węzłów walidatora zostało zważonych za poparciem; Aktualizacja protokołu jest gotowa do wykonania Od 30 maja do początku czerwca weszła w życie aktualizacja protokołu, określony skrót transakcji został wykonany, a zhakowane aktywa zostały "legalnie przeniesione" 2. Zasada ataku Zasada wydarzeń jest powiązana, a w branży pojawiło się wiele stwierdzeń, więc oto tylko przegląd podstawowych zasad: Z perspektywy przepływu ataku: Atakujący najpierw wykorzystał pożyczkę błyskawiczną, aby pożyczyć około 10 024 321,28 haSUI, co natychmiast obniżyło cenę puli handlowej 99.90%。 To ogromne zlecenie sprzedaży obniżyło cenę docelową puli z około 1,8956×10^19 do 1,8425×10^19, prawie osiągając dno. Następnie atakujący tworzy pozycję płynnościową na Cetus o niezwykle wąskim zakresie (dolny limit tickowy 300000, górny limit 300200 i szerokość interwału tylko 1,00496621%). Tak wąski interwał potęguje wpływ późniejszych błędów obliczeniowych na liczbę wymaganych tokenów. Podstawowa zasada ataku: W funkcji get_delta_a występuje luka w zabezpieczeniach polegająca na przepełnieniu liczb całkowitych, której Cetus używa do obliczenia wymaganej liczby tokenów. Atakujący celowo stwierdził, że chce dodać ogromną ilość płynności (około 10^37 jednostek), ale w rzeczywistości włożył do kontraktu tylko 1 token. Ze względu na nieprawidłowy warunek wykrywania przepełnienia checked_shlw, kontrakt został obcięty na wysokim poziomie podczas obliczeń przesunięcia w lewo, co spowodowało, że system poważnie zaniżył wymaganą ilość haSUI, wymieniając w ten sposób ogromną ilość płynności przy bardzo niskich kosztach. Technicznie rzecz biorąc, powyższa luka w zabezpieczeniach wynika z tego, że Cetus używa nieprawidłowych masek i warunków oceny w inteligentnym kontrakcie Move, co powoduje, że każda wartość mniejsza niż 0xffffffffffffffff << 192 jest w stanie ominąć wykrycie; Po przesunięciu 64 bitów w lewo dane wysokiego poziomu są obcinane, a system pobiera tylko bardzo niewielką liczbę tokenów, aby uznać, że zyskał dużą płynność. Po incydencie wyprowadzono 2 oficjalne operacje: "Zamrożenie" i "Odzyskiwanie", czyli dwie fazy: Faza zamrażania jest zakończona przez konsensus listy odmów + węzłów; Na etapie wycofania wymagana jest aktualizacja protokołu on-chain + głosowanie społeczności + wykonanie wyznaczonej transakcji, aby ominąć czarną listę. 3. Mechanizm zamrażania Sui W samym łańcuchu Sui istnieje specjalny mechanizm Deny List, który realizuje zamrożenie funduszy hakerskich. Nie tylko to, ale standard tokenów Sui ma również model "regulowanego tokena" z wbudowaną funkcją zamrażania. To awaryjne zamrożenie wykorzystuje tę funkcję: węzły walidatora szybko dodają adresy związane ze skradzionymi środkami w swoich lokalnych plikach konfiguracyjnych. Teoretycznie każdy operator węzła może modyfikować TransactionDenyConfig, aby samodzielnie aktualizować czarną listę, ale w celu zapewnienia spójności sieci, Fundacja Sui ma scentralizowaną koordynację jako oryginalny wydawca konfiguracji. Fundacja najpierw oficjalnie wydała aktualizację konfiguracji zawierającą adres hakera, a walidator zaczął działać synchronicznie zgodnie z domyślną konfiguracją, dzięki czemu środki hakera zostały tymczasowo "zapieczętowane" na łańcuchu, który w rzeczywistości ma za sobą wysoki stopień centralizacji Aby uratować ofiary przed zamrożonymi środkami, zespół Sui natychmiast uruchomił łatkę dla mechanizmu Whitelist. Dotyczy to późniejszych przelewów zwrotnych środków. Legalne transakcje mogą być konstruowane z wyprzedzeniem i rejestrowane na białej liście, nawet jeśli adres funduszu nadal znajduje się na czarnej liście, można to wyegzekwować. Ta nowa funkcja pozwala transaction_allow_list_skip_all_checks na wstępne dodanie określonych transakcji do "listy kontrolnej", co pozwala im pominąć wszystkie kontrole bezpieczeństwa, w tym podpisy, uprawnienia, czarne listy itp. Ważne jest, aby pamiętać, że łatki umieszczane na białej liście nie kradną bezpośrednio zasobów hakerów; Daje to tylko niektórym transakcjom możliwość ominięcia zamrożenia, a transfer rzeczywistych aktywów nadal musi być wykonany za pomocą podpisu prawnego lub dodatkowego modułu uprawnień systemowych. W rzeczywistości główny schemat zamrażania w branży często występuje na poziomie kontraktu tokenowego i jest kontrolowany przez emitenta w celu uzyskania wielu podpisów. Biorąc za przykład USDT wyemitowany przez Tether, jego kontrakt ma wbudowaną funkcję czarnej listy, a firma emitująca może zamrozić obraźliwy adres, aby nie mogła przelać USDT. Ten schemat wymaga, aby multisig zainicjował żądanie zamrożenia w łańcuchu, a multisig jest uzgadniany przed jego faktycznym wykonaniem, więc występuje opóźnienie wykonania. Chociaż mechanizm zamrażania Tether jest skuteczny, statystyki pokazują, że w procesie wielopodpisu często występuje "okres okna", co pozostawia przestępcom możliwości do wykorzystania. W przeciwieństwie do tego, zamrożenie Sui występuje na poziomie podstawowego protokołu, jest kolektywnie obsługiwane przez węzły walidatora i jest wykonywane znacznie szybciej niż normalne wywołania kontraktów. W tym modelu, aby być wystarczająco szybkim, oznacza to, że zarządzanie samymi węzłami walidatora jest wysoce jednolite. 3. Zasada wdrażania "recyklingu transferowego" Sui Jeszcze bardziej niesamowite jest to, że Sui nie tylko zamroził aktywa hakera, ale także planował "przelać i odzyskać" skradzione środki poprzez aktualizacje on-chain. 27 maja Cetus zaproponował głosowanie społeczności w sprawie ulepszenia protokołu w celu wysyłania zamrożonych środków do portfela powierniczego multisig. Następnie Fundacja Sui zainicjowała głosowanie w sprawie zarządzania on-chain. 29 maja ogłoszono wyniki głosowania, a około 90,9% walidatorów poparło program. Sui oficjalnie ogłosił, że po zatwierdzeniu propozycji "wszystkie środki zamrożone na dwóch kontach hakerskich zostaną odzyskane do portfela multisig bez podpisu hakera". Nie ma potrzeby podpisywania się przez hakera, co jest taką różnicą, że nigdy nie było takiej poprawki w branży blockchain. Jak można zauważyć z oficjalnego PR Sui na GitHubie, protokół wprowadza mechanizm aliasowania adresów. Uaktualnienie obejmuje wstępne określenie reguł aliasów w ProtocolConfig, dzięki czemu niektóre dozwolone transakcje mogą być traktowane tak, jakby legalny podpis został wysłany z konta, którego atak hakerski został zhakowany. W szczególności hash lista transakcji ratunkowych do wykonania jest powiązana z adresem docelowym (tj. adresem hakera), a każdy wykonawca, który podpisze i opublikuje podsumowanie tych ustalonych transakcji, jest uważany za inicjatora transakcji jako prawidłowy właściciel adresu hakera. W przypadku tych konkretnych transakcji system węzłów walidatora pomija sprawdzanie listy odmów. Na poziomie kodu Sui dodaje następujący osąd do logiki walidacji transakcji: gdy transakcja jest zablokowana przez czarną listę, system iteruje przez jej sygnatariusza, aby sprawdzić, czy protocol_config.is_tx_allowed_via_aliasing(nadawca, sygnatariusz tx_digest) jest prawdziwy. Tak długo, jak sygnatariusz spełnia regułę aliasu, co oznacza, że transakcja może zostać przyjęta, poprzedni błąd przechwycenia jest ignorowany, a normalne wykonywanie pakietu jest kontynuowane. 4. Punkt widzenia 160 milionów, rozdzieranie na strzępy to najgłębsze przekonanie w branży Z osobistego punktu widzenia autora może to być burza, która wkrótce minie, ale ten model nie zostanie zapomniany, ponieważ podważa fundamenty branży i łamie tradycyjny konsensus, że blockchain nie może być manipulowany w ramach tego samego zestawu ksiąg. W projektowaniu blockchain umowa jest prawem, a kod jest sędzią. Ale w tym przypadku kod zawiódł, zarządzanie zakłóciło się, a władza przesłoniła wzorzec, tworząc wzorzec zachowań głosujących oceniających wyniki kodu. Dzieje się tak dlatego, że bezpośrednie przywłaszczenie transakcji przez Sui bardzo różni się od postępowania z hakerami na głównych blockchainach. Nie jest to pierwszy raz, kiedy konsensus został naruszony, ale był to najbardziej cichy przypadek Historycznie: Incydent z Ethereum w 2016 r. The DAO wykorzystał hard fork do wycofania przelewów w celu pokrycia strat, ale decyzja ta doprowadziła do rozłamu między Ethereum i Ethereum Classic, co było kontrowersyjne, ale ostatecznie różne grupy stworzyły różne przekonania konsensusu. Społeczność Bitcoin doświadczyła podobnych wyzwań technicznych: luka w zabezpieczeniach z 2010 r. została pilnie naprawiona przez programistów, a zasady konsensusu zostały zaktualizowane, całkowicie usuwając około 18,4 miliarda nielegalnie wygenerowanych bitcoinów. Jest to ten sam model hard forka, który cofa księgę do punktu, w którym znajdowała się przed problemem, a następnie użytkownik może nadal zdecydować, z którego systemu księgi nadal korzystać w ramach problemu. W porównaniu z hard forkiem DAO, Sui nie zdecydował się na podział łańcucha, ale dokładnie ukierunkował to zdarzenie poprzez aktualizację protokołu i skonfigurowanie aliasów. W ten sposób Sui utrzymuje ciągłość łańcucha i większość zasad konsensusu, ale pokazuje również, że podstawowy protokół może być wykorzystany do realizacji ukierunkowanych "operacji ratunkowych". Problem polega na tym, że historycznie rzecz biorąc, "rozwidlone wycofanie" jest wyborem wiary użytkownika; "Korekta protokołu" Sui polega na tym, że łańcuch podejmuje decyzję za Ciebie. Nie twój klucz, nie twoja moneta? Obawiam się, że już nie. Na dłuższą metę oznacza to, że idea "nie twoje klucze, nie twoje monety" została zdemontowana w łańcuchu Sui: nawet jeśli klucz prywatny użytkownika jest nienaruszony, sieć nadal może blokować przepływ aktywów i przekierowywać je poprzez zmiany w układach zbiorowych. Jeśli stanie się to precedensem dla blockchaina w reagowaniu na incydenty bezpieczeństwa na dużą skalę w przyszłości, uważa się nawet, że jest to praktyka, którą można ponownie zastosować. "Kiedy łańcuch może łamać zasady w imię sprawiedliwości, ma precedens do łamania wszelkich zasad". Raz odniesie sukces w "zagarnianiu pieniędzy z publicznej opieki społecznej", następnym razem może to być operacja w "moralnej dwuznaczności". Więc co się dzieje? Haker ukradł pieniądze użytkownika, więc czy głos tłumu może go okraść z pieniędzy? Głosować na podstawie tego, czyje pieniądze to więcej (pos) czy więcej osób? Jeśli wygra ten, kto ma więcej pieniędzy, wkrótce pojawi się ostateczny producent Liu Cixina, a jeśli wygra ten, który ma więcej ludzi, to grupowy motłoch również będzie głośny. W tradycyjnym systemie to normalne, że nielegalne zyski nie są chronione, a zamrażanie i przelewanie są rutynowymi operacjami tradycyjnych banków. Ale fakt, że nie można tego zrobić technicznie, nie jest podstawą rozwoju branży blockchain. Teraz kij zgodności z branżą nadal fermentuje, dziś możesz zamrozić się dla hakerów i zmodyfikować saldo konta, a jutro możesz dokonać arbitralnych modyfikacji dla czynników geograficznych i sprzecznych czynników. Jeśli łańcuch stanie się częścią narzędzia regionalnego. Wartość tego przemysłu została znacznie zmniejszona, a w najlepszym razie jest to trudniejszy system finansowy. Jest to również powód, dla którego autor jest mocno zaangażowany w branżę: "Blockchain jest wartościowy nie dlatego, że nie można go zamrozić, ale dlatego, że nawet jeśli go nienawidzisz, to się dla ciebie nie zmieni". Trendy regulacyjne, czy sieć może zachować swoją duszę? Dawno, dawno temu łańcuch sojuszy był lepiej prosperujący niż łańcuch publiczny, ponieważ spełniał potrzeby regulacyjne tamtej epoki, a teraz upadek sojuszu faktycznie oznacza, że po prostu spełnia on te wymagania, a nie potrzeby prawdziwych użytkowników. Z perspektywy rozwoju przemysłu Sprawna centralizacja, czy to konieczny etap w rozwoju blockchaina? Jeśli ostatecznym celem decentralizacji jest ochrona interesów użytkowników, to czy możemy tolerować centralizację jako środek przejściowy? Słowo "demokracja", w kontekście zarządzania on-chain, jest w rzeczywistości ważone symbolicznie. Jeśli więc haker posiada dużą ilość SUI (lub pewnego dnia DAO zostanie zhakowane, a haker kontroluje głosy), czy może również "legalnie głosować za praniem brudnych pieniędzy"? Ostatecznie wartość blockchaina nie polega na tym, czy można go zamrozić, ale na tym, czy grupa zdecyduje się tego nie robić, nawet jeśli ma możliwość zamrożenia. Przyszłość sieci nie jest zdeterminowana przez architekturę techniczną, ale przez zestaw przekonań, które zdecyduje się chronić.

必要金額ワロタ

🚨 NOWY SHO - 0xFútbol jest DOSTĘPNY! ⚽️ Dołącz tutaj: Aby to uczcić, rozdajemy DARMOWE TOKENY DAO na 🎁 ✅ Dołącz do wyprzedaży 0xFútbol ✅ Natychmiast otrzymaj +100% bonusu na Shakebox ✅ Nagrody należy do Ciebie — nawet jeśli zwrócisz pieniądze! 🔹 Runda publiczna: Wpłać minimum 75 USDC, a otrzymasz bonus 500 DAO 🔹 Runda prywatna: Wpłać minimum 500 DAO, otrzymaj +500 DAO bonusu 🛡️ 3-dniowy okres zwrotu pieniędzy — bez ryzyka, tylko nagrody! 🔗 Szczegóły:

135 tys. $ dzisiejszych zarobków DAO