- Topik
27k Popularitas
10k Popularitas
19k Popularitas
4k Popularitas
5k Popularitas
10k Popularitas
11k Popularitas
45k Popularitas
151k Popularitas
1799k Popularitas
- Sematkan
27k Popularitas
10k Popularitas
19k Popularitas
4k Popularitas
5k Popularitas
10k Popularitas
11k Popularitas
45k Popularitas
151k Popularitas
1799k Popularitas
Dana yang dicuri dari Cetus berhasil dipulihkan "Desentralisasi" mengorbankan kepentingan pengguna
Jessy, Keuangan Emas
Pada 22 Mei, DEX Cetus dari ekosistem Sui dicuri dana sebesar 223 juta USD. Dari jumlah tersebut, hanya 60 juta USD yang ditukar menjadi ETH melalui jembatan lintas rantai dan masuk ke kantong hacker, sementara sisa 162 juta USD dibekukan oleh Sui Foundation yang mengoordinasikan node.
Pada 27 Mei, pemungutan suara komunitas dimulai, "untuk memutuskan apakah akan melaksanakan peningkatan protokol untuk memulihkan dana yang dibekukan di akun yang dikendalikan oleh peretas". Akhirnya, peningkatan protokol berhasil dilaksanakan, dan 162 juta dana berhasil dipulihkan.
Respon cepat dan solusi yang segera diluncurkan oleh Yayasan Sui terhadap insiden pencurian ini telah memicu kontroversi yang cukup besar di dalam komunitas. Di satu sisi, mereka berhasil mengembalikan sebagian besar dana dan melindungi kepentingan pengguna yang terkena dampak. Di sisi lain, cara pengembalian tersebut adalah melalui konsensus node yang memaksa pengubahan kepemilikan aset, yang merupakan kali pertama dalam lapisan blockchain publik untuk mewujudkan "transfer aset tanpa kunci pribadi".
Di depan kepentingan pengguna, tindakan yang begitu "berani" yang melanggar "semangat desentralisasi" ini diabaikan begitu saja.
Bagaimana cara transfer aset tanpa kunci pribadi?
Pada 22 Mei, DEX Cetus dari ekosistem Sui mengalami serangan hacker karena kesalahan kode yang rendah, dengan kerugian sebesar 2,23 juta dolar AS. Setelah kejadian tersebut, 162 juta dolar AS dari dana yang dicuri dibekukan oleh Sui Foundation yang mengoordinasikan node validasi.
Pada 27 Mei, Yayasan Sui mendorong pemungutan suara komunitas, kesempatan pemungutan suara ini bertujuan untuk menentukan apakah akan melaksanakan peningkatan protokol untuk memulihkan dana yang dibekukan di akun yang dikendalikan oleh peretas. Akhirnya dalam waktu 48 jam, 114 node dengan 103 yang berpartisipasi dalam pemungutan suara, 99 suara mendukung, 2 suara menentang, 2 suara abstain, proposal tersebut disetujui dengan suara tinggi 90,9%.
Melalui proposal tersebut menandakan bahwa pembaruan protokol Sui akan memungkinkan satu alamat tertentu mewakili alamat peretas untuk melakukan dua transaksi, guna memfasilitasi pemulihan dana. Transaksi-transaksi ini akan dirancang dan diumumkan setelah alamat pemulihan akhirnya ditentukan. Aset yang dipulihkan akan disimpan dalam dompet multisig yang dikendalikan oleh auditor terpercaya OtterSec, yang merupakan bagian dari Cetus, Yayasan Sui, dan komunitas Sui.
Pada tingkat peningkatan protokol, fitur aliasing alamat diperkenalkan, secara spesifik mendefinisikan aturan di tingkat protokol: menyamarkan operasi tata kelola tertentu sebagai "tanda tangan sah dari akun peretas", kemudian node verifikasi setelah peningkatan mengakui tanda tangan palsu tersebut, sehingga memlegalkan pemindahan dana yang dibekukan. Hal ini memungkinkan pengubahan kepemilikan aset secara paksa melalui konsensus node tanpa menyentuh kunci pribadi (ini mirip dengan bank sentral yang membekukan rekening bank dan kemudian memindahkan dana).
Dan bagaimana aset yang dibekukan pertama kali dapat direalisasikan? Sui sendiri mendukung fungsi Daftar Larangan (Deny list) dan Token yang Diatur (Regulated tokens), kali ini langsung memanggil antarmuka pembekuan untuk mengunci alamat peretas.
Risiko teknis dari intervensi kekuasaan yang tersisa
Meskipun langkah ini berhasil memulihkan sebagian besar aset yang dibekukan, namun tetap membuat orang khawatir, karena peningkatan protokol memaksa perubahan kepemilikan aset melalui konsensus node, yang juga menandakan bahwa pihak resmi Sui dapat menggantikan alamat mana pun untuk melakukan tanda tangan, sehingga dapat mengambil aset di dalamnya.
Bukan kode kontrak pintar yang menentukan apakah Sui resmi dapat melakukan ini, tetapi hak suara node, dan hasil suara node tersebut dikuasai oleh siapa? Itu tidak lain adalah node besar yang dikendalikan oleh kapital dari yayasan! Dengan kata lain, pemangku kepentingan resmi Sui memegang kekuasaan terbesar, bahkan meskipun itu adalah pemungutan suara, itu hanya sebuah formalitas.
Kunci pribadi pengguna tidak lagi menjadi bukti kontrol mutlak atas aset, selama konsensus node disetujui, lapisan protokol dapat langsung menutupi hak akses kunci pribadi.
Namun di sisi lain, ini mewujudkan efisiensi dalam pemulihan aset, pembekuan aset yang cepat, berkat fitur regulasi bawaan Sui yang juga dapat menghentikan kerugian dengan cepat, pemungutan suara selesai dalam 48 jam, dan peningkatan protokol telah diterapkan.
Namun menurut penulis, fitur address aliasing telah menciptakan preseden berbahaya - lapisan protokol dapat memalsukan "operasi sah" dari alamat mana pun, yang menanamkan benih intervensi kekuasaan secara teknis.
Dan serangkaian operasi pemulihan dana Sui kali ini hanyalah keputusan dari pihak public chain yang memilih untuk berdiri di sudut pandang kepentingan pengguna ketika kepentingan pengguna bertentangan dengan prinsip desentralisasi. Dan apakah itu melanggar prinsip desentralisasi atau tidak, tampaknya tidak penting bagi pengguna dan Sui, karena pada saat dipertanyakan, mereka juga bisa menjawab bahwa itu adalah keputusan "voting".