Курс DAO Maker

Автор: Четырнадцатый июн   Это событие – победа капитала, а не пользователей, и это регресс для развития отрасли. Биткоин слева, Суй справа, и каждый шаг отрасли, который встряхивает децентрализацию, укрепляет веру в биткоин. Мир нуждается не только в более совершенной глобальной финансовой инфраструктуре, но и в группе людей, которые всегда будут нуждаться в свободе. Когда-то давно цепочка альянсов была более процветающей, чем публичная цепочка, потому что она отвечала нормативным потребностям той эпохи, а сейчас упадок альянса фактически означает, что он просто соответствует этому спросу, а не потребностям реальных пользователей. 1. Предыстория мероприятия 22 мая 2025 года Cetus, крупнейшая децентрализованная биржа (DEX) в экосистеме публичной сети Sui, подверглась хакерской атаке, вызвав резкое падение ликвидности и крах нескольких торговых пар, что привело к потере более 220 миллионов долларов. На момент публикации график выглядит следующим образом: Утром 22 мая хакеры атаковали Cetus с целью извлечения $230 млн, и Cetus срочно приостановил действие контракта и выпустил объявление Во второй половине дня 22 мая хакер перевел по цепочке около $60 млн, а оставшиеся $162 млн все еще находились на ончейн-адресе Sui, и узел валидатора Sui быстро принял меры по добавлению адреса хакера в «Список запрещенных» и заморозке средств Вечером 22 мая Sui CPO @emanabio написал в Twitter, что средства заморожены, и скоро начнется возврат 23 мая компания Cetus приступила к исправлению уязвимостей и обновлению контрактов 24 мая Sui открыла исходный код PR, объяснив, что собирается перерабатывать средства через алиасинг и белый список 26 мая Суй инициировал голосование по управлению в сети, предложив провести обновление протокола и перевести взломанные активы на адрес условного депонирования 29 мая были подведены итоги голосования, и более 2/3 узлов валидатора были перевешены на поддержку; Обновление протокола готово к выполнению С 30 мая по начало июня вступило в силу обновление протокола, указанный хеш транзакции был выполнен, а взломанные активы были «законно переведены» 2. Принцип атаки Принцип проведения мероприятий связан между собой, и в отрасли было много заявлений, поэтому вот лишь краткий обзор основных принципов: С точки зрения потока атак: Сначала злоумышленник использовал флэш-кредит, чтобы одолжить около 10 024 321,28 хаСУИ, что мгновенно снизило цену торгового пула 99.90%。 Этот огромный ордер на продажу снизил целевую цену пула примерно с 1,8956×10^19 до 1,8425×10^19, почти достигнув дна. Впоследствии злоумышленник создает позицию ликвидности на Cetus с крайне узким диапазоном (нижняя граница тика 300000, верхняя граница 300200 и ширина интервала всего 1,00496621%). Такой узкий интервал усиливает влияние последующих ошибок вычислений на количество необходимых токенов. Основной принцип атаки: В функции get_delta_a, которую Cetus использует для вычисления необходимого количества токенов, существует целочисленное переполнение. Злоумышленник намеренно заявил, что хочет добавить огромное количество ликвидности (около 10^37 единиц), но на самом деле поставил в контракт только 1 токен. Из-за неправильного условия обнаружения переполнения checked_shlw контракт был усечен на высоком уровне при расчете влево, в результате чего система серьезно недооценила необходимое количество haSUI, тем самым обменяв огромное количество ликвидности по очень небольшой стоимости. Технически указанная уязвимость связана с тем, что Cetus использует неправильные маски и условия оценки в смарт-контракте Move, в результате чего любое значение меньше 0xffffffffffffffff << 192 может обойти обнаружение; После перемещения на 64 бита влево высокоуровневые данные усекаются, и система взимает только очень небольшое количество токенов, чтобы учесть, что она получила большую ликвидность. После инцидента были проведены 2 официальные операции: «Заморозка» и «Восстановление», которая состоит из двух этапов: Фаза заморозки завершается консенсусом Deny List + node; На этапе clawback для обхода черного списка требуется обновление протокола в цепочке + голосование сообщества + выполнение назначенных транзакций. 3. Механизм заморозки Суи В самой цепочке Sui есть специальный механизм Deny List, который осуществляет заморозку средств взлома. В придачу к этому, стандарт токенов Sui также имеет модель «регулируемых токенов» со встроенной функцией заморозки. Эта экстренная заморозка использует эту функцию: узлы валидатора быстро добавляют адреса, связанные с украденными средствами, в свои локальные конфигурационные файлы. Теоретически каждый оператор узла может самостоятельно модифицировать TransactionDenyConfig для обновления черного списка, но для обеспечения согласованности сети Sui Foundation имеет централизованную координацию в качестве первоначального издателя конфигурации. Фонд сначала официально выпустил обновление конфигурации, содержащее адрес хакера, и валидатор вступил в действие синхронно в соответствии с конфигурацией по умолчанию, так что средства хакера были временно «запечатаны» на цепочке, которая на самом деле имеет за собой высокую степень централизации Для того, чтобы вызволить пострадавших из замороженных средств, команда Sui сразу же запустила патч для механизма Whitelist. Это для последующих переводов обратно средств. Законные транзакции могут быть сконструированы заранее и зарегистрированы в белом списке, даже если адрес фонда все еще находится в черном списке, он может быть принудительно выполнен. Эта новая функция transaction_allow_list_skip_all_checks позволяет предварительно добавлять определенные транзакции в «контрольный список», что позволяет им пропускать все проверки безопасности, включая подписи, разрешения, черные списки и т. д. Важно отметить, что патчи из белого списка не крадут хакерские активы напрямую; Это дает возможность обойти заморозку только определенным транзакциям, а перевод реальных активов все равно должен быть выполнен с юридической подписью или дополнительным модулем разрешений системы. На самом деле, основная схема заморозки в отрасли часто происходит на уровне контракта токена и контролируется эмитентом для мультиподписи. Если взять в качестве примера USDT, выпущенный Tether, то в его контракт встроена функция черного списка, и компания-эмитент может заморозить адрес нарушителя, чтобы тот не смог перевести USDT. Эта схема требует, чтобы мультиподпись инициировала запрос на замораживание в цепочке, а мультиподпись согласовывается до того, как она фактически выполняется, поэтому возникает задержка выполнения. Несмотря на то, что механизм заморозки Tether эффективен, статистика показывает, что в процессе мультиподписи часто есть «период окна», что оставляет преступникам возможности для использования. В отличие от этого, зависание Sui происходит на уровне базового протокола, коллективно управляется узлами валидатора и выполняется гораздо быстрее, чем обычные вызовы контрактов. В этой модели, чтобы быть достаточно быстрой, это означает, что управление этими узлами валидатора само по себе очень единообразно. 3. Принцип реализации «трансфертной переработки» Sui Что еще более удивительно, так это то, что Sui не только заморозил активы хакера, но и планировал «перевести и восстановить» украденные средства с помощью ончейн-апгрейдов. 27 мая Cetus предложил сообществу проголосовать за обновление протокола для отправки замороженных средств на кастодиальный кошелек с мультиподписью. Затем Sui Foundation инициировал голосование по управлению в сети. 29 мая были объявлены результаты голосования, и около 90,9% валидаторов поддержали схему. Суи официально объявил, что как только предложение будет одобрено, «все средства, замороженные на двух хакерских счетах, будут возвращены на кошелек с мультиподписью без подписи хакера». Хакеру не нужно подписываться, а это такая разница, что такого фиксинга в блокчейн-индустрии еще не было. Как видно из официального PR Sui на GitHub, в протоколе реализован механизм псевдонимизации адресов. Обновление включает в себя предварительное указание правил псевдонимов в ProtocolConfig, чтобы определенные разрешенные транзакции можно было обрабатывать так, как если бы законная подпись была отправлена со взломанной учетной записи. В частности, хэш-список спасательных транзакций, которые должны быть выполнены, привязан к адресу назначения (т.е. адресу хакера), и любой исполнитель, который подписывает и публикует сводку этих фиксированных транзакций, считается инициировавшим транзакцию в качестве действительного владельца хакерского адреса. Для этих конкретных транзакций система узлов валидатора обходит проверку списка запрещенных файлов. На уровне кода Суй добавляет следующее суждение в логику проверки транзакций: когда транзакция заблокирована черным списком, система перебирает ее подписанта, чтобы проверить, является ли protocol_config.is_tx_allowed_via_aliasing(sender, signer, tx_digest) истинным. До тех пор, пока подписант удовлетворяет правилу псевдонима, то есть транзакция разрешена, предыдущая ошибка перехвата игнорируется, и обычное выполнение пакета продолжается. 4. Точка зрения 160 миллионов, разрываясь на части — это глубочайшее основополагающее убеждение в индустрии С личной точки зрения автора, это может быть буря, которая скоро пройдет, но эта модель не будет забыта, потому что она подрывает основы индустрии и ломает традиционный консенсус о том, что блокчейн нельзя подделывать под одним и тем же набором реестров. В блокчейн-дизайне контракт — это закон, а код — судья. Но в этом случае код дал сбой, вмешалось управление, и власть взяла верх над шаблоном, сформировав шаблон поведения при голосовании, оценивающем результаты кода. Это связано с тем, что прямое присвоение транзакций Суи сильно отличается от работы с хакерами в основных блокчейнах. Это не первый случай, когда консенсус нарушается, но он был самым молчаливым Исторически: В 2016 году в инциденте с Ethereum The DAO использовался хардфорк для отката переводов для покрытия убытков, но это решение привело к расколу между Ethereum и Ethereum Classic, что вызвало споры, но в конечном итоге разные группы сформировали разные консенсусные убеждения. Биткоин-сообщество столкнулось с аналогичными техническими проблемами: в 2010 году разработчики срочно исправили уязвимость, связанную с побочным эффектом стоимости, а правила консенсуса были обновлены, что полностью уничтожило около 18,4 миллиарда незаконно сгенерированных биткоинов. Это та же модель хардфорка, которая откатывает реестр к тому уровню, в котором он был до возникновения проблемы, а затем пользователь все еще может решить, какую систему реестра продолжать использовать в случае проблемы. По сравнению с хардфорком DAO, Sui не стал разделять цепочку, а точно нацелился на это событие, обновив протокол и настроив псевдонимы. При этом Суй поддерживает непрерывность цепочки и большинство правил консенсуса, а также показывает, что базовый протокол может быть использован для реализации целевых «спасательных операций». Проблема в том, что исторически сложилось так, что «разветвленный откат» — это выбор веры пользователя; «Коррекция протокола» Суи заключается в том, что цепочка принимает решение за вас. Не ваш ключ, не ваша монета? Боюсь, что уже нет. В долгосрочной перспективе это означает, что в цепочке Sui демонтируется идея «не ваши ключи, не ваши монеты»: даже если приватный ключ пользователя не поврежден, сеть все равно может заблокировать поток активов и перенаправить их через изменения в коллективном договоре. Если это станет прецедентом для реагирования блокчейна на масштабные инциденты безопасности в будущем, это даже будет считаться практикой, которой можно будет следовать снова. «Когда сеть может нарушать правила ради справедливости, у нее есть прецедент нарушения любых правил». Как только происходит успех «захвата денег на общественное благосостояние», в следующий раз это может быть операция в «моральной двусмысленности». Так что же происходит? Хакер действительно украл деньги пользователя, так может ли голосование толпы отнять у него деньги? Голосуйте на основе того, на чьих деньгах больше (pos) или больше людей? Если победит тот, у кого больше денег, то скоро придет конечный продюсер Лю Цысиня, а если победит тот, у кого больше людей, то групповой сброд также будет шумным. В рамках традиционной системы вполне нормально, когда незаконные доходы остаются незащищенными, а замораживание и перевод являются обычными операциями традиционных банков. Но то, что это невозможно сделать технически, не является корнем развития блокчейн-индустрии. Сейчас палка отраслевого комплаенса продолжает бродить, сегодня вы можете заморозить для хакеров и изменить баланс счета, а завтра вы можете сделать произвольные модификации под географические факторы и противоречивые факторы. Если цепочка становится частью регионального инструмента. Стоимость этой отрасли сильно снизилась, и в лучшем случае это более сложная финансовая система. Это также причина, по которой автор твердо привержен отрасли: «Блокчейн ценен не потому, что его нельзя заморозить, а потому, что даже если вы его ненавидите, он не изменится для вас». Регуляторные тренды, сможет ли сеть сохранить свою душу? Когда-то давно цепочка альянсов была более процветающей, чем публичная цепочка, потому что она отвечала нормативным потребностям той эпохи, а сейчас упадок альянса фактически означает, что он просто соответствует этому спросу, а не потребностям реальных пользователей. С точки зрения развития отрасли Эффективная централизация, является ли она необходимым этапом в развитии блокчейна? Если конечная цель децентрализации заключается в защите интересов пользователей, можем ли мы мириться с централизацией как средством перехода? Слово «демократия» в контексте ончейн-управления на самом деле имеет вес токенов. Итак, если хакер владеет большим количеством SUI (или в один прекрасный день DAO будет взломана, и хакер будет контролировать голоса), может ли он также «законно проголосовать за отмывание себя»? В конце концов, ценность блокчейна заключается не в том, можно ли его заморозить, а в том, решит ли группа не делать этого, даже если у нее есть возможность заморозить. Будущее цепи определяется не технической архитектурой, а набором убеждений, которые она предпочитает защищать.

Требуемая сумма, LOL

🚨 НОВЫЙ SHO - 0xFútbol в ЭФИРЕ! ⚽️ Присоединяйтесь здесь: В честь запуска мы раздаем БЕСПЛАТНЫЕ DAO ТОКЕНЫ на 🎁 ✅ Присоединяйтесь к продаже 0xFútbol ✅ Мгновенно получите +100% бонус на Shakebox ✅ Награды остаются у вас — даже если вы вернете средства! 🔹 Публичный раунд: Внесите минимум 75 USDC, получите 500 DAO бонус 🔹 Приватный раунд: Внесите минимум 500 DAO, получите +500 DAO бонус 🛡️ 3-дневное окно возврата — никаких рисков, только награды! 🔗 Подробности:

Сегодня доходы в DAO составили $135k

🚨 Новый эпизод Proof of Vision для вас сегодня: В нашем 14-м эпизоде PoV наш директор по протокольным сервисам, @0xKmack, пригласил @nomos_paradox, основателя Chronicle Protocol и одного из разработчиков первого Ethereum-оракула Maker... Chronicle Protocol — это блокчейн-агностическая инфраструктура оракулов, изначально разработанная в экосистеме MakerDAO. Chronicle стремится предоставлять прозрачные, проверяемые данные на блокчейне в большом масштабе. В этом эпизоде мы обсуждаем происхождение Chronicle, мыслительные процессы Никласа о токеномике и многое другое... Послушайте 👇 ⏲ Таймкоды: 0:00 - История Никласа 08:09 - Происхождение Chronicle 18:09 - Что делает Chronicle уникальным? 29:07 - Бизнес-модель Chronicle 43:38 - RWAs и реализация оракулов 45:37 - Роль Chronicle в эволюции DeFi-ландшафта 53:08 - Утилитарность токена Chronicle