原作者: Haotian、暗号研究者

多くの人が困惑しています。 Sui氏は、@CetusProtocolがハッキングされた後、バリデータネットワークが連携してハッカーのアドレスを「凍結」し、1億6000万ドルを回収したと公式に発表した。これは具体的にどのように行われるのでしょうか?分散化は「嘘」ですか？ 以下では、技術的な観点から分析してみます。

・クロスチェーンブリッジによって転送される部分：ハッカー攻撃が成功すると、USDCとその他の資産の一部がクロスチェーンブリッジを介してイーサリアムなどの他のチェーンに即座に転送されます。この資金の一部は、Sui エコシステムを離れるとバリデーターが無力になるため、回収できなくなります。

· Sui チェーン上にまだ一部残っています:盗まれた資金のかなりの額が、ハッカーが管理する Sui アドレスにまだ保管されています。この資金の一部が「凍結」の対象となった。

公式発表によると、「多数のバリデータが盗難資金のアドレスを特定し、これらのアドレスでの取引を無視している」とのことです。

——具体的にはどのように実現するのでしょうか？

1.バリデータレベルでのトランザクションフィルタリング - 簡単に言えば、バリデータは集団的に「盲目のふり」をする：

- バリデータは、メモリプール段階でハッカーアドレスからのトランザクションを直接無視する。
- これらのトランザクションは技術的には有効だが、パッケージ化されてチェーン上に配置されることはない。
- ハッカーの資金はアドレス内で「自宅軟禁」されている。

2. Moveオブジェクトモデルの重要なメカニズム - Move言語のオブジェクトモデルは、この「凍結」を可能にする：

- 転送はチェーン上にある必要がある：ハッカーはSuiアドレスで大量の資産を管理しているが、これらのUSDC、SUI、その他のオブジェクトを転送するには、バリデータによってトランザクションが開始され、パッケージ化され、確認される必要がある。
- バリデータは生死の決定権を握っている：バリデータがパッケージ化を拒否した場合、オブジェクトは決して移動されない。
- 結果：ハッカーは名目上これらの資産を「所有」する。しかし、実際には彼らには何もする術がありません。

銀行カードを持っているのに、すべての ATM でサービスを受けられないようなものです。カードにお金は入っていますが、引き出すことはできません。 SUI検証ノード（ATM）の継続的な監視と介入により、ハッカーのアドレスにあるSUIやその他のトークンは流通できなくなります。これらの盗まれた資金は現在「破壊」されているようなものであり、客観的に見て「デフレ」の役割を果たしているのでしょうか？

もちろん、バリデーターによる一時的な調整だけでなく、Sui がシステム レベルで拒否リスト機能をあらかじめ設定している可能性もあります。 これが実際に当てはまる場合、プロセスは次のようになります。関係機関 (Sui Foundation など、ガバナンスを通じて) がハッカーのアドレスをシステム deny_list に追加し、バリデーターはこのシステム ルールに従って実行し、ブラックリストに登録されたアドレスからのトランザクションの処理を拒否します。

一時的な調整であっても、システム ルールに従って実行する場合であっても、ほとんどのバリデータが一致して動作できることが必要です。 明らかに、Sui のバリデータ ネットワークは依然として集中化されすぎており、少数のノードがネットワーク全体の重要な決定を制御できます。 Sui のバリデーターの過度な集中の問題は、PoS チェーンにおける孤立したケースではありません。 EthereumからBSCまで、ほとんどのPoSネットワークは同様のバリデーター集中リスクに直面していますが、Sui氏は今回、その問題をより明白に明らかにしました。

——分散化されていると主張するネットワークが、なぜこれほど強力な中央集権的な「凍結」能力を持つことができるのでしょうか?

さらに悪いことに、Sui の関係者は凍結された資金をプールに返却すると述べているが、バリデーターが本当に「トランザクションのパッケージ化を拒否」した場合、理論的にはこれらの資金は決して移動されないはずだ。スイはどうやって復帰を果たしたのか？これは、Sui チェーンの分散化の性質にさらなる挑戦となります。

少数の集中したバリデーターが取引を拒否することに加えて、当局はシステムレベルで資産の所有権を直接変更する超権限を持っている可能性はあるでしょうか? （Sui は「凍結」の詳細をさらに提供する必要があります）具体的な詳細が公開される前に、分散化をめぐるトレードオフについて議論する必要があります。

緊急時の対応を妨げるために、少しの分散化を犠牲にすることは、必ずしも悪いことでしょうか。ハッカー攻撃があった場合、チェーン全体が何もしないことがユーザーの望みでしょうか?

私が言いたいのは、当然誰もが自分のお金がハッカーの手に渡ることを望んでいないということですが、市場がより懸念しているのは、凍結基準が完全に「主観的」であるということです。「盗まれた資金」とは何とみなされるのでしょうか?誰がそれを定義するのでしょうか?境界線はどこにあるのでしょうか？今日ハッカーを凍結すれば、明日は誰が凍結されるでしょうか?この前例が設定されると、パブリックチェーンの核となる検閲防止の価値は完全に破綻し、ユーザーの信頼に損害を与えることは避けられません。分散化は白か黒かではなく、Sui はユーザー保護と分散化の間の特定のバランスを選択します。主な問題は、透明性の高いガバナンスの仕組みと明確な境界基準が欠如していることにあります。現在、ほとんどのブロックチェーン プロジェクトがこのようなトレードオフを行っていますが、ユーザーには「完全に分散化されている」というラベルに惑わされるのではなく、真実を知る権利があります。

元のリンク