Pourquoi Sui a-t-il pu geler les 160 millions de dollars volés par le pirate ?
TechFlow SélectionTechFlow Sélection
Pourquoi Sui a-t-il pu geler les 160 millions de dollars volés par le pirate ?
La décentralisation n'est pas un choix binaire ; Sui a opté pour un équilibre particulier entre protection des utilisateurs et décentralisation.
Dédié à des analyses Web3 approfondiesRédaction : Haotian
Beaucoup se demandent comment il est possible que, après l'attaque du protocole @CetusProtocol sur Sui, le réseau de validateurs ait coordonné une « gel » de l'adresse du pirate, permettant de récupérer 160 millions de dollars. Comment cela a-t-il pu être réalisé ? La décentralisation serait-elle un « mensonge » ? Voici une analyse technique de la situation :
Partie transférée via les ponts跨链桥 : après avoir réussi l'attaque, le pirate a immédiatement transféré une partie des actifs comme l'USDC vers Ethereum et d'autres blockchains via des ponts跨链桥. Ces fonds sont désormais irrécupérables, car une fois sortis de l'écosystème Sui, les validateurs n'ont plus aucun contrôle.
Partie restant sur la chaîne Sui : une quantité importante des fonds volés reste dans une adresse sous le contrôle du pirate sur Sui. C'est cette partie qui a été ciblée par le « gel ».
D'après l'annonce officielle, « un grand nombre de validateurs ont identifié les adresses contenant les fonds volés et ignorent actuellement les transactions provenant de ces adresses ».
—— Mais concrètement, comment cela fonctionne-t-il ?
1. Filtrage des transactions au niveau des validateurs —— en résumé, les validateurs font collectivement « comme s'ils ne voyaient rien » :
-
Les validateurs ignorent directement les transactions provenant de l'adresse du pirate dès la phase du pool de mémoire (mempool) ;
-
Ces transactions sont techniquement valides, mais elles ne sont tout simplement pas incluses dans les blocs ;
-
Ainsi, les fonds du pirate sont « assignés à résidence » dans son adresse ;
2. Le modèle objet Move, un mécanisme clé —— l'architecture objet du langage Move rend ce type de « gel » possible :
-
Le transfert doit passer par la chaîne : bien que le pirate contrôle une grande quantité d'actifs dans une adresse Sui, pour transférer ces objets (comme USDC ou SUI), il doit obligatoirement envoyer une transaction qui doit ensuite être incluse et confirmée par les validateurs ;
-
Les validateurs détiennent le pouvoir absolu : s’ils refusent d’inclure la transaction, l’objet ne peut jamais bouger ;
-
Résultat : le pirate « possède » nominalement ces actifs, mais est complètement impuissant en pratique.
Imaginez que vous avez une carte bancaire, mais que tous les distributeurs automatiques (ATM) refusent de vous servir. L’argent est sur la carte, mais vous ne pouvez pas le retirer. Grâce à la surveillance continue et à l’intervention des nœuds validateurs SUI (les ATM), les jetons comme SUI détenus par l’adresse du pirate deviennent inutilisables, comme s’ils étaient « détruits », produisant objectivement un effet de « contraction monétaire » ?
Bien sûr, outre la coordination temporaire entre validateurs, Sui pourrait avoir intégré au niveau système une fonctionnalité de liste noire. Si tel est le cas, le processus pourrait être le suivant : une entité habilitée (par exemple la Fondation Sui ou via un mécanisme de gouvernance) ajoute l’adresse du pirate à une liste system deny_list, et les validateurs appliquent cette règle système en refusant toutes transactions liées aux adresses blacklistées.
Qu’il s’agisse d’une coordination temporaire ou d’un respect de règles systémiques, cela nécessite que la majorité des validateurs agissent de concert. Il est évident que le réseau de validateurs Sui souffre d’une concentration excessive du pouvoir : quelques nœuds seulement peuvent contrôler les décisions critiques du réseau.
Ce problème de centralisation des validateurs sur Sui n’est d’ailleurs pas isolé parmi les blockchains PoS —— d’Ethereum à BSC, la plupart des réseaux PoS font face à des risques similaires de concentration des validateurs, mais Sui a simplement mis ce problème en lumière plus visiblement.
—— Comment un réseau prétendument décentralisé peut-il disposer d’un pouvoir aussi centralisé de « gel » ?
Encore plus préoccupant : Sui annonce vouloir restituer les fonds gelés aux pools. Mais si le mécanisme repose vraiment sur le refus par les validateurs d’inclure les transactions, ces fonds devraient théoriquement rester bloqués à jamais. Alors, comment Sui compte-t-il les restituer ? Cela remet encore davantage en cause le caractère décentralisé de cette blockchain !
Serait-il possible que, au-delà du simple refus de transactions par quelques validateurs centralisés, les autorités officielles disposent d’un privilège système leur permettant de modifier directement la propriété des actifs ? (Sui devrait fournir davantage de détails sur le mécanisme exact de « gel »)
Avant que ces détails ne soient révélés, il est nécessaire de réfléchir aux compromis relatifs à la décentralisation :
L’intervention d’urgence, quitte à sacrifier un peu de décentralisation, est-elle forcément mauvaise ? Et si la blockchain ne faisait strictement rien face à une attaque, serait-ce vraiment ce que veulent les utilisateurs ?
Il va sans dire que personne ne souhaite voir l’argent tomber entre les mains de pirates. Pourtant, cette action suscite une inquiétude encore plus grande sur le marché : les critères de gel deviennent totalement « subjectifs ». Qu’est-ce qu’un « fonds volé » ? Qui le définit ? Où se situe la limite ? Aujourd’hui on gèle le pirate, demain qui sera gelé ? Dès lors qu’un tel précédent est établi, la valeur fondamentale des blockchains publiques — leur résistance à la censure — s’effondre, ce qui ne manquera pas d’entamer la confiance des utilisateurs.
La décentralisation n’est pas binaire. Sui a choisi un point d’équilibre particulier entre protection des utilisateurs et décentralisation. Le problème central réside dans l’absence de mécanisme de gouvernance transparent et de critères clairs définissant les limites.
À l’heure actuelle, la plupart des projets blockchain opèrent ce type de compromis, mais les utilisateurs ont le droit de connaître la vérité, plutôt que d’être induits en erreur par l’étiquette « pleinement décentralisé ».
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
Haotian | CryptoInsight
