Análisis del Caso de Sui
Autor original: Haotian (X: ) Muchos se han sorprendido. Sui anunció oficialmente que, tras ser hackeado, la red de validadores coordinó la congelación de la dirección de los hackers y logró recuperar $160 millones. ¿Cómo lo hicieron? ¿Es la descentralización una ilusión? A continuación, analizaremos este caso desde una perspectiva técnica:
Detalles del Proceso
Según el anuncio oficial, un gran número de validadores identificó las direcciones de los fondos robados e ignoró las transacciones realizadas desde estas direcciones.
- Filtrado de transacciones a nivel de validador: En términos simples, los validadores actuaron como si no pudieran ver las transacciones de los hackers:
- Los validadores ignoraron directamente las transacciones procedentes de la dirección del hacker en la etapa de pool de transacciones (mempool).
- Estas transacciones son técnicamente válidas, pero no se empaquetan ni se incluyen en la cadena de bloques.
- Los fondos del hacker quedaron efectivamente en un estado de «arresto domiciliario» en la dirección.
- El mecanismo clave del modelo de objeto Move: El modelo de objetos del lenguaje Move hizo que esta congelación fuera posible:
- Las transferencias deben estar en la cadena: A pesar de que el hacker controla una gran cantidad de activos en la dirección de Sui, para transferir estos USDC, SUI y otros objetos, debe iniciarse y empaquetarse una transacción que sea confirmada por un validador.
- El validador posee el poder de vida o muerte: Si el validador se niega a empaquetar el objeto, este nunca se moverá.
- Resultado: Los hackers son nominalmente propietarios de estos activos, pero en la práctica no tienen control sobre ellos. Es similar a tener una tarjeta bancaria, pero todos los cajeros automáticos se niegan a atenderte. El dinero está en la tarjeta, pero no puedes retirarlo.
Con el monitoreo y la interferencia continua de los nodos de verificación de SUI (ATM), los SUI y otros tokens en la dirección de los hackers no podrán circular. Estos fondos robados son como si estuvieran destruidos, lo que objetivamente tiene un efecto deflacionario.
Consideraciones sobre la Descentralización
Por supuesto, además de la coordinación temporal de los validadores, Sui puede haber preestablecido una función de lista de denegación a nivel de sistema. Si es así, el proceso puede ser el siguiente: la autoridad correspondiente (como la Sui Foundation o a través de la gobernanza) agrega la dirección del hacker a la lista de denegación del sistema, y el validador ejecutará su función acorde a esta regla y se negará a procesar transacciones provenientes de dicha dirección.
Ya sea por una coordinación temporal o por la ejecución de reglas del sistema, la mayoría de los validadores deben actuar en conjunto. Sin duda, la distribución del poder en la red de validadores de Sui sigue siendo demasiado concentrada, y unos pocos nodos pueden controlar decisiones clave de toda la red. Este problema de concentración no es exclusivo de Sui; muchas cadenas PoS, desde Ethereum hasta BSC, enfrentan riesgos similares. Sin embargo, Sui ha hecho que esta cuestión sea más evidente.
Lo que es peor, los funcionarios de Sui afirmaron que devolverían los fondos congelados a la piscina, pero si el validador realmente «se niega a empaquetar la transacción», estos fondos no deberían, teóricamente, moverse nunca. ¿Cómo devolvió Sui los fondos? Esto plantea interrogantes aún más profundos sobre la naturaleza descentralizada de la cadena Sui.
¿Podría ser que, además de unos pocos validadores centralizados que rechazan transacciones, las autoridades tienen superpoderes a nivel de sistema para modificar directamente la propiedad de los activos?
(Sui necesita proporcionar más detalles sobre la congelación.)
Dilema de la Descentralización
Antes de que se divulguen los detalles específicos, es esencial discutir los compromisos en torno a la descentralización: ¿Es necesariamente algo malo sacrificar un poco de descentralización cuando se lleva a cabo una intervención de emergencia? ¿Es lo que los usuarios realmente desean si toda la cadena no hace nada en caso de un ataque hacker?
Es indudable que las personas no quieren que su dinero caiga en manos de hackers, pero lo que más preocupa al mercado es que el criterio para la congelación de fondos es completamente subjetivo: ¿qué se considera fondos robados? ¿Quién lo define? ¿Dónde está el límite? ¿Congelan a los hackers hoy y a quién congelan mañana? Una vez establecido este precedente, el valor fundamental de la resistencia a la censura en las cadenas públicas se vería comprometido, lo que sin duda afectaría la confianza de los usuarios.
Es importante entender que la descentralización no es un concepto en blanco y negro. Sui eligió un equilibrio específico entre la protección del usuario y la descentralización. El problema central radica en la falta de un mecanismo de gobernanza transparente y estándares claros sobre los límites de intervención. En esta etapa, muchos proyectos de blockchain enfrentan este dilema, pero los usuarios tienen derecho a conocer la verdad, en lugar de ser engañados por la etiqueta de ser completamente descentralizados.
