Aperçu de la situation actuelle
Auteur : Haotian
De nombreuses interrogations se posent. Sui a récemment annoncé qu’après avoir subi un piratage, son réseau de validateurs a collaboré pour geler les fonds détenus sur l’adresse des hackers, représentant 160 millions de dollars. Comment ont-ils réussi cette opération ? La décentralisation est-elle réellement un mensonge ? Dans cet article, nous tenterons d’analyser cette situation d’un point de vue technique.
Analyse technique des opérations
Selon l’annonce officielle, un grand nombre de validateurs a identifié les adresses des fonds volés et a décidé d’ignorer les transactions en provenance de ces adresses.
Filtrage des transactions
- Filtrage des transactions au niveau des validateurs
- Les validateurs ont directement ignoré les transactions provenant de l’adresse du hacker dès leur entrée dans le pool de transactions (mempool) ;
- Bien que ces transactions soient techniquement valides, elles n’ont pas été intégrées dans la chaîne de blocs ;
- Cela signifie que les fonds du hacker sont effectivement « assignés à résidence » à cette adresse.
Le modèle d’objet Move
Le langage Move, qui sous-tend Sui, permet cette forme de gel :
- Les transferts doivent être réalisés sur la chaîne. Bien que le hacker contrôle un nombre considérable d’actifs sur l’adresse Sui, pour transférer des USDC, des SUI et d’autres objets, une transaction doit être initiée, confirmée et emballée par les validateurs ;
- Le validateur détient un pouvoir décisionnel crucial : s’il refuse d’emballer l’objet, ce dernier restera immobile ;
- En conséquence, bien que les hackers possèdent officiellement ces actifs, ils n’en ont pas réellement le contrôle. C’est comme avoir une carte bancaire à laquelle tous les guichets automatiques refusent de donner accès : l’argent est sur la carte, mais vous ne pouvez pas le retirer.
Avec la surveillance continue et l’interférence des validateurs du réseau SUI, les SUI et autres jetons sur l’adresse des hackers ne pourront pas circuler.
Les risques de centralisation
Il est possible que Sui ait intégré une fonction de liste noire au niveau du système. Si tel est le cas, le processus pourrait se dérouler comme suit : une autorité (comme la Sui Foundation ou un organe de gouvernance) ajoute l’adresse du hacker à la liste des refus, ce qui amène les validateurs à respecter cette règle et à refuser les transactions provenant de l’adresse blacklistée.
Cette concentration excessive des validateurs n’est malheureusement pas un phénomène isolé dans les blockchains de type PoS. D’Ethereum à BSC, la plupart des réseaux PoS sont confrontés à des problématiques similaires, mais Sui a révélé ce problème de manière particulièrement frappante cette fois-ci.
Pire encore, les responsables de Sui ont affirmé qu’ils redeposaient les fonds gelés dans le pool, mais si le validateur « refusait vraiment d’emballer la transaction », ces fonds ne devraient théoriquement jamais être déplacés.
Réflexions sur la décentralisation
Il est essentiel de discuter des compromis liés à la décentralisation : est-il nécessairement néfaste de sacrifier un peu de décentralisation en cas d’intervention d’urgence ? Les utilisateurs souhaitent-ils vraiment que l’ensemble de la chaîne reste passive face aux attaques des hackers ? Tout le monde ne veut pas que ses avoirs tombent entre les mains des cybercriminels.
La véritable préoccupation réside dans le fait que le critère de gel est totalement subjectif : que considère-t-on comme des fonds volés ? Qui le détermine ? Où se situe la ligne ? Geler des hackers aujourd’hui, mais qui sera gelé demain ? Avec la mise en place de ce précédent, la valeur fondamentale de l’anti-censure des blockchains sera compromise, ce qui portera atteinte à la confiance des utilisateurs.
La décentralisation n’est pas un concept binaire. Sui a établi un équilibre particulier entre la protection des utilisateurs et la décentralisation. La question fondamentale reste le manque d’un mécanisme de gouvernance transparent et de critères clairs. À ce stade, la plupart des projets blockchain adoptent ce compromis, mais les utilisateurs ont le droit d’être informés plutôt que d’être égarés par l’étiquette de « totalement décentralisé ».
