많은 사람들이 의문을 가집니다. 수이(Sui) 공식 측에서 @CetusProtocol이 해킹 당한 후, 검증자 네트워크가 해커 주소를 「동결」하여 1.6억 달러를 되찾았다고 합니다. 도대체 어떻게 이를 해냈을까요? 탈중앙화는 '거짓말'인 걸까요? 다음은 기술적 관점에서 분석해보겠습니다:
· 크로스체인 브릿지 이전 부분: 해커가 공격에 성공한 후 즉시 크로스체인 브릿지를 통해 일부 USDC 등 자산을 이더리움 등 다른 체인으로 이전했습니다. 이 자금은 이미 회수할 수 없습니다. 수이 생태계를 벗어나면 검증자들은 아무것도 할 수 없기 때문입니다.
· 수이 체인에 남아있는 부분: 상당한 양의 도난 자금이 여전히 해커가 통제하는 수이 주소에 남아있습니다. 이 자금이 「동결」의 대상이 되었습니다.
공식 발표에 따르면, 「대량의 검증자들이 도난 자금 주소를 식별하고 해당 주소의 거래를 무시하고 있습니다」.
——구체적으로 어떻게 실행했을까요?
1、검증자 레벨의 거래 필터링——간단히 말해 검증자들이 집단적으로 '못 본 척'하는 것:
- 검증자들이 거래 풀(mempool) 단계에서 해커 주소의 거래를 직접 무시합니다;
- 이러한 거래는 기술적으로 완전히 유효하지만, 블록에 포함시키지 않습니다;
- 해커의 자금은 이렇게 「소프트 구금」됩니다;
2、Move 객체 모델의 핵심 메커니즘——Move 언어의 객체 모델이 이러한 「동결」을 가능하게 합니다:
- 이전은 반드시 온체인으로 이루어져야 합니다: 해커가 수이 주소에 많은 자산을 통제하고 있지만, USDC, SUI 등 객체를 이전하려면 반드시 거래를 발생시키고 검증자가 확인해야 합니다;
- 검증자들이 생사여탈권을 쥐고 있습니다: 검증자들이 블록 포함을 거부하면 객체는 영원히 움직일 수 없습니다;
- 결과: 해커는 명목상 이러한 자산을 「소유」하지만, 실제로는 아무것도 할 수 없습니다.
마치 은행 카드가 있지만 모든 ATM이 서비스를 거부하는 것과 같습니다. 돈은 카드 안에 있지만 인출할 수 없습니다. SUI 검증 노드의 지속적인 모니터링과 개입(ATM)으로 해커 주소의 SUI 등 토큰은 유통될 수 없으며, 이러한 도난 자금은 마치 「파괴」된 것처럼 객관적으로 「디플레이션」 효과를 일으킵니다.
물론, 검증자들의 임시 조정 외에도, 수이는 시스템 레벨에서 거부 목록 기능을 미리 설정했을 수 있습니다. 만약 그렇다면, 프로세스는 다음과 같을 것입니다: 관련 권한 주체(예: 수이 재단 또는 거버넌스를 통해)가 해커 주소를 시스템 deny_list에 추가하고, 검증자들은 이 시스템 규칙에 따라 실행하여 블랙리스트 주소의 거래를 거부합니다.
임시 조정이든 시스템 규칙에 따른 실행이든, 대부분의 검증자들이 통일된 행동을 취할 수 있어야 합니다. 명백히 수이의 검증자 네트워크 권력 분배는 여전히 너무 집중되어 있어, 소수의 노드가 전체 네트워크의 핵심 결정을 통제할 수 있습니다. 수이 검증자의 과도한 집중 문제는 PoS 체인의 특이한 사례가 아닙니다——이더리움부터 BSC까지, 대부분의 PoS 네트워크가 유사한 검증자 집중도 리스크에 직면해 있으며, 단지 수이가 이번에 문제를 더 명확하게 드러냈을 뿐입니다.
——탈중앙화를 표방하는 네트워크가 어떻게 이렇게 강력한 중앙화된 「동결」 능력을 가질 수 있을까요?
더 심각한 것은, 수이 공식 측에서 동결된 자금을 풀에 반환하겠다고 밝혔지만, 만약 검증자들이 「거래 패키징을 거부」한 것이라면, 이러한 자금은 이론적으로 영원히 움직일 수 없어야 합니다. 수이는 어떻게 반환할 수 있을까요? 이는 수이 체인의 탈중앙화 특성에 더욱 도전합니다!
혹시, 소수의 집중된 검증자들이 거래를 거부하는 것 외에, 공식 측에 시스템 레벨의 슈퍼 권한으로 자산 귀속을 직접 수정할 수 있는 능력이 있는 것은 아닐까요? (수이가 「동결」 세부 사항을 추가로 제공해야 합니다) 구체적인 세부 사항이 공개되기 전에, 탈중앙화에 대한 균형을 논의할 필요가 있습니다:
긴급 대응 개입으로 탈중앙화를 약간 희생하는 것이 나쁜 일일까요? 해커 공격 시 체인이 아무런 조치도 취하지 않는 것이 사용자가 원하는 것일까요?
제가 말하고 싶은 것은, 모두가 자연스럽게 돈이 해커의 손에 들어가는 것을 원하지 않지만, 이러한 조치로 인해 시장이 더 걱정하는 것은 동결 기준이 완전히 「주관적」이라는 점입니다: 무엇이 「도난 자금」인가? 누가 정의하나요? 경계는 어디인가? 오늘 해커를 동결하고, 내일은 누구를 동결할까요? 이러한 선례가 열리면, 공개 블록체인의 가장 핵심적인 검열 저항 가치는 완전히 파괴될 것이며, 필연적으로 사용자 신뢰 문제를 손상시킬 것입니다. 탈중앙화는 흑백논리가 아니며, 수이는 사용자 보호와 탈중앙화 사이의 특정 균형점을 선택했습니다. 핵심 문제는 투명한 거버넌스 메커니즘과 명확한 경계 기준의 부재입니다. 현재 대부분의 블록체인 프로젝트들이 이러한 균형을 시도하고 있지만, 사용자는 진실을 알 권리가 있으며, 「완전한 탈중앙화」 라벨에 오도되어서는 안 됩니다.
원문 링크
블록비츠(theblockbeats) 공식 커뮤니티에 가입해주세요:
텔레그램 구독 그룹: https://t.me/theblockbeats
텔레그램 교류 그룹: https://t.me/BlockBeats_App
트위터 공식 계정: https://twitter.com/BlockBeatsAsia
