در پی حملهای گسترده به صرافی غیرمتمرکز سیتوس (Cetus) بر بستر بلاکچین سویی (SUI)، حدود ۲۲۳ میلیون دلار از دارایی کاربران به سرقت رفت. در اقدامی بیسابقه، بیش از ۱۶۲ میلیون دلار از این داراییها توسط ولیداتورها فریز شد.
اما چگونه چنین کاری ممکن شد؟ آیا این نشان از تمرکزگرایی پنهان در معماری سویی دارد؟ این مقاله از میهن بلاکچین، به بررسی فنی این موضوع و پیامدهای آن برای مفهوم تمرکززدایی در بلاکچینها میپردازد.
جزئیات حمله و انتقال داراییها
در تاریخ ۲۲ می ۲۰۲۵ (۱ خرداد)، صرافی غیرمتمرکز سیتوس که بر بستر Sui فعالیت میکند، هدف حملهای از نوع بهرهبرداری از کد قرارداد هوشمند قرار گرفت. طبق اعلام رسمی تیم Cetus:
مقدار ۲۲۳ میلیون دلار از داراییها دزدیده شد که از این میان ۱۶۲ میلیون دلار به فریز شده است.
طبق گزارش پلتفرم اکسترکتور (Extractor)، ۶۳ میلیون دلار از این داراییها از طریق پلهای میانزنجیرهای به شبکه اتریوم منتقل شد. همچنین یک آدرس کیف پول با شناسه پایانی AF16 شناسایی شد که ۲۰٬۰۰۰ اتر (حدود ۵۳ میلیون دلار) از داراییهای سرقتی به آن منتقل شدهاند (منبع: Etherscan).
در حالی که بخشی از داراییها به زنجیرههای دیگر منتقل شدند و عملاً غیرقابل بازیابی هستند، حجم قابل توجهی از وجوه همچنان در آدرسهای داخل شبکه سویی باقی ماند. این داراییها هدف اقدامات فنی برای «فریز» شدن قرار گرفتند.
بنا به گفته بنیاد Sui:
تعداد زیادی از ولیداتورها آدرسهای مرتبط با وجوه سرقتی را شناسایی کردهاند و تا اطلاع ثانوی از انجام تراکنش با این آدرسها خودداری میکنند.
مکانیزم فنی فریز داراییها در Sui
۱. فیلتر کردن تراکنشها در سطح ولیداتور (Transaction Filtering)
- ولیداتورها در مرحله ممپول (mempool)، تراکنشهای ارسالی از آدرس هکر را نادیده میگیرند.
- این تراکنشها از نظر فنی معتبرند، اما هرگز در بلاک گنجانده نمیشوند.
- نتیجه: داراییها در آدرس باقی میمانند اما غیرقابل انتقالند. این وضعیت به عنوان «فریز نرم» (Soft Freeze) شناخته میشود.
۲. مدل شیء محور زبان موو (Move)؛ بستری برای فریز
- انتقال داراییها در Sui نیازمند ثبت تراکنش آنچین و تأیید ولیداتورهاست.
- اگر ولیداتورها از ثبت تراکنش امتناع کنند، دارایی بههیچوجه جابهجا نمیشود.
- نتیجه: دارایی «در ظاهر» متعلق به هکر است، اما از نظر کاربردی مسدود شده است.
این وضعیتی شبیه به داشتن یک کارت بانکی است که هیچ خودپردازی آن را نمیپذیرد.
۳. وجود مکانیزم denylist در سطح پروتکل
بر اساس یافتههای منتشرشده توسط تحلیلگر 0x_Todd، شبکه سویی از گذشته دارای یک ویژگی داخلی به نام Deny List بوده است:
این لیست در سطح کد کلاینت گنجانده شده بود و به ولیداتورها اجازه میدهد هرگونه تراکنشی را که به آدرسهای مشخصشده مربوط میشود، مسدود کنند.
- این تنظیمات در فایل
TransactionDenyConfigبهصورت YAML یا TOML بارگذاری میشود. - اگرچه از لحاظ نظری هر ولیداتور میتواند این فایل را مستقل بهروزرسانی کند، اما در عمل اکثر آنها بهطور خودکار نسخه منتشرشده توسط تیم Sui را اعمال میکنند.
- بنابراین، اگرچه ظاهر موضوع به صورت تصمیم فردی هر نود است، اما به گفته @0x_Todd:
در عمل این هماهنگی توسط بنیاد سویی انجام میشود و این نشاندهنده تمرکز در تصمیمگیریهای امنیتی است.
لینک اصلی پست 0x_Todd
نگرانیهای جامعه: تمرکزگرایی و سانسور در پوشش امنیت
علیرغم بازپسگیری بخش بزرگی از داراییهای سرقتی، این اقدام با واکنشهای منفی نیز مواجه شد. یکی از کاربران در پلتفرم X نوشت:
خبر خوبی برای قربانیان است، اما اگر ولیداتورها بتوانند هر زمان که خواستند کیف پولی را فریز کنند، سؤال بزرگی در مورد مقاومت شبکه در برابر سانسور مطرح میشود. سویی اصلاً غیرمتمرکز نیست.
سؤال کلیدی اینجاست: اگر فقط از لحاظ فنی از گنجاندن تراکنشها اجتناب شده، چگونه ممکن است داراییها به کاربران بازگردانده شوند؟ آیا نهادی در سطح پروتکل وجود دارد که امکان انتقال مالکیت داراییها را داشته باشد؟ این پرسشی است که سویی هنوز پاسخی دقیق به آن نداده است.
این ماجرا بار دیگر نشان داد که بلاکچینها در دوران کنونی باید میان دو اصل مهم تعادل برقرار کنند:
- امنیت کاربران و امکان واکنش سریع به حملات
- حفظ ماهیت غیرمتمرکز، مقاومت در برابر سانسور، و مالکیت واقعی کاربران
در حالی که اقدام سویی جان بسیاری از کاربران را نجات داد، اما استانداردهای فریز کردن کاملاً ذهنی باقی ماندهاند: چه کسی تعیین میکند کدام دارایی دزدی است؟ چه نهادی صلاحیت تصمیمگیری دارد؟ امروز هکرها هدف قرار میگیرند، فردا چه کسی؟
جمعبندی
اقدام مشترک بنیاد سویی، صرافی سیتوس و شبکه ولیداتورها باعث نجات داراییهایی به ارزش ۱۶۲ میلیون دلار شد. اما این عملیات بار دیگر محدودیتهای فنی و اجتماعی بلاکچینهای مدرن را نمایان ساخت. تمرکززدایی دیگر مفهومی سیاهوسفید نیست، بلکه طیفی از انتخابها میان آزادی، امنیت و مسئولیتپذیری است.
برای آینده، کاربران حق دارند حقیقت را بدانند — نه صرفاً یک شعار فریبنده مانند «کاملاً غیرمتمرکز».
