Новый отчет Лаборатории безопасности Лазарева от Bybit предполагает, что многие крупные блокчейны не столь доверительные, как кажутся. В индустрии, построенной на децентрализации, это вызывает подозрения.
Исследователи Bybit изучили кодовые базы 166 блокчейнов, используя анализ на основе AI и ручной обзор. Они обнаружили, что 16 сетей уже обладают встроенной функцией замораживания средств, а еще 19 могут активировать их с небольшими изменениями в протоколах.
Хотя эта функция предназначена как мера безопасности против взломов и незаконных переводов, она возобновила долгий вопрос: насколько децентрализованы системы, поддерживающие криптоиндустрию?
Расследование было инициировано резонансным событием: в начале этого года Фонд Sui заморозил более $160 миллионов в украденных активах после взлома Cetus DEX, быстрое вмешательство, которое вызвало интенсивные дебаты.
Если фонд может заблокировать кошелек хакера для защиты пользователей, что мешает ему заморозить активы кого-либо еще?
Этот отчет появился вскоре после собственных проблем Bybit с безопасностью.
Всего несколько месяцев назад биржа пережила массовый взлом на $1,5 миллиарда, один из крупнейших в истории криптовалют. В этом случае центральные игроки вступили - партнеры, такие как Circle и Tether, заморозили около $42,9 миллиона украденных стейблкоинов, а другие протоколы помогли восстановить дополнительные средства.
Способность остановиться в экстренной ситуации явно имеет свои преимущества. Но она также подчеркивает парадокс: чем больше криптосети полагаются на такие "выключатели" для сдерживания угроз, тем больше они начинают напоминать традиционные централизованные системы, которые они стремились заменить.
Замораживание криптовалютных средств: защита от взломов против риска децентрализации
На блокчейне "замораживание" счета означает остановку движения его средств – фактически делая их неподвижными.
На практике это обычно осуществляется производителями блоков (валидаторами) или изменениями правил протокола, предотвращающими транзакции с занесенным в черный список адресом. Эти чрезвычайные полномочия возникли как ответ на многочисленные взломы и мошенничества в DeFi.
Логика проста: если воры крадут миллионы в криптовалюте, остановите их на блокчейне, прежде чем они смогут отмыть средства.
Например, после взлома на $160M в Cetus на Sui фонд быстро внедрил запретительный список на уровне протокола, чтобы заморозить кошельки хакера.
Точно так же разработчики BNB Chain вшили кодированную черную метку, чтобы остановить перемещение $570M, похищенных в результате взлома кросс-чейн моста в 2022 году. Еще в 2019 году VeChain использовал аналогичный черный список после того, как $6,6 миллиона токенов были украдены из кошелька фонда. Содержание: также указано в отчете – имеет встроенный модуль черного списка с расширенными правами, который действует несколько похожим на вызов контракта, инициируемый Tron Foundation, для замораживания счетов (механизм Tron не был детализирован в кратком изложении Bybit, но известно из предыдущих случаев, что узлам Tron можно дать команду отклонять транзакции с определенных адресов).
Во всех случаях, независимо от того, является ли заморозка кодовой, основанной на конфигурации или контрактной, конечный результат одинаков: определенные адреса могут быть лишены возможности совершать транзакции, по усмотрению тех, кто контролирует данную функцию.
Тихо распространился шаблон управления заморозкой в различных экосистемах блокчейнов.
Проанализировав репозитории GitHub, команда Bybit обнаружила повторяющиеся шаблоны – хуки в коде обработки транзакций, ссылки на переменные "черный список" или проверки определенных списков аккаунтов. Это присутствовало в различных проектах и языках (например, цепочки на основе EVM как BNB и Chiliz против цепочек на основе Rust как Sui и Aptos), что говорит о том, что разработчики независимо пришли к идее, что у блокчейна должен быть аварийный тормоз. То, что начиналось как случайные реакции на кризисы, по-видимому, становится стандартным элементом дизайна. И важно, что эти средства контроля часто концентрируют власть в руках тех, кто поддерживает код или управляет основными узлами валидаторов. Как сухо отмечает отчет, децентрализация "часто заканчивается там, где начинается доступ валидаторов".
16 основных блокчейнов с возможностями заморозки
Исследование Bybit выявило шестнадцать публичных блокчейнов, которые в настоящее время имеют собственную функциональность для замораживания счетов или транзакций. Ниже приведен список этих сетей и известных механизмов, с помощью которых они могут заблокировать средства:
- Ethereum (ETH) – может ввести экстренную паузу через вмешательство управления (например, через обновление сети или хуки через EIP, аналогичные предлагаемому EIP-3074). Хотя Ethereum не имеет встроенной функции "черного списка", разработчики могут подготовить специальный форк или использовать логику контракта для достижения заморозки в исключительных ситуациях, как это было продемонстрировано в откате DAO в 2016 году.
- BNB Chain (BNB) – использует консенсусный черный список, управляемый валидаторами. Биржей Binance поддержанная цепочка имеет жестко закодированные функции заморозки; ее валидаторы, координируемые основной командой Binance, могут отказаться обрабатывать транзакции с адресов из внутреннего черного списка.
- Polygon (POL) – использует динамическую фильтрацию адресов в пулах транзакций. Ноды Polygon могут быть настроены (через форки или обновления) для фильтрации транзакций, связанных с определенными адресами, фактически предотвращая включение аккаунтов из черного списка в новые блоки.
- Solana (SOL) – поддерживает обновления конфигурации во время выполнения для черных списков. Дизайн Solana позволяет основной команде или управляющему органу быстро внедрять изменения конфигурации на уровне всей сети. Теоретически это может быть использовано для внедрения черного списка на уровне программного обеспечения валидатора или блокировки определенных аккаунтов.
- Avalanche (AVAX) – имеет транзакционные остановки, активируемые управлением. Avalanche может использовать свое управление на основе блокчейн (посредством голосования валидаторов) для внедрения экстренных остановок или адресных ограничений на своем C-Chain и субсетях, если большинство валидаторов согласится.
- Tron (TRX) – встроенный модуль черного списка в протоколе. Сеть Tron, контролируемая Tron Foundation, обладает функциональностью, позволяющей властям замораживать счета (например, для соблюдения запросов правоохранительных органов или защиты от взломов, как это было в прошлых инцидентах с участием активов на базе TRON).
- Cosmos (ATOM экосистема) – пауза модуля IBC и запрет адресов. Cosmos и его блокчейны на базе SDK еще не использовали глобальные заморозки, но система межблокчейн-коммуникации (IBC) и модули аккаунтов могут быть использованы для остановки переводов или добавления адресов в черный список в зонах с координированным обновлением.
- Polkadot (DOT) – парачейновые заморозки через главное соединение. Управление Polkadot может вносить обновления времени выполнения на парачейны. В экстренной ситуации, главное соединение может инициировать заморозку или откат для проблемного парачейна или адреса, подчиняясь голосованию в цепи Polkadot.
- Cardano (ADA) – жесткие форки с исключением адресов. У Cardano нет простого опкода заморозки, но через его обновления с использованием комбинатора жестких форков, сообщество могло бы внедрить правила, исключающие определенные UTXO или адреса (например, не признавая выводы, контролируемые ключом из черного списка, в новой эпохе).
- Tezos (XTZ) – голосование управления, позволяющее заморозку. Tezos может включить механизм заморозки путем внесения изменений в протокол. Если участники проголосуют за включение функции черного списка или паузы в обновление (для экстренного использования), это станет частью протокола Tezos.
- Near Protocol (NEAR) – фильтры транзакций на уровне шардов. Шардинговый дизайн NEAR может позволить координирующим узлам фильтровать или отклонять транзакции, нацеленные на определенные адреса в данном шарде – возможность, которую можно внедрить через управление протоколом в экстремальных случаях.
- Algorand (ALGO) – атомарные переводы с ключами отмены. Стандартная архитектура активов (ASA) Algorand включает функцию заморозки и принудительного возврата эмитентом. Хотя ALGO сам не может быть заморожен, многие токены Алгаранда имеют средства контроля заморозки. Algorand также поддерживает принудительные переводные транзакции (если это разрешено), которые имитируют заморозку, перемещая средства с черных адресов.
- Hedera Hashgraph (HBAR) – администраторский контроль заморозки токенов. Hedera, управляемая корпоративным советом, предлагает встроенные админфункции для токенов. Утвержденные администраторы могут замораживать переводы токенов или даже удалять балансы. Модель с разрешениями в сети означает, что совет, возможно, также сможет остановить учетные записи на уровне регистра, если потребуется.
- Stellar (XLM) – условия возврата и заморозки при выпуске активов. Stellar позволяет эмитентам активов (токенов) включать возможность возврата, которая позволяет им замораживать или возвращать токены из кошельков пользователей при определенных условиях. Это использовалось эмитентами регулируемых стабильных монет в Stellar и фактически является частичным механизмом заморозки в экосистеме.
- Ripple XRP Ledger (XRP) – функциональность интрапоклей и заморозки линий. Ledger XRP не позволяет замораживать нативную валюту XRP, но допускает эмитентам токенов IOU (например, стабильные монеты или ценные бумаги в реестре) глобально замораживать активы или конкретные траст-линии. Сеть Ripple также поддерживает блокировку XRP в контрактах хранения (временные заморозки), что связано с ограничением движения средств.
- VeChain (VET) – управление транзакциями на основе полномочий. Система мастернод VeChain активировала черный список в 2019 году после взлома. Фонд, с одобрением сообщества, активировал проверки на уровне консенсуса, которые заставили валидаторов отклонять любые транзакции с адресов хакера – фактически замораживая эти средства.
Важно отметить, что не все проекты согласны с тем, как охарактеризована их возможность заморозки.
Например, после выхода отчета Bybit, команда VeChain публично оспорила утверждение о том, что в ее протоколе есть постоянная жестко закодированная заморозка.
Фонд VeChain объяснил, что в инциденте 2019 года сообщество проголосовало за выпуск одноразовой заплатки – изменения правило консенсуса – которая заблокировала адреса хакера на уровне валидатора.
"Программное обеспечение VeChainThor включает проверки на уровне консенсуса, которые после включения через управление сообществом сделали активы неподвижными," написала команда, подчеркивая, что мера была одобрена управлением и не является всегда включенной. Иными словами, по мнению VeChain, в нормальной работе нет скрытого выключателя; они просто изменили код посредством надлежащей процедуры, чтобы заморозить украденные средства. Эта обратная связь подчеркивает чувствительность вопроса – ни один блокчейн не хочет, чтобы его рассматривали как централизованно управляемый, даже если в чрезвычайных ситуациях они действуют именно так.
На очереди: 19 сетей, всего в нескольких кликах от полномочий заморозки
Возможно, более поразительным, чем 16 блокчейнов с функциями заморозки, является предупреждение отчета о том, что еще 19 сетей могут внедрить аналогичные средства контроля с минимальными усилиями.
Во многих случаях инфраструктура кода для черных списков или приостановки транзакций уже присутствует или легко добавляется. Для активации функции может потребоваться лишь несколько измененных строк кода или переключение флага конфигурации.
Насколько широко это может стать? Возможно, очень – если разработчики решат, что компромисс стоит того.
Команда Bybit упомянула несколько конкретных проектов в этой категории "может легко заморозить".
Они отметили, что популярные цепочки, такие как Arbitrum, Cosmos, Axelar, Babylon, Celestia и Kava входят в число тех, которые могли бы активировать заморозку средств с относительно незначительными изменениями протокола.
Эти сети в настоящее время не рекламируют возможности заморозки, однако их архитектура такова, что внедрение подобной функции не составило бы труда.
Например, многие цепочки на базе Cosmos используют систему учетных записей модулей (для таких вещей, как управление или сборы).
Как наблюдали исследователи, эти учетные записи модулей могут быть изменены, чтобы отказаться от исходящих транзакций с определенных адресов. До сих пор ни один блокчейн экосистемы Cosmos не применял это для добавления пользователя в черный список – для этого потребуется одобренный управлением жесткий форк с небольшим изменением кода в логике обработки транзакций. Но тот факт, что это осуществимо с помощью простого обновления, означает, что шаблон уже существует, ожидая решения.
На практике активация функции заморозки на этих дополнительных цепочках, вероятно, последует знакомому шаблону: крупному взлому или...Контент: регулирующее давление может побудить разработчиков сказать: «Нам нужен этот инструмент». Действительно, после взлома и заморозки Sui на 162 млн долларов сеть Aptos (дружественная цепочка Move-language) тихо добавила возможность внесения в черный список в свой код в последующие недели. Они увидели надпись на стене: без механизма замораживания у них было бы мало возможностей, если бы подобная уязвимость поразила их экосистему.
Это демонстрирует, как прецедент одного проекта может повлиять на других. Если произойдет еще несколько крупных инцидентов, нетрудно представить себе цепную реакцию реализации цепочками потенциальных переключателей заморозки «на всякий случай».
Распространенность подобных шаблонов кода свидетельствует о степени отраслевой конвергенции по этому вопросу. «Это не аномалия — это становится шаблоном индустрии», — говорится в отчете о логике замораживания на цепочке. Многие новые блокчейны, как представляется, извлекли уроки (как хорошие, так и плохие) из предыдущих взломов старых сетей.
Они могут включать хуки в свой дизайн, которые позволяют выполнять централизованные действия по желанию, даже если они их не рекламируют.
В некоторых случаях эти хуки были обнаружены инструментом сканирования ИИ компании Bybit: команда использовала модель ИИ (Claude 4.1 от Anthropic), чтобы просканировать сотни репозиториев на наличие ключевых слов и структур кода, связанных с внесением в черный список и фильтрацией транзакций.
Этот инструмент ИИ отметил множество потенциальных случаев в различных проектах.
Но не все они были настоящими функциями замораживания — некоторые ложные срабатывания включали функции на уровне пользователя, которые на самом деле не были контролем на уровне протокола. Но сам факт того, что для анализа того, насколько все это может быть распространено, потребовалась автоматизация, подчеркивает, насколько неопределенными стали границы «децентрализованного контроля».
В конце концов, исследователи должны были вручную проверить каждый случай, что показывает, что даже эксперты могут испытывать трудности с определением того, где в блокчейне спрятаны рычаги управления.
Отчет Bybit подчеркивает, что наличие возможностей замораживания в большем количестве сетей не является гипотетическим. Это уже норма по духу, если не по букве. Разница заключается лишь в том, перевел ли проект переключатель в активное положение. Многие могут сделать это путем хардфорка или даже изменения конфигурации во время выполнения, что означает, что дух абсолютной неизменности, по сути, скомпрометирован. Мы движемся к ландшафту, где большинство цепочек имеют некоторую степень «кнопки остановки» — либо активную, либо находящуюся в режиме ожидания. Это повышает ставки за прозрачность: если такие переключатели распространены, пользователи и инвесторы захотят точно знать, кто и как может их активировать.
Прагматичная безопасность или скрытая централизация?
Дискуссия по этим выводам по существу сводится к классической дилемме: перевешивают ли преимущества экстренного вмешательства издержки для децентрализации?
Сторонники функций замораживания утверждают, что они являются прагматичной мерой безопасности — необходимой опцией в мире, где взломы, эксплойты и кражи распространены. Действительно, в отчете задокументировано, как замораживание спасло значительные суммы. Быстрая реакция Sui после взлома Cetus DEX потенциально спасла 162 миллиона долларов от того, чтобы быть навсегда утерянными.
Черный список BNB Chain во время ее эксплойта в 2022 году помог сдержать утечку на 570 миллионов долларов, предотвратив дальнейшее заражение экосистемы Binance. Замораживание токенов в 2019 году VeChain на сумму 6,6 млн долларов защитило казну проекта и фонды сообщества от невосстановимой потери. Каждое из этих событий могло быть разрушительным; способность вмешаться превратила их из фатальных в просто болезненные.
«Без этих мер взломы, подобные атаке на улучшения Cetus или мост BNB, уничтожили бы инвесторов», — отмечается в отчете в защиту этих механизмов.
Однако каждый раз, когда блокчейн использует такую возможность, он подрывает основополагающий безупречный принцип технологии блокчейна. Сопротивление цензуре — гарантия того, что никто не может предотвратить выполнение действительных транзакций — является важной частью того, почему люди доверяют децентрализованным сетям. Если пользователи начнут чувствовать, что фонд или комитет может вмешаться и заморозить средства по своей воле, психологическое (а также юридическое) различие с традиционными банками начнет размываться. Исследователи Bybit предупреждают, что даже надлежащие замораживания могут создать прецедент:
«Как только цепочка один раз замораживает средства, трудно представить, что она не сделает этого снова», — пишут они. Опасение в том, что то, что начинается как исключительная мера, может превратиться в рутинный инструмент контроля.
Существует свидетельство того, что линия уже движется.
Согласно данным отчета, почти 70% зарегистрированных событий замораживания произошло через действия на уровне консенсуса валидаторами или производителями блоков. Это значимо, потому что это самый глубокий уровень системы — это означает, что цензура была заложена в сам процесс производства блоков, а не только на поверхностном уровне приложения. Обычные пользователи даже не знали бы, что это происходит; цепь просто перестает обрабатывать транзакции с определенных адресов, без объяснений на цепи.
В большинстве случаев решения о замораживании принимались малыми советами по управлению, фондами или основными группами разработчиков.
Эти органы часто не являются избираемыми или, если они избираемы (как некоторые наборы валидаторов), они, как правило, имеют тесные связи с инсайдерами и не отвечают напрямую перед миллионами глобальных пользователей. Такие замораживания могут напоминать действия центрального банка или правительственные указы, выполненные без тех проверок и балансов, которые децентрализация должна была обеспечить.
Непрозрачность этих экстренных действий является большой частью обеспокоенности.
В случае Sui координация по замораживанию средств была осуществлена за кулисами через соглашения между валидаторами, организованные Фондом Sui. Не было ни предложения на цепи, ни предварительного голосования пользователей; это был срочный ответ.
Аналогично, недавно добавленная функция замораживания в Aptos, как сообщается, управляется через приватные конфигурационные файлы валидаторов, и «лишь немногие знают», кто поддерживает черный список или как принимаются эти решения. Такой скрытный подход может быть эффективным в кризисной ситуации, но он отодвигает сообщество и лишает его прозрачности.
Даже на BNB Chain, которая относительно открыта в отношении своего жестко запрограммированного черного списка, контроль «жестко привязан к ядру разработчиков Binance», отмечается в анализе. Это означает, что окончательное решение о том, кто будет внесен в черный список на BNB, фактически принимается руководством Binance — структурой власти, более похожей на корпоративную, чем на децентрализованный проект сообщества. А в случае замораживания на основе контракта Heco ключ администратора, находящийся у операторов протокола, может решать, какие адреса будут жить или уйдут из сети.
Для критиков эти реалии подтверждают давние подозрения, что многие так называемые децентрализованные блокчейны децентрализованы только по названию. «Границы между фондами, валидаторами и регуляторами размываются быстро», как заметил один комментарий. Когда дело доходит до дела, большинство крупных сетей могут действовать совершенно как централизованные посредники: они могут замораживать средства, отменять транзакции или в противном случае управлялять деятельностью пользователей в таких способах, которые пользователи могут не осознавать.
Криптосообщество уже видело аналогичные дебаты по таким вопросам, как соблюдение санкций OFAC, когда валидаторы Ethereum начали цензурировать санкционированные адреса в блоках в 2022 году. Это также рассматривалось как скользкий путь, когда внешнее давление приводило к появлению де-факто централизованного поведения в децентрализованной системе.
С другой стороны, защитники чрезвычайных полномочий утверждают, что некоторая возможность вмешательства является просто частью «взросления» для криптовалют. Поскольку блокчейн-платформы становятся основными и содержат миллиарды в цене, реальные взломы и преступления не могут быть игнорированы.
Даже ярые сторонники децентрализации могут признать, что если бы их собственные средства были украдены, они были бы рады своевременному замораживанию, чтобы вернуть их обратно. Ключевым моментом, возможно, является обеспечение надлежащего управления и прозрачности вокруг этих возможностей.
Дэвид Зонг, глава отдела безопасности Bybit, который возглавил исследование, сформулировал это так: Блокчейн мог быть построен на децентрализации, «но наши исследования показывают, что многие сети разрабатывают прагматичные механизмы безопасности для быстрого реагирования на угрозы».
Самое главное, по его словам, заключается в том, что «прозрачность порождает доверие» — это означает, что если такие механизмы существуют, они должны быть открыто раскрыты и подлежать надзору, а не скрываться в коде.
Худший исход — это секретные задние двери или кнопки замораживания, о которых пользователи узнают только тогда, когда уже слишком поздно.
Напротив, если проект открыто заявляет, что сохраняет экстренный тормоз и дает ясную политику о том, как и когда его использовать (например, только для взломов свыше X суммы, требуя утверждения многоподписей и т.д.), пользователи и инвесторы могут сами оценить компромисс.
Ответ VeChain, упомянутый ранее, является иллюстративным. Они не отрицали замораживание средств — они защищали то, как это было сделано, представляя это как действие, управляемое сообществом, а не как одностороннее решение. Это намекает на возможный срединный путь: любое замораживание должно происходить через какую-то форму децентрализованного процесса принятия решений. В случае VeChain они утверждают, что держатели токенов одобрили черный список. В случае Sui после этого голосование в сообществе ратифицировало план восстановления. Хотя эти шаги в управлении могут быть несовершенны (критики отметят, что влияние фонда может часто склонить голоса, или что чрезвычайное временное положение исключает длительные дебаты), тем не менее, они пытаются согласоваться с принципами децентрализации. Альтернатива — это несколько основных разработчиков, принимающих решения, — опасно приближает нас к централизованным системам, от которых криптомир стремился уйти.
Почти через год после исторического «форка DAO» Эфириума в 2016 году — возможно, первого вмешательства в средства на цепочке — индустрия все еще борется с тем же основным вопросом: Должны ли блокчейны вмешиваться в деятельность на цепочке, даже чтобы исправить ошибку?
Возможно, никогда не будет универсального ответа на этот вопрос. Разные сети придерживаются разных позиций, от абсолютистской неизменности Биткойна (даже кражи эпохи Сатоши не могут быть обращены вспять) до более гибких, ориентированных на управление цепочек, таких как Tezos или Polkadot, которые явно допускают изменения, инициируемые сообществом. Понятно одно: наличиеСодержание: these freeze mechanisms blurs the dichotomy of centralized vs decentralized.
Многие сети занимают серую зону между этими двумя понятиями – децентрализованные в повседневной работе, но с централизованными возможностями вмешательства в экстремальных сценариях. Будь то благоразумное управление рисками или фатальный компромисс, вероятно, зависит от философии человека и, возможно, от того, приходилось ли ему когда-либо становиться жертвой хакерской атаки.
Заключительные мысли
Отчет Bybit снял завесу над неудобной правдой: возможность замораживать средства теперь является частью ландшафта блокчейна, особенно среди основных сетей.
Выбор, стоящий перед отраслью, больше не просто "централизация vs. децентрализация". Это честное управление vs. скрытый контроль.
Проекты, которые честно рассказывают о своих полномочиях и подвергают их демократическому контролю, могут сохранить свою надежность – они будут говорить, что в основном децентрализованы, за исключением крайних случаев, и вот как это именно работает.
С другой стороны, если такие полномочия остаются непрозрачными и неконтролируемыми, вопрос времени, когда они посеют недоверие или будут неправильно использованы. По мере усиления регуляторного контроля в некоторых юрисдикциях могут даже потребовать наличия возможностей замораживания на блокчейне (ЕС и Сингапур уже предложили идеи для "аварийного тормоза" в законе). Институциональные инвесторы, также, могут предпочесть сети, которые могут контролировать риски, даже если это означает жертву частью децентрализации.
Это может привести к разделению между "комплаентными" цепочками, которые могут вмешиваться, и "чистыми" цепочками, которые отказываются, что в корне изменяет идентичность криптоэкосистемы.
В конце концов, децентрализация в крипто не умирает – но она созревает и сталкивается с жесткими проверками реальности.