22 Mayıs'ta, Sui ekosistem DEX'i Cetus'tan 223 milyon dolar çalındı. Bunun içinde sadece 60 milyon dolar köprü üzerinden ETH'ye dönüştürülerek hackerın cebine girdi, geri kalan 162 milyon dolar ise Sui Vakfı tarafından düğüm noktaları donduruldu.
27 May'da, topluluk oylaması başlatıldı, "hackerin kontrolündeki hesaplarda dondurulan fonları geri almak için protokol yükseltmesinin uygulanıp uygulanmayacağına karar vermek üzere." Sonunda protokol yükseltmesi gerçekleştirildi, 162 milyon fon başarıyla geri alındı.
Sui Vakfı'nın bu hırsızlık olayına hızlı yanıtı ve hızlı bir şekilde sunduğu çözüm, topluluk içinde büyük bir tartışma yarattı; bir yandan, çalınan kullanıcıların çıkarlarını koruyarak çoğu fonu geri aldı, diğer yandan, geri alma yöntemi, varlık mülkiyetini zorla değiştirmek için düğüm uzlaşması yoluyla oldu. Bu, kamu zincirinde "anahtar olmadan varlık transferi"nin gerçekleştirilmesidir.
Kullanıcıların çıkarları söz konusu olduğunda, bu kadar "cesur" bir şekilde "merkeziyetsizlik ruhuna" aykırı olan işlem böylece göz ardı edildi.
Anahtar olmadan varlık aktarması nasıl gerçekleştirilir?
22 Mayıs'ta, Sui ekosistem DEX'i Cetus, kendi kodundaki düşük seviyeli bir hata nedeniyle hacker saldırısına uğradı ve 223 milyon dolar kaybetti. Olaydan sonra, çalınan 162 milyon doların Sui Vakfı tarafından doğrulayıcı düğümlerin dondurulmasıyla kurtarılması sağlandı.
27 May'da, Sui Vakfı topluluk oylamasını teşvik etti. Bu oylama fırsatı, hack'lerin kontrolündeki hesaplarda dondurulan fonların geri alınması için protokol yükseltmesinin uygulanıp uygulanmayacağına karar vermek amacıyla oluşturulmuştur. Sonuç olarak 48 saat içinde, 114 düğümden 103'ü oylamaya katıldı; 99 oy destek, 2 oy karşı, 2 oy çekimser olarak kullanıldı ve %90.9'luk yüksek bir oranla öneri kabul edildi.
Teklifler aracılığıyla, Sui protokolünün yükseltileceği ve bu durumun belirli bir adresin hacker adresi adına iki işlem gerçekleştirmesine izin vereceği anlamına geliyor, bu da fonların geri kazanımını kolaylaştıracaktır. Bu işlemler tasarlanacak ve geri kazanım adresi nihai olarak belirlendikten sonra yayımlanacaktır. Geri kazanılan varlıklar, Cetus, Sui Vakfı ve Sui topluluğu içindeki güvenilir denetçi OtterSec tarafından kontrol edilen çoklu imza cüzdanında saklanacaktır.
Protokol yükseltme seviyesinde, adres takma adı (address aliasing) işlevi tanıtılmaktadır. Daha spesifik olarak, protokol katmanında belirli kurallar önceden tanımlanır: belirli yönetişim eylemlerini "hack hesaplarının meşru imzası" olarak gizlemek ve ardından doğrulama düğümlerinin yükseltmeden sonra bu sahte imzayı tanıması sağlanır, böylece dondurulmuş fonların transferi meşrulaştırılır. Bu, özel anahtarlarla oynamadan, düğüm konsensüsü aracılığıyla varlık mülkiyetinin zorla değiştirilmesini sağlar (bu, merkez bankasının banka hesaplarını dondurduktan sonra fonları transfer etmesine benzer).
Peki, en erken dondurulan varlıklar nasıl gerçekleştirildi? Sui, Deny list (dondurma listesi) ve Regulated tokens (regüle edilmiş tokenler) işlevlerini destekliyor; bu sefer doğrudan dondurma arayüzünü çağırarak hacker adresini kilitledik.
Kalan güç müdahalesinin teknik riskleri
Bu adım, dondurulan varlıkların büyük bir kısmını geri kazandırmış olsa da, endişeleri de beraberinde getiriyor. Çünkü protokolün güncellenmesi, düğüm konsensüsü aracılığıyla varlıkların mülkiyetinin zorla değiştirilmesine sebep oldu ve bu, Sui resmi yetkililerinin herhangi bir adresi imzalamak için değiştirebileceği anlamına geliyor; bu da oradaki varlıkların transfer edilebileceği anlamına geliyor.
Sui resmi kuruluşunun bunu yapıp yapamayacağına dair kısıtlama, akıllı sözleşme kodu değil, düğüm oy hakkıdır. Peki, düğüm oylamasının sonuçları kimin elinde? O da, sermaye kontrolüne sahip büyük düğümler, yani vakıf tarafından kontrol edilenlerdir! Yani, Sui resmi kuruluşunun paydaşları en fazla söz hakkına sahiptir, oylama bile sadece bir formaliteden ibarettir.
Kullanıcının özel anahtarı, artık varlıkların mutlak kontrol belgesi değildir; yeter ki düğüm konsensüsü onaylasın, protokol katmanı özel anahtar yetkilerini doğrudan geçersiz kılabilir.
Ancak diğer yandan, bu bir varlık geri kazanımının verimliliğini sağlıyor, varlıkların hızlı bir şekilde dondurulması, Sui'nin yerleşik denetim fonksiyonlarının sayesinde hızlı bir şekilde zararı durdurabiliyor, 48 saat içinde oylama tamamlandı ve protokolün yükseltilmesi uygulandı.
Ancak yazarın görüşüne göre, adres takma adı işlevi tehlikeli bir emsal oluşturdu - protokol katmanı, herhangi bir adresin "yasal işlemlerini" sahte olarak yaratabilir, bu da güç müdahalesi için teknik bir zemin hazırlıyor.
Bu sefer Sui'nin geri alma fonlarıyla ilgili bir dizi işlem, kullanıcı çıkarları ile merkeziyetsizlik ilkesi çeliştiğinde, blok zinciri tarafının kullanıcı çıkarları açısından karar vermeyi seçtiğini gösteriyor. Merkezileşmeme ilkesine aykırı olup olmadığı, hem kullanıcılar hem de Sui için görünüşte önemli değil; nihayetinde sorgulandıklarında "oylama" ile karar verildiğini söyleyebilirler.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Cetus'un çalınan fonları geri alındı "Merkeziyetsizlik" kullanıcı menfaatlerinden taviz verdi
Jessy, Altın Finans
22 Mayıs'ta, Sui ekosistem DEX'i Cetus'tan 223 milyon dolar çalındı. Bunun içinde sadece 60 milyon dolar köprü üzerinden ETH'ye dönüştürülerek hackerın cebine girdi, geri kalan 162 milyon dolar ise Sui Vakfı tarafından düğüm noktaları donduruldu.
27 May'da, topluluk oylaması başlatıldı, "hackerin kontrolündeki hesaplarda dondurulan fonları geri almak için protokol yükseltmesinin uygulanıp uygulanmayacağına karar vermek üzere." Sonunda protokol yükseltmesi gerçekleştirildi, 162 milyon fon başarıyla geri alındı.
Sui Vakfı'nın bu hırsızlık olayına hızlı yanıtı ve hızlı bir şekilde sunduğu çözüm, topluluk içinde büyük bir tartışma yarattı; bir yandan, çalınan kullanıcıların çıkarlarını koruyarak çoğu fonu geri aldı, diğer yandan, geri alma yöntemi, varlık mülkiyetini zorla değiştirmek için düğüm uzlaşması yoluyla oldu. Bu, kamu zincirinde "anahtar olmadan varlık transferi"nin gerçekleştirilmesidir.
Kullanıcıların çıkarları söz konusu olduğunda, bu kadar "cesur" bir şekilde "merkeziyetsizlik ruhuna" aykırı olan işlem böylece göz ardı edildi.
Anahtar olmadan varlık aktarması nasıl gerçekleştirilir?
22 Mayıs'ta, Sui ekosistem DEX'i Cetus, kendi kodundaki düşük seviyeli bir hata nedeniyle hacker saldırısına uğradı ve 223 milyon dolar kaybetti. Olaydan sonra, çalınan 162 milyon doların Sui Vakfı tarafından doğrulayıcı düğümlerin dondurulmasıyla kurtarılması sağlandı.
27 May'da, Sui Vakfı topluluk oylamasını teşvik etti. Bu oylama fırsatı, hack'lerin kontrolündeki hesaplarda dondurulan fonların geri alınması için protokol yükseltmesinin uygulanıp uygulanmayacağına karar vermek amacıyla oluşturulmuştur. Sonuç olarak 48 saat içinde, 114 düğümden 103'ü oylamaya katıldı; 99 oy destek, 2 oy karşı, 2 oy çekimser olarak kullanıldı ve %90.9'luk yüksek bir oranla öneri kabul edildi.
Teklifler aracılığıyla, Sui protokolünün yükseltileceği ve bu durumun belirli bir adresin hacker adresi adına iki işlem gerçekleştirmesine izin vereceği anlamına geliyor, bu da fonların geri kazanımını kolaylaştıracaktır. Bu işlemler tasarlanacak ve geri kazanım adresi nihai olarak belirlendikten sonra yayımlanacaktır. Geri kazanılan varlıklar, Cetus, Sui Vakfı ve Sui topluluğu içindeki güvenilir denetçi OtterSec tarafından kontrol edilen çoklu imza cüzdanında saklanacaktır.
Protokol yükseltme seviyesinde, adres takma adı (address aliasing) işlevi tanıtılmaktadır. Daha spesifik olarak, protokol katmanında belirli kurallar önceden tanımlanır: belirli yönetişim eylemlerini "hack hesaplarının meşru imzası" olarak gizlemek ve ardından doğrulama düğümlerinin yükseltmeden sonra bu sahte imzayı tanıması sağlanır, böylece dondurulmuş fonların transferi meşrulaştırılır. Bu, özel anahtarlarla oynamadan, düğüm konsensüsü aracılığıyla varlık mülkiyetinin zorla değiştirilmesini sağlar (bu, merkez bankasının banka hesaplarını dondurduktan sonra fonları transfer etmesine benzer).
Peki, en erken dondurulan varlıklar nasıl gerçekleştirildi? Sui, Deny list (dondurma listesi) ve Regulated tokens (regüle edilmiş tokenler) işlevlerini destekliyor; bu sefer doğrudan dondurma arayüzünü çağırarak hacker adresini kilitledik.
Kalan güç müdahalesinin teknik riskleri
Bu adım, dondurulan varlıkların büyük bir kısmını geri kazandırmış olsa da, endişeleri de beraberinde getiriyor. Çünkü protokolün güncellenmesi, düğüm konsensüsü aracılığıyla varlıkların mülkiyetinin zorla değiştirilmesine sebep oldu ve bu, Sui resmi yetkililerinin herhangi bir adresi imzalamak için değiştirebileceği anlamına geliyor; bu da oradaki varlıkların transfer edilebileceği anlamına geliyor.
Sui resmi kuruluşunun bunu yapıp yapamayacağına dair kısıtlama, akıllı sözleşme kodu değil, düğüm oy hakkıdır. Peki, düğüm oylamasının sonuçları kimin elinde? O da, sermaye kontrolüne sahip büyük düğümler, yani vakıf tarafından kontrol edilenlerdir! Yani, Sui resmi kuruluşunun paydaşları en fazla söz hakkına sahiptir, oylama bile sadece bir formaliteden ibarettir.
Kullanıcının özel anahtarı, artık varlıkların mutlak kontrol belgesi değildir; yeter ki düğüm konsensüsü onaylasın, protokol katmanı özel anahtar yetkilerini doğrudan geçersiz kılabilir.
Ancak diğer yandan, bu bir varlık geri kazanımının verimliliğini sağlıyor, varlıkların hızlı bir şekilde dondurulması, Sui'nin yerleşik denetim fonksiyonlarının sayesinde hızlı bir şekilde zararı durdurabiliyor, 48 saat içinde oylama tamamlandı ve protokolün yükseltilmesi uygulandı.
Ancak yazarın görüşüne göre, adres takma adı işlevi tehlikeli bir emsal oluşturdu - protokol katmanı, herhangi bir adresin "yasal işlemlerini" sahte olarak yaratabilir, bu da güç müdahalesi için teknik bir zemin hazırlıyor.
Bu sefer Sui'nin geri alma fonlarıyla ilgili bir dizi işlem, kullanıcı çıkarları ile merkeziyetsizlik ilkesi çeliştiğinde, blok zinciri tarafının kullanıcı çıkarları açısından karar vermeyi seçtiğini gösteriyor. Merkezileşmeme ilkesine aykırı olup olmadığı, hem kullanıcılar hem de Sui için görünüşte önemli değil; nihayetinde sorgulandıklarında "oylama" ile karar verildiğini söyleyebilirler.