22 Mayıs'ta, Sui ekosistem DEX'i Cetus, 223 milyon dolar fon kaybetti. Bunun sadece 60 milyon doları köprü aracılığıyla ETH'ye dönüştürülerek hırsızın cebine girdi, geri kalan 162 milyon dolar ise Sui Vakfı tarafından koordine edilen düğümler tarafından donduruldu.
27 May'da, topluluk oylaması başlatıldı, "dondurulmuş fonların hacker kontrolündeki hesaplardan geri alınması için protokol güncellemesinin uygulanıp uygulanmayacağına karar vermek amacıyla". Sonuçta protokol güncellemesi gerçekleştirildi, 162 milyon fon başarıyla geri alındı.
Sui Vakfı'nın bu hırsızlık olayına hızlı yanıtı ve hızla sunduğu çözüm, topluluk içinde büyük bir tartışma yarattı. Bir yandan, çalınan kullanıcıların çıkarlarını koruyarak çoğu fonu geri aldı, diğer yandan geri alma yöntemi, varlık mülkiyetini zorla değiştirmek için düğüm konsensüsü aracılığıyla oldu. Bu, halka açık blok zinciri katmanında "özel anahtar olmadan varlık transferi"nin gerçekleştirilmesi açısından bir ilktir.
Kullanıcıların çıkarları önünde, bu kadar "cesur" bir şekilde "merkeziyetsizlik ruhu"na aykırı bir işlem böylece göz ardı edildi.
Anahtar olmadan varlık transferi nasıl gerçekleştirilir?
22 Mayıs'ta, Sui ekosistem DEX'i Cetus, kendi kodundaki basit bir hata nedeniyle bir hacker saldırısına uğradı ve 223 milyon dolar kaybetti. Olayın ardından, çalınan 162 milyon doların Sui Vakfı tarafından doğrulama düğümlerinin dondurulmasıyla koordinasyonu sağlandı.
27 May'da, Sui Vakfı topluluk oylamasını teşvik etti. Bu oy verme fırsatı, hacker kontrolündeki hesaplarda dondurulan fonların geri alınması için protokol yükseltmesinin uygulanıp uygulanmayacağını belirlemek amacıyla düzenlendi. Sonuç olarak, 48 saat içinde 114 düğümden 103'ü oylamaya katıldı; 99 oy destek, 2 oy karşı, 2 oy çekimser olarak verildi ve %90.9 yüksek oy oranıyla öneri kabul edildi.
Teklifin yapılması, Sui protokolünün yükseltileceğini gösterir ve bu, belirli bir adresin hacker adresini temsil ederek iki işlem gerçekleştirmesine olanak tanıyacaktır; bu da fonların geri kazanımını kolaylaştırır. Bu işlemler tasarlanacak ve kurtarma adresi nihai olarak belirlendikten sonra duyurulacaktır. Geri kazanılan varlıklar, Cetus, Sui Vakfı ve Sui topluluğunda güvenilir bir denetçi olan OtterSec tarafından kontrol edilen bir çoklu imza cüzdanında saklanacaktır.
Protokol yükseltme seviyesinde, adres takma adı (address aliasing) işlevinin tanıtılması, özellikle protokol katmanında belirli kuralların önceden tanımlanmasını gerektirir: belirli yönetişim işlemlerinin "hack hesaplarının yasal imzası" olarak gizlenmesi, ardından yükseltmeden sonra doğrulama düğümlerinin bu sahte imzayı tanıması ve dondurulmuş fonların transferinin yasallaştırılması. Bu, özel anahtara dokunulmadan, düğüm konsensüsü aracılığıyla varlık mülkiyetinin zorla değiştirilmesine olanak tanır (bu, merkez bankasının banka hesaplarını dondurmasının ardından fonları transfer etmesine benzer).
Peki, en erken dondurulan varlıklar nasıl gerçekleştirildi? Sui, yasaklı listesini (dondurulmuş liste) ve düzenlenmiş token'ları (regüle edilmiş token'lar) destekliyor. Bu sefer, doğrudan dondurma arayüzünü çağırarak hacklenen adresi kilitledi.
Bırakılan güç müdahalesinin teknik riskleri
Bu adım, dondurulmuş varlıkların çoğunu geri almış olsa da, insanları endişelendirmeden edemiyor. Çünkü protokolün güncellenmesi, düğüm konsensüsü aracılığıyla varlıkların mülkiyetinin zorla değiştirilmesine neden oldu ve bu durum Sui resmi kurumunun herhangi bir adresi imzalamak için değiştirebileceğini ve böylece içindeki varlıkları alıp gidebileceğini gösteriyor.
Sui resmi kurumunun bunu yapıp yapamayacağını belirleyen şey akıllı sözleşme kodu değil, düğüm oy hakkıdır. Peki düğüm oylarının sonuçlarını kim kontrol ediyor? Bu, sadece vakfın sermaye kontrolüne sahip büyük düğümleri olmaktadır! Yani, Sui resmi kurumunun paydaşları en fazla söz hakkına sahiptir; oy vermek bile sadece bir formaliteden ibarettir.
Kullanıcının özel anahtarı, artık varlıkların mutlak kontrol belgesi değildir; yeter ki düğüm konsensüsü kabul etsin, protokol katmanı özel anahtar izinlerini doğrudan geçersiz kılabilir.
Ancak diğer yandan, bu, Sui'nin entegre düzenleyici işlevleri sayesinde varlıkların hızlı bir şekilde geri alınmasını, varlıkların hızla dondurulmasını sağladı ve hızlı zarar durdurma imkanı sundu, 48 saat içinde oylama tamamlandı ve protokolün yükseltilmesi uygulandı.
Ancak yazarın bakış açısına göre, adres taklidi işlevi tehlikeli bir emsal oluşturuyor - protokol katmanı herhangi bir adresin "meşru işlemlerini" taklit edebiliyor, bu da güç müdahalesi için teknik bir zemin hazırlıyor.
Ve bu sefer Sui'nin geri kazanım fonlarıyla ilgili bir dizi operasyon, kullanıcı çıkarları ile merkeziyetsizlik ilkesi çeliştiğinde, blok zinciri tarafının kullanıcı çıkarları açısından karar vermeyi seçtiği anlamına geliyor. Merkeziyetsizlik ilkesinin ihlal edilip edilmediği, hem kullanıcılar hem de Sui için artık pek önemli görünmüyor, sonuçta sorgulandıklarında "oylama" ile karar verildiğini söyleyebilirler.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Cetus'un çalınan fonları geri alındı "Merkeziyetsizlik" kullanıcı çıkarlarını korudu
Jessy, Altın Ekonomi
22 Mayıs'ta, Sui ekosistem DEX'i Cetus, 223 milyon dolar fon kaybetti. Bunun sadece 60 milyon doları köprü aracılığıyla ETH'ye dönüştürülerek hırsızın cebine girdi, geri kalan 162 milyon dolar ise Sui Vakfı tarafından koordine edilen düğümler tarafından donduruldu.
27 May'da, topluluk oylaması başlatıldı, "dondurulmuş fonların hacker kontrolündeki hesaplardan geri alınması için protokol güncellemesinin uygulanıp uygulanmayacağına karar vermek amacıyla". Sonuçta protokol güncellemesi gerçekleştirildi, 162 milyon fon başarıyla geri alındı.
Sui Vakfı'nın bu hırsızlık olayına hızlı yanıtı ve hızla sunduğu çözüm, topluluk içinde büyük bir tartışma yarattı. Bir yandan, çalınan kullanıcıların çıkarlarını koruyarak çoğu fonu geri aldı, diğer yandan geri alma yöntemi, varlık mülkiyetini zorla değiştirmek için düğüm konsensüsü aracılığıyla oldu. Bu, halka açık blok zinciri katmanında "özel anahtar olmadan varlık transferi"nin gerçekleştirilmesi açısından bir ilktir.
Kullanıcıların çıkarları önünde, bu kadar "cesur" bir şekilde "merkeziyetsizlik ruhu"na aykırı bir işlem böylece göz ardı edildi.
Anahtar olmadan varlık transferi nasıl gerçekleştirilir?
22 Mayıs'ta, Sui ekosistem DEX'i Cetus, kendi kodundaki basit bir hata nedeniyle bir hacker saldırısına uğradı ve 223 milyon dolar kaybetti. Olayın ardından, çalınan 162 milyon doların Sui Vakfı tarafından doğrulama düğümlerinin dondurulmasıyla koordinasyonu sağlandı.
27 May'da, Sui Vakfı topluluk oylamasını teşvik etti. Bu oy verme fırsatı, hacker kontrolündeki hesaplarda dondurulan fonların geri alınması için protokol yükseltmesinin uygulanıp uygulanmayacağını belirlemek amacıyla düzenlendi. Sonuç olarak, 48 saat içinde 114 düğümden 103'ü oylamaya katıldı; 99 oy destek, 2 oy karşı, 2 oy çekimser olarak verildi ve %90.9 yüksek oy oranıyla öneri kabul edildi.
Teklifin yapılması, Sui protokolünün yükseltileceğini gösterir ve bu, belirli bir adresin hacker adresini temsil ederek iki işlem gerçekleştirmesine olanak tanıyacaktır; bu da fonların geri kazanımını kolaylaştırır. Bu işlemler tasarlanacak ve kurtarma adresi nihai olarak belirlendikten sonra duyurulacaktır. Geri kazanılan varlıklar, Cetus, Sui Vakfı ve Sui topluluğunda güvenilir bir denetçi olan OtterSec tarafından kontrol edilen bir çoklu imza cüzdanında saklanacaktır.
Protokol yükseltme seviyesinde, adres takma adı (address aliasing) işlevinin tanıtılması, özellikle protokol katmanında belirli kuralların önceden tanımlanmasını gerektirir: belirli yönetişim işlemlerinin "hack hesaplarının yasal imzası" olarak gizlenmesi, ardından yükseltmeden sonra doğrulama düğümlerinin bu sahte imzayı tanıması ve dondurulmuş fonların transferinin yasallaştırılması. Bu, özel anahtara dokunulmadan, düğüm konsensüsü aracılığıyla varlık mülkiyetinin zorla değiştirilmesine olanak tanır (bu, merkez bankasının banka hesaplarını dondurmasının ardından fonları transfer etmesine benzer).
Peki, en erken dondurulan varlıklar nasıl gerçekleştirildi? Sui, yasaklı listesini (dondurulmuş liste) ve düzenlenmiş token'ları (regüle edilmiş token'lar) destekliyor. Bu sefer, doğrudan dondurma arayüzünü çağırarak hacklenen adresi kilitledi.
Bırakılan güç müdahalesinin teknik riskleri
Bu adım, dondurulmuş varlıkların çoğunu geri almış olsa da, insanları endişelendirmeden edemiyor. Çünkü protokolün güncellenmesi, düğüm konsensüsü aracılığıyla varlıkların mülkiyetinin zorla değiştirilmesine neden oldu ve bu durum Sui resmi kurumunun herhangi bir adresi imzalamak için değiştirebileceğini ve böylece içindeki varlıkları alıp gidebileceğini gösteriyor.
Sui resmi kurumunun bunu yapıp yapamayacağını belirleyen şey akıllı sözleşme kodu değil, düğüm oy hakkıdır. Peki düğüm oylarının sonuçlarını kim kontrol ediyor? Bu, sadece vakfın sermaye kontrolüne sahip büyük düğümleri olmaktadır! Yani, Sui resmi kurumunun paydaşları en fazla söz hakkına sahiptir; oy vermek bile sadece bir formaliteden ibarettir.
Kullanıcının özel anahtarı, artık varlıkların mutlak kontrol belgesi değildir; yeter ki düğüm konsensüsü kabul etsin, protokol katmanı özel anahtar izinlerini doğrudan geçersiz kılabilir.
Ancak diğer yandan, bu, Sui'nin entegre düzenleyici işlevleri sayesinde varlıkların hızlı bir şekilde geri alınmasını, varlıkların hızla dondurulmasını sağladı ve hızlı zarar durdurma imkanı sundu, 48 saat içinde oylama tamamlandı ve protokolün yükseltilmesi uygulandı.
Ancak yazarın bakış açısına göre, adres taklidi işlevi tehlikeli bir emsal oluşturuyor - protokol katmanı herhangi bir adresin "meşru işlemlerini" taklit edebiliyor, bu da güç müdahalesi için teknik bir zemin hazırlıyor.
Ve bu sefer Sui'nin geri kazanım fonlarıyla ilgili bir dizi operasyon, kullanıcı çıkarları ile merkeziyetsizlik ilkesi çeliştiğinde, blok zinciri tarafının kullanıcı çıkarları açısından karar vermeyi seçtiği anlamına geliyor. Merkeziyetsizlik ilkesinin ihlal edilip edilmediği, hem kullanıcılar hem de Sui için artık pek önemli görünmüyor, sonuçta sorgulandıklarında "oylama" ile karar verildiğini söyleyebilirler.