22 Mayıs'ta, Sui ekosistemi DEX Cetus, 2.23 milyar dolar fonun çalındığını duyurdu. Bunun sadece 60 milyon doları, köprü aracılığıyla ETH'ye dönüştürülerek hackçinin cebine girdi, geri kalan 162 milyon dolar ise Sui Vakfı tarafından düğümlerin dondurulmasıyla korundu.
27 May'da, topluluk oylaması başlatıldı, "protokol yükseltmesinin uygulanıp uygulanmayacağını belirlemek için, hacker kontrolündeki hesaplarda dondurulan fonların geri alınması". Nihayetinde protokol yükseltmesi gerçekleştirildi, 162 milyon fon başarıyla geri alındı.
Sui Vakfı'nın bu hırsızlık olayına hızlı yanıtı ve hemen sunduğu çözüm, topluluk içinde büyük tartışmalara yol açtı. Bir yandan, çalınan kullanıcıların çıkarlarını koruyarak çoğu fonu geri aldı, diğer yandan geri alma yöntemi, düğüm konsensüsü aracılığıyla varlık mülkiyetini zorla değiştirmekti. Bu, kamu zincirinde "anahtarsız varlık transferi"nin gerçekleştirildiği ilk kezdir.
Kullanıcıların çıkarları önünde, bu kadar "cesur" merkeziyetsizlik ruhuna aykırı işlem görmezden gelindi.
Anahtar olmadan varlık transferi nasıl gerçekleştirilir?
22 Mayıs'ta, Sui ekosistemindeki DEX Cetus, kendi kodundaki basit bir hata nedeniyle bir hacker saldırısına uğradı ve 223 milyon dolar kaybetti. Olayın ardından, çalınan 162 milyon dolar, Sui Vakfı tarafından doğrulayıcı düğümleri dondurmak için koordine edildi.
27 May'da, Sui Vakfı topluluk oylamasını teşvik etti. Bu oylama fırsatı, hack'lenen hesaplarda dondurulan fonların geri alınması için protokolün yükseltilip yükseltilmeyeceğini belirlemek amacıyla düzenlendi. Sonuç olarak, 48 saat içinde 114 düğümden 103'ü oylamaya katıldı; 99 oy destek, 2 oy karşı, 2 oy ise çekimser olarak verildi ve %90,9 oranında yüksek oyla teklif kabul edildi.
Teklifin yapılması, Sui protokolünün yükseltileceğini gösteriyor ve bu, belirli bir adresin hacker adresini temsil ederek iki kez işlem yapmasına izin verecek, böylece fonların geri kazanımını kolaylaştıracak. Bu işlemler tasarlanacak ve geri alma adresi nihai olarak belirlendikten sonra yayımlanacak. Geri kazanılan varlıklar, Cetus, Sui Vakfı ve Sui topluluğunda güvenilir bir denetçi olan OtterSec tarafından kontrol edilen çoklu imza cüzdanında saklanacak.
Protokol güncelleme düzeyinde, adres takma adı (address aliasing) işlevi tanıtılmaktadır; daha spesifik olarak, protokol katmanında belirli kurallar önceden tanımlanır: belirli yönetişim işlemlerini "hack hesabının meşru imzası" olarak gizlemek ve ardından doğrulama düğümlerinin güncellemelerden sonra bu sahte imzayı tanıması sağlanır, böylece dondurulmuş fonların transferi meşrulaştırılmış olur. Yukarıdakiler, özel anahtara dokunulmadan, düğüm mutabakatı yoluyla varlık mülkiyetinin zorla değiştirilmesini sağlar (bu, merkez bankasının banka hesaplarını dondurduktan sonra fonları transfer etmesine benzer).
Peki, en erken dondurulmuş varlıklar nasıl gerçekleştirildi? Sui, Deny list (dondurma listesi) ve Regulated tokens (düzenlenmiş tokenlar) işlevlerini destekliyor, bu sefer doğrudan dondurma arayüzünü kullanarak hacker adresini kilitledik.
Kalan güç müdahalesinin teknik riskleri
Bu adım, dondurulan varlıkların büyük bir kısmını geri kazanmayı başarsa da, endişe verici bir durumdur. Çünkü protokolün yükseltilmesi, düğüm konsensüsü aracılığıyla varlıkların mülkiyetinin zorla değiştirilmesini sağladı ve Sui yetkililerinin herhangi bir adresin yerine geçerek imza atabileceği anlamına geliyor, bu da içindeki varlıkların transfer edilebileceği anlamına geliyor.
Sui resmi olarak bunu yapıp yapamayacağını belirleyen şey, akıllı sözleşme kodu değil, düğüm oy hakkıdır. Peki, düğüm oylarının sonucunu kim kontrol ediyor? Bu, sadece fonların kontrolündeki büyük düğümler demektir! Yani, Sui resmi paydaşları en büyük söz hakkına sahip. Oy vermek bile sadece bir geçiş süreci.
Kullanıcının özel anahtarı, varlıkların mutlak kontrol belgesi olmaktan çıkmıştır; düğüm konsensüsü onayladığı sürece, protokol katmanı özel anahtar yetkisini doğrudan geçersiz kılabilir.
Ancak diğer yandan, bu bir varlık geri kazanımının etkinliğini sağladı, varlıkların hızlı bir şekilde dondurulması, Sui'nin yerleşik düzenleme işlevlerinin sayesinde hızlı bir şekilde zararı durdurma imkanı sundu, 48 saat içinde oy verme işlemi tamamlandı ve protokolün yükseltilmesi uygulandı.
Ancak yazarın görüşüne göre, adres taklit etme işlevi tehlikeli bir emsal oluşturdu — protokol katmanı, herhangi bir adresin "yasadışı işlemini" sahteleyebilir, bu da otoriter müdahale için teknik bir zemin hazırlıyor.
Ve bu seferki Sui'nin fonları geri alma işlemleri, kullanıcı çıkarları ile merkeziyetsizlik ilkesi çeliştiğinde, blok zinciri tarafının kullanıcı çıkarlarını dikkate alarak karar vermeyi seçtiği anlamına geliyor. Merkeziyetsizlik ilkesinin ihlal edilip edilmediği, hem kullanıcılar hem de Sui için pek önemli gibi görünmüyor; sonuçta sorgulandıklarında "oylama" ile karar verildiğini söyleyebilirler.
The content is for reference only, not a solicitation or offer. No investment, tax, or legal advice provided. See Disclaimer for more risks disclosure.
Cetus'un çalınan fonları geri alındı "Merkeziyetsizlik" kullanıcı yararına taviz verdi
Jessy, Altın Finans
22 Mayıs'ta, Sui ekosistemi DEX Cetus, 2.23 milyar dolar fonun çalındığını duyurdu. Bunun sadece 60 milyon doları, köprü aracılığıyla ETH'ye dönüştürülerek hackçinin cebine girdi, geri kalan 162 milyon dolar ise Sui Vakfı tarafından düğümlerin dondurulmasıyla korundu.
27 May'da, topluluk oylaması başlatıldı, "protokol yükseltmesinin uygulanıp uygulanmayacağını belirlemek için, hacker kontrolündeki hesaplarda dondurulan fonların geri alınması". Nihayetinde protokol yükseltmesi gerçekleştirildi, 162 milyon fon başarıyla geri alındı.
Sui Vakfı'nın bu hırsızlık olayına hızlı yanıtı ve hemen sunduğu çözüm, topluluk içinde büyük tartışmalara yol açtı. Bir yandan, çalınan kullanıcıların çıkarlarını koruyarak çoğu fonu geri aldı, diğer yandan geri alma yöntemi, düğüm konsensüsü aracılığıyla varlık mülkiyetini zorla değiştirmekti. Bu, kamu zincirinde "anahtarsız varlık transferi"nin gerçekleştirildiği ilk kezdir.
Kullanıcıların çıkarları önünde, bu kadar "cesur" merkeziyetsizlik ruhuna aykırı işlem görmezden gelindi.
Anahtar olmadan varlık transferi nasıl gerçekleştirilir?
22 Mayıs'ta, Sui ekosistemindeki DEX Cetus, kendi kodundaki basit bir hata nedeniyle bir hacker saldırısına uğradı ve 223 milyon dolar kaybetti. Olayın ardından, çalınan 162 milyon dolar, Sui Vakfı tarafından doğrulayıcı düğümleri dondurmak için koordine edildi.
27 May'da, Sui Vakfı topluluk oylamasını teşvik etti. Bu oylama fırsatı, hack'lenen hesaplarda dondurulan fonların geri alınması için protokolün yükseltilip yükseltilmeyeceğini belirlemek amacıyla düzenlendi. Sonuç olarak, 48 saat içinde 114 düğümden 103'ü oylamaya katıldı; 99 oy destek, 2 oy karşı, 2 oy ise çekimser olarak verildi ve %90,9 oranında yüksek oyla teklif kabul edildi.
Teklifin yapılması, Sui protokolünün yükseltileceğini gösteriyor ve bu, belirli bir adresin hacker adresini temsil ederek iki kez işlem yapmasına izin verecek, böylece fonların geri kazanımını kolaylaştıracak. Bu işlemler tasarlanacak ve geri alma adresi nihai olarak belirlendikten sonra yayımlanacak. Geri kazanılan varlıklar, Cetus, Sui Vakfı ve Sui topluluğunda güvenilir bir denetçi olan OtterSec tarafından kontrol edilen çoklu imza cüzdanında saklanacak.
Protokol güncelleme düzeyinde, adres takma adı (address aliasing) işlevi tanıtılmaktadır; daha spesifik olarak, protokol katmanında belirli kurallar önceden tanımlanır: belirli yönetişim işlemlerini "hack hesabının meşru imzası" olarak gizlemek ve ardından doğrulama düğümlerinin güncellemelerden sonra bu sahte imzayı tanıması sağlanır, böylece dondurulmuş fonların transferi meşrulaştırılmış olur. Yukarıdakiler, özel anahtara dokunulmadan, düğüm mutabakatı yoluyla varlık mülkiyetinin zorla değiştirilmesini sağlar (bu, merkez bankasının banka hesaplarını dondurduktan sonra fonları transfer etmesine benzer).
Peki, en erken dondurulmuş varlıklar nasıl gerçekleştirildi? Sui, Deny list (dondurma listesi) ve Regulated tokens (düzenlenmiş tokenlar) işlevlerini destekliyor, bu sefer doğrudan dondurma arayüzünü kullanarak hacker adresini kilitledik.
Kalan güç müdahalesinin teknik riskleri
Bu adım, dondurulan varlıkların büyük bir kısmını geri kazanmayı başarsa da, endişe verici bir durumdur. Çünkü protokolün yükseltilmesi, düğüm konsensüsü aracılığıyla varlıkların mülkiyetinin zorla değiştirilmesini sağladı ve Sui yetkililerinin herhangi bir adresin yerine geçerek imza atabileceği anlamına geliyor, bu da içindeki varlıkların transfer edilebileceği anlamına geliyor.
Sui resmi olarak bunu yapıp yapamayacağını belirleyen şey, akıllı sözleşme kodu değil, düğüm oy hakkıdır. Peki, düğüm oylarının sonucunu kim kontrol ediyor? Bu, sadece fonların kontrolündeki büyük düğümler demektir! Yani, Sui resmi paydaşları en büyük söz hakkına sahip. Oy vermek bile sadece bir geçiş süreci.
Kullanıcının özel anahtarı, varlıkların mutlak kontrol belgesi olmaktan çıkmıştır; düğüm konsensüsü onayladığı sürece, protokol katmanı özel anahtar yetkisini doğrudan geçersiz kılabilir.
Ancak diğer yandan, bu bir varlık geri kazanımının etkinliğini sağladı, varlıkların hızlı bir şekilde dondurulması, Sui'nin yerleşik düzenleme işlevlerinin sayesinde hızlı bir şekilde zararı durdurma imkanı sundu, 48 saat içinde oy verme işlemi tamamlandı ve protokolün yükseltilmesi uygulandı.
Ancak yazarın görüşüne göre, adres taklit etme işlevi tehlikeli bir emsal oluşturdu — protokol katmanı, herhangi bir adresin "yasadışı işlemini" sahteleyebilir, bu da otoriter müdahale için teknik bir zemin hazırlıyor.
Ve bu seferki Sui'nin fonları geri alma işlemleri, kullanıcı çıkarları ile merkeziyetsizlik ilkesi çeliştiğinde, blok zinciri tarafının kullanıcı çıkarlarını dikkate alarak karar vermeyi seçtiği anlamına geliyor. Merkeziyetsizlik ilkesinin ihlal edilip edilmediği, hem kullanıcılar hem de Sui için pek önemli gibi görünmüyor; sonuçta sorgulandıklarında "oylama" ile karar verildiğini söyleyebilirler.