Blok Zinciri'nin değeri, dondurulup dondurulamayacağıyla değil, topluluğun dondurma yeteneğine sahip olduğu halde bunu yapmamayı seçmesiyle ilgilidir.
Yazı: On Dört Bey
Bu olay, sermayenin zaferi oldu, kullanıcıların değil; sektörün gelişimi açısından da bir gerilemedir.
Bitcoin sola, Sui sağa, merkeziyetsizleştiren her bir hareket, Bitcoin'e olan inancı daha da güçlendiriyor.
Dünya sadece daha iyi bir küresel finansal altyapıya ihtiyaç duymuyor, aynı zamanda her zaman özgür bir alana ihtiyaç duyan bir grup insan olacak.
Bir zamanlar, konsorsiyum blok zincirleri, kamu blok zincirlerinden daha popülerdi, çünkü o dönemin düzenleyici ihtiyaçlarını karşılıyordu. Bugün konsorsiyumların zayıflaması, aslında sadece bu ihtiyaca uymakla ilgili olduğunu, gerçek kullanıcı ihtiyaçlarıyla ilgili olmadığını gösteriyor. Düzenlenmiş kullanıcıları kaybettikten sonra, neye ihtiyaç var düzenleyici araçlara?
1, Olayın Arka Planı
2025 yılı 22 Mayıs'ta, Sui kamu zinciri ekosisteminin en büyük merkeziyetsiz borsa (DEX) Cetus bir siber saldırıya uğradı, anında likidite hızla azaldı, birçok işlem çiftinin fiyatı çöktü ve kayıplar 2.2 milyar doları aştı.
Son tarih itibarıyla zaman çizgisi şöyle:
22 Mayıs sabahı, hacker Cetus'u 230 milyon dolar çalmak için saldırdı, Cetus acil olarak sözleşmeyi durdurdu ve bir duyuru yayınladı.
22 Mayıs öğleden sonra, bir hacker yaklaşık 60 milyon dolar değerinde kripto parayı başka bir bloğa transfer etti, kalan 162 milyon dolar ise Sui blok zinciri üzerindeki adreslerde duruyor. Sui doğrulama nodları hızlı bir şekilde harekete geçerek, hacker adresini "Hizmet Red Listesi (Deny List)"ne ekledi ve fonları dondurdu.
22 May akşamı, Sui CPO @emanabio tweet attı ve onayladı: Fonlar donduruldu, geri iade çok yakında başlayacak.
23 Mayıs'ta, Cetus güvenlik açıklarını onarmaya ve sözleşmeyi güncellemeye başladı.
24 Mayıs, Sui açık kaynak PR, aliasing mekanizması ile whitelist aracılığıyla fon geri alımının yapılacağını açıkladı.
26 Mayıs'ta, Sui zincir üzerindeki yönetişim oylamasını başlattı ve protokol yükseltmesinin gerçekleştirilip gerçekleştirilmeyeceği ile hacker varlıklarının saklama adresine aktarılmasını önerdi.
29 Mayıs'ta, oylama sonuçları açıklandı, %2/3'ten fazla doğrulayıcı düğüm ağırlığı destekliyor; protokol güncellemesi uygulanmak üzere hazırlanıyor
30 Mayıs - Haziran başı, protokol yükseltmesi geçerli olacak, belirlenen işlem hash'i gerçekleştirilecek, hacker varlıkları "yasal olarak taşınacak"
2, Saldırı Prensibi
Olay prensibi ile ilgili, sektörde birçok ifade bulunmaktadır, burada yalnızca temel prensiplerin genel bir görünümünü sunuyoruz:
Saldırı süreci açısından bakıldığında:
Saldırganlar öncelikle bir flash loan kullanarak yaklaşık 10,024,321.28 haSUI ödünç aldılar ve anında işlem havuzunun fiyatını düşürdüler.
%99,90. Bu devasa satış emri, hedef havuz fiyatını yaklaşık 1.8956×10^19'dan 1.8425×10^19'a düşürdü ve neredeyse dipten boşaltıldı.
Ardından, saldırgan Cetus üzerinde çok dar bir aralıkta (Tick alt sınırı 300000, üst sınır 300200, aralık genişliği yalnızca 1.00496621%) likidite pozisyonu oluşturdu. Bu kadar dar bir aralık, sonraki hesaplama hatalarının gereken token sayısı üzerindeki etkisini artırdı.
Ve saldırının temel prensibi:
Cetus'un gereken token miktarını hesaplamak için kullandığı get_delta_a fonksiyonunda bir tamsayı taşması açığı bulunmaktadır. Saldırgan, kasaya büyük bir likidite eklemek istediğini (yaklaşık 10^37 birim) kasada yalnızca 1 token yatırarak beyan ediyor.
checked_shlw'nin taşma kontrol şartının hatalı olması nedeniyle, sözleşme sola kaydırma hesaplamasında yüksek bit kesilmesi yaşandı ve bu durum sistemin gereken haSUI miktarını ciddi şekilde düşük tahmin etmesine yol açtı, böylece çok düşük bir maliyetle büyük miktarda likidite elde edildi.
Teknik olarak, yukarıda belirtilen açık, Cetus'un Move akıllı sözleşmesinde yanlış maskeleme ve koşul kullanmasından kaynaklanmaktadır. Bu durumda 0xffffffffffffffff << 192'den küçük olan herhangi bir değer tespit edilmeden geçebilmektedir; ayrıca 64 bit sola kaydırıldığında, yüksek bit verisi kesilmekte ve sistem yalnızca çok az miktarda token aldığını düşünerek büyük bir likidite elde ettiğini varsaymaktadır.
Olaydan sonra, iki resmi işlem ortaya çıktı: "dondurma" vs "geri alma", bunlar iki aşamadır:
Dondurma aşaması Deny List + Düğüm konsensüsü ile tamamlanır;
Geri alma aşaması, zincir üstü protokol güncellemesi + topluluk oylaması + belirli işlemlerin kara listeyi atlayarak gerçekleştirilmesini gerektirir.
3、Sui'nin dondurma mekanizması
Sui Blok Zinciri içinde özel bir Deny List ( reddetme listesi ) mekanizması bulunmaktadır ve bu, bu seferki hacker fonlarının dondurulmasını sağlamıştır. Bununla da kalmayıp, aslında Sui'nin token standardı da "düzenlenmiş token" moduna sahip olup, yerleşik dondurma işlevi içermektedir.
Bu acil dondurma, bu özelliği kullanarak gerçekleştirildi: doğrulayıcı düğümleri yerel yapılandırma dosyalarına çalınan fonlarla ilgili adresleri hızlıca eklediler. Teorik olarak her düğüm işletmecisi, kara listeyi güncellemek için TransactionDenyConfig'i kendisi değiştirebilir, ancak ağ tutarlılığını sağlamak amacıyla Sui Vakfı, ilk yapılandırmayı yayınlayan olarak merkezi bir koordinasyon sağladı.
Vakfın ilk olarak, hacker adreslerini içeren bir yapılandırma güncellemesi resmi olarak yayınlandı. Doğal yapılandırmaya göre doğrulayıcılar senkronize edildi ve böylece hacker fonları zincir üzerinde geçici olarak "mühürlendi". Bunun arkasında aslında yüksek bir merkezileşme faktörü var.
Kayıtlı fonları kurtarmak için, Sui ekibi hemen ardından (Whitelist) mekanizmasını ekleyen bir yamanın çıkışını yaptı.
Bu, sonraki fonların geri dönüşü için bir işlemdir. Yasal bir işlem önceden oluşturulup beyaz listeye kaydedilebilir; bu durumda, fon adresi kara listeye alınmış olsa bile, zorla uygulanabilir.
Bu yeni özellik, transaction_allow_list_skip_all_checks, belirli işlemlerin "sansürsüz" listesine önceden eklenmesine olanak tanır, böylece bu işlemler imzalar, izinler, kara listeler vb. dahil olmak üzere tüm güvenlik kontrollerini atlayabilir.
Dikkat edilmesi gereken, beyaz liste yamanın doğrudan hacker varlıklarını alıp götüremeyeceğidir; bu yalnızca bazı işlemlere dondurmayı atlatma yetkisi verir, gerçek varlık transferi hala yasal imza veya ek sistem izin modülü gerektirir.
Aslında, sektörün ana akım dondurma çözümleri genellikle token sözleşmesi seviyesinde gerçekleşir ve ihraççı tarafından çoklu imza ile kontrol edilir.
Tether tarafından çıkarılan USDT'yi örnek olarak alırsak, sözleşmede kara liste fonksiyonu bulunmaktadır, çıkarım şirketi ihlal eden adresleri dondurabilir, böylece USDT'yi transfer edemezler. Bu tür bir çözüm, zincirde dondurma talebini başlatmak için çoklu imza gerektirir, çoklu imza uzlaşmaya vardıktan sonra gerçekten uygulanır, bu nedenle bir uygulama gecikmesi vardır.
Tether dondurma mekanizması etkili olsa da, istatistikler çoklu imza sürecinin sık sık "boşluk dönemi" yaşadığını ve bu durumun kötü niyetli kişilere fırsat sunduğunu göstermektedir.
Buna karşılık, Sui'nin dondurulması temel protokol seviyesinde, doğrulayıcı düğümleri tarafından topluca gerçekleştirilir ve bu, normal sözleşme çağrılarına göre çok daha hızlı bir yürütme hızına sahiptir.
Bu modelde, hızlı bir şekilde yürütmek için, bu doğrulayıcı düğümlerin yönetiminin oldukça birleşik olması gerektiği anlamına geliyor.
3. Sui'nin "Transfer Tabanlı Geri Alım" Uygulama Prensibi
Daha etkileyici olanı, Sui'nin sadece hacker varlıklarını dondurmakla kalmayıp, aynı zamanda çalınan fonları "geri transfer" etmek için zincir üzerindeki güncellemelerle plan yapmasıdır.
27 Mayıs'ta, Cetus topluluk oylama önerisi sundu ve protokolün yükseltilmesini, dondurulmuş fonların çoklu imza cüzdanına gönderilmesini talep etti. Sui Vakfı hemen zincir üstü yönetim oylaması başlattı.
29 Mayıs'ta, oy sonuçları açıklandı, yaklaşık %90.9 ağırlığa sahip doğrulayıcılar bu öneriyi destekledi. Sui resmi olarak, öneri kabul edildiğinde, "iki hacker hesabında dondurulan tüm fonların hacker imzası olmadan tek bir çoklu imza cüzdanına geri alınacağını" açıkladı.
Hacker imzasına gerek yok, bu ne kadar farklı bir özellik, blok zinciri sektöründe böyle bir onarım yöntemi hiç olmamıştır.
Sui resmi GitHub PR'lerinden anlaşıldığı üzere, protokol adres takma adı (address aliasing) mekanizmasını tanıttı. Güncelleme içeriği, ProtocolConfig'te takma ad kurallarının önceden tanımlanmasını içermekte, bu da bazı izin verilen işlemlerin geçerli imzaları hacker hesaplarından geliyormuş gibi değerlendirmesine olanak tanımaktadır.
Özellikle, gerçekleştirilecek kurtarma işlem hash listesinin hedef adresle (yani saldırgan adresi) bağlanması, bu sabit işlem özetlerini imzalayan ve yayınlayan herhangi bir yürütücünün geçerli bir saldırgan adresi sahibi olarak işlem başlattığı anlamına gelir. Bu belirli işlemler için, doğrulayıcı düğüm sistemi Red List kontrolünü atlar.
Kodu açısından bakıldığında, Sui işlem doğrulama mantığına şu kontrolü eklemiştir: Bir işlem kara liste tarafından engellendiğinde, sistem imzalayıcılarını tarar ve protocol_config.is_tx_allowed_via_aliasing(sender, signer, tx_digest)'in doğru olup olmadığını kontrol eder.
Eğer bir imzalayıcı takma ad kurallarını karşılıyorsa, bu işlemin geçmesine izin verildiği belirtilir, önceki engelleme hataları göz ardı edilir ve normal paketleme işlemine devam edilir.
4, Görüş
160 milyon, sektörün en derin temel inancını yırtıyor
Cetus olayı, yazarın kişisel görüşüne göre, bu belki de çok geçmeden geçecektir, ancak bu sistem unutulmayacaktır çünkü sektördeki temeli altüst etti ve Blok Zinciri'nin aynı defter altında değiştirilemez olan geleneksel mutabakatını kırdı.
Blok zinciri tasarımında, sözleşme yasadır, kod hakemdir.
Ancak bu olayda, kod geçersiz hale geldi, yönetim müdahale etti, güç ön plana çıktı ve oy verme eyleminin kod sonuçlarını belirleme modeli oluştu.
İşte bu nedenle, Sui'nin bu sefer doğrudan işlem kullanma yaklaşımı, ana akım Blok Zincirlerinin hacker sorunlarını ele alma biçiminden büyük bir farklılık gösteriyor.
Bu, "konsensusu değiştirmek" için ilk kez değil, ama en sessiz olanı.
Tarihsel olarak:
Ethereum 2016 yılında The DAO olayında kayıpları telafi etmek için hard fork ile transferleri geri almıştı, ancak bu karar Ethereum ile Ethereum Classic arasında iki ayrı zincirin ayrılmasına neden oldu, süreç oldukça tartışmalıydı, ancak nihayetinde farklı gruplar farklı konsensüs inançları geliştirdi.
Bitcoin topluluğu da benzer teknik zorluklarla karşılaştı: 2010 yılındaki değer taşma hatası geliştiriciler tarafından acil olarak düzeltildi ve konsensüs kuralları güncellendi, yaklaşık 18.4 milyar yasadışı olarak üretilen Bitcoin tamamen silindi.
Bu hepsi aynı sert çatal modelidir, defteri sorundan önceki hale geri döndürür ve ardından kullanıcılar hangi defter sistemi altında devam edeceklerine kendileri karar verebilir.
DAO sert çatalı ile karşılaştırıldığında, Sui zinciri bölmek yerine, protokol güncellemesi ve yapılandırma takma adı yolu ile bu olaya hassas bir şekilde yanıt verdi. Bu şekilde, Sui zincirin sürekliliğini ve çoğu konsensüs kuralını değiştirmeden korudu, ancak aynı zamanda temel protokolün hedefe yönelik "kurtarma operasyonları" gerçekleştirmek için kullanılabileceğini de gösterdi.
Sorun şu ki, tarihteki "çatallanma geri alma" kullanıcıların inançlarını seçmesiydi; Sui'nin "protokol düzeltmesi" ise zincirin senin için karar vermesidir.
Anahtarın yoksa, coin'in de yok mu? Korkarım ki artık öyle değil.
Uzun vadede, bu şu anlama geliyor: „Anahtarların senin değilse, paraların da senin değil“ ilkesi Sui Zinciri üzerinde çökertildi: Kullanıcıların özel anahtarları tam olsa bile, ağ hala kolektif protokol değişiklikleri yoluyla varlık akışını engelleyebilir ve varlıkları yeniden yönlendirebilir.
Eğer bu, gelecekteki Blok Zinciri'nin büyük güvenlik olaylarına karşı bir örnek teşkil etmesi ve tekrar uyulabilir bir alışkanlık olarak görülmesi durumu olursa.
"Bir zincir adalet için kuralları çiğneyebiliyorsa, o zaman herhangi bir kuralı çiğnemek için bir örneği vardır."
Bir kez "kamu yararı için para kapma" başarılı olursa, bir sonraki sefer "ahlaki gri alan" operasyonu olabilir.
O zaman ne olacak?
Hackler gerçekten de kullanıcıların parasını çaldıysa, o zaman toplu oylama ile parasını alabilir miyiz?
Oylama, kimin daha fazla parası olduğu (pos) yoksa daha fazla insan olduğu üzerine mi? Daha fazla parası olan kazanırsa, Liu Cixin'in eserlerinde bahsettiği son üretici çok yakında gelecek; eğer daha fazla insanın kazanması gerekiyorsa, o zaman kalabalık bir güruh da sesini yükseltecektir.
Geleneksel sistemde, yasadışı gelirlerin korunmaması oldukça normaldir, dondurma ve transfer, geleneksel bankaların rutin işlemleridir.
Ancak teknik olarak bu noktayı gerçekleştirmek mümkün değil, bu da Blok Zinciri sektörünün gelişim kaynağı değil mi?
Şu anda sektördeki uyum baskısı devam ediyor, bugün hackerlar için hesap bakiyelerini dondurmak ve değiştirmek mümkünse, yarın coğrafi faktörler veya çatışma faktörleri nedeniyle her türlü değişiklik yapmak da mümkün olabilir. Eğer blok zinciri bölgesel bir araç haline gelirse.
O sektörün değeri de büyük ölçüde düşer, en fazla başka bir daha kullanışsız finansal sistem olur.
Bu da yazarın sektöre olan kararlılığının sebebi: "Blok Zinciri, dondurulamıyor diye değerli değil; onu ne kadar nefret edersen et, senin için değişmeyecek."
Regülasyon büyük bir eğilim, zincir kendi ruhunu koruyabilir mi?
Bir zamanlar, konsorsiyum zinciri, kamu zincirinden daha popüler bir varlıktı, çünkü o dönemin düzenleyici ihtiyaçlarını karşılıyordu. Bugün konsorsiyumun gerilemesi, aslında bu ihtiyaca sadece uymanın, gerçek kullanıcı ihtiyaçları olmadığı anlamına geliyor. Düzenlemeye tabi kullanıcıların kaybı, o zaman düzenleme araçlarına ne gerektiriyor?
Sektör gelişimi açısından
Verimli merkeziyetçilik, blok zinciri gelişiminin kaçınılmaz bir aşaması mı? Eğer merkeziyetsizliğin nihai amacı kullanıcıların çıkarlarını korumaksa, merkeziyeti geçici bir araç olarak tolere edebilir miyiz?
"Demokrasi" kelimesi, zincir üzerindeki yönetişim bağlamında aslında token ağırlıklı bir kavramdır. Peki, eğer bir hacker çok sayıda SUI (ya da bir gün DAO hacklenirse ve hacker oy haklarını kontrol ederse) tutuyorsa, bu durumda "yasal olarak kendini aklayarak oy verebilir mi?"
Sonuçta, blok zincirinin değeri, dondurulup dondurulamayacağında değil, topluluğun dondurma yeteneğine sahip olduğu halde bunu yapmayı seçmemesinde yatmaktadır.
Bir zincirin geleceği, teknik mimari tarafından değil, onu korumayı seçtiği inanç sistemi tarafından belirlenir.
The content is for reference only, not a solicitation or offer. No investment, tax, or legal advice provided. See Disclaimer for more risks disclosure.
Görüş: Hacker parayı çaldı, bu yüzden Sui çalabilir mi?
Yazı: On Dört Bey
Bu olay, sermayenin zaferi oldu, kullanıcıların değil; sektörün gelişimi açısından da bir gerilemedir.
Bitcoin sola, Sui sağa, merkeziyetsizleştiren her bir hareket, Bitcoin'e olan inancı daha da güçlendiriyor.
Dünya sadece daha iyi bir küresel finansal altyapıya ihtiyaç duymuyor, aynı zamanda her zaman özgür bir alana ihtiyaç duyan bir grup insan olacak.
Bir zamanlar, konsorsiyum blok zincirleri, kamu blok zincirlerinden daha popülerdi, çünkü o dönemin düzenleyici ihtiyaçlarını karşılıyordu. Bugün konsorsiyumların zayıflaması, aslında sadece bu ihtiyaca uymakla ilgili olduğunu, gerçek kullanıcı ihtiyaçlarıyla ilgili olmadığını gösteriyor. Düzenlenmiş kullanıcıları kaybettikten sonra, neye ihtiyaç var düzenleyici araçlara?
1, Olayın Arka Planı
2025 yılı 22 Mayıs'ta, Sui kamu zinciri ekosisteminin en büyük merkeziyetsiz borsa (DEX) Cetus bir siber saldırıya uğradı, anında likidite hızla azaldı, birçok işlem çiftinin fiyatı çöktü ve kayıplar 2.2 milyar doları aştı.
Son tarih itibarıyla zaman çizgisi şöyle:
2, Saldırı Prensibi
Olay prensibi ile ilgili, sektörde birçok ifade bulunmaktadır, burada yalnızca temel prensiplerin genel bir görünümünü sunuyoruz:
Saldırı süreci açısından bakıldığında:
Saldırganlar öncelikle bir flash loan kullanarak yaklaşık 10,024,321.28 haSUI ödünç aldılar ve anında işlem havuzunun fiyatını düşürdüler.
%99,90. Bu devasa satış emri, hedef havuz fiyatını yaklaşık 1.8956×10^19'dan 1.8425×10^19'a düşürdü ve neredeyse dipten boşaltıldı.
Ardından, saldırgan Cetus üzerinde çok dar bir aralıkta (Tick alt sınırı 300000, üst sınır 300200, aralık genişliği yalnızca 1.00496621%) likidite pozisyonu oluşturdu. Bu kadar dar bir aralık, sonraki hesaplama hatalarının gereken token sayısı üzerindeki etkisini artırdı.
Ve saldırının temel prensibi:
Cetus'un gereken token miktarını hesaplamak için kullandığı get_delta_a fonksiyonunda bir tamsayı taşması açığı bulunmaktadır. Saldırgan, kasaya büyük bir likidite eklemek istediğini (yaklaşık 10^37 birim) kasada yalnızca 1 token yatırarak beyan ediyor.
checked_shlw'nin taşma kontrol şartının hatalı olması nedeniyle, sözleşme sola kaydırma hesaplamasında yüksek bit kesilmesi yaşandı ve bu durum sistemin gereken haSUI miktarını ciddi şekilde düşük tahmin etmesine yol açtı, böylece çok düşük bir maliyetle büyük miktarda likidite elde edildi.
Teknik olarak, yukarıda belirtilen açık, Cetus'un Move akıllı sözleşmesinde yanlış maskeleme ve koşul kullanmasından kaynaklanmaktadır. Bu durumda 0xffffffffffffffff << 192'den küçük olan herhangi bir değer tespit edilmeden geçebilmektedir; ayrıca 64 bit sola kaydırıldığında, yüksek bit verisi kesilmekte ve sistem yalnızca çok az miktarda token aldığını düşünerek büyük bir likidite elde ettiğini varsaymaktadır.
Olaydan sonra, iki resmi işlem ortaya çıktı: "dondurma" vs "geri alma", bunlar iki aşamadır:
3、Sui'nin dondurma mekanizması
Sui Blok Zinciri içinde özel bir Deny List ( reddetme listesi ) mekanizması bulunmaktadır ve bu, bu seferki hacker fonlarının dondurulmasını sağlamıştır. Bununla da kalmayıp, aslında Sui'nin token standardı da "düzenlenmiş token" moduna sahip olup, yerleşik dondurma işlevi içermektedir.
Bu acil dondurma, bu özelliği kullanarak gerçekleştirildi: doğrulayıcı düğümleri yerel yapılandırma dosyalarına çalınan fonlarla ilgili adresleri hızlıca eklediler. Teorik olarak her düğüm işletmecisi, kara listeyi güncellemek için TransactionDenyConfig'i kendisi değiştirebilir, ancak ağ tutarlılığını sağlamak amacıyla Sui Vakfı, ilk yapılandırmayı yayınlayan olarak merkezi bir koordinasyon sağladı.
Vakfın ilk olarak, hacker adreslerini içeren bir yapılandırma güncellemesi resmi olarak yayınlandı. Doğal yapılandırmaya göre doğrulayıcılar senkronize edildi ve böylece hacker fonları zincir üzerinde geçici olarak "mühürlendi". Bunun arkasında aslında yüksek bir merkezileşme faktörü var.
Kayıtlı fonları kurtarmak için, Sui ekibi hemen ardından (Whitelist) mekanizmasını ekleyen bir yamanın çıkışını yaptı.
Bu, sonraki fonların geri dönüşü için bir işlemdir. Yasal bir işlem önceden oluşturulup beyaz listeye kaydedilebilir; bu durumda, fon adresi kara listeye alınmış olsa bile, zorla uygulanabilir.
Bu yeni özellik, transaction_allow_list_skip_all_checks, belirli işlemlerin "sansürsüz" listesine önceden eklenmesine olanak tanır, böylece bu işlemler imzalar, izinler, kara listeler vb. dahil olmak üzere tüm güvenlik kontrollerini atlayabilir.
Dikkat edilmesi gereken, beyaz liste yamanın doğrudan hacker varlıklarını alıp götüremeyeceğidir; bu yalnızca bazı işlemlere dondurmayı atlatma yetkisi verir, gerçek varlık transferi hala yasal imza veya ek sistem izin modülü gerektirir.
Aslında, sektörün ana akım dondurma çözümleri genellikle token sözleşmesi seviyesinde gerçekleşir ve ihraççı tarafından çoklu imza ile kontrol edilir.
Tether tarafından çıkarılan USDT'yi örnek olarak alırsak, sözleşmede kara liste fonksiyonu bulunmaktadır, çıkarım şirketi ihlal eden adresleri dondurabilir, böylece USDT'yi transfer edemezler. Bu tür bir çözüm, zincirde dondurma talebini başlatmak için çoklu imza gerektirir, çoklu imza uzlaşmaya vardıktan sonra gerçekten uygulanır, bu nedenle bir uygulama gecikmesi vardır.
Tether dondurma mekanizması etkili olsa da, istatistikler çoklu imza sürecinin sık sık "boşluk dönemi" yaşadığını ve bu durumun kötü niyetli kişilere fırsat sunduğunu göstermektedir.
Buna karşılık, Sui'nin dondurulması temel protokol seviyesinde, doğrulayıcı düğümleri tarafından topluca gerçekleştirilir ve bu, normal sözleşme çağrılarına göre çok daha hızlı bir yürütme hızına sahiptir.
Bu modelde, hızlı bir şekilde yürütmek için, bu doğrulayıcı düğümlerin yönetiminin oldukça birleşik olması gerektiği anlamına geliyor.
3. Sui'nin "Transfer Tabanlı Geri Alım" Uygulama Prensibi
Daha etkileyici olanı, Sui'nin sadece hacker varlıklarını dondurmakla kalmayıp, aynı zamanda çalınan fonları "geri transfer" etmek için zincir üzerindeki güncellemelerle plan yapmasıdır.
27 Mayıs'ta, Cetus topluluk oylama önerisi sundu ve protokolün yükseltilmesini, dondurulmuş fonların çoklu imza cüzdanına gönderilmesini talep etti. Sui Vakfı hemen zincir üstü yönetim oylaması başlattı.
29 Mayıs'ta, oy sonuçları açıklandı, yaklaşık %90.9 ağırlığa sahip doğrulayıcılar bu öneriyi destekledi. Sui resmi olarak, öneri kabul edildiğinde, "iki hacker hesabında dondurulan tüm fonların hacker imzası olmadan tek bir çoklu imza cüzdanına geri alınacağını" açıkladı.
Hacker imzasına gerek yok, bu ne kadar farklı bir özellik, blok zinciri sektöründe böyle bir onarım yöntemi hiç olmamıştır.
Sui resmi GitHub PR'lerinden anlaşıldığı üzere, protokol adres takma adı (address aliasing) mekanizmasını tanıttı. Güncelleme içeriği, ProtocolConfig'te takma ad kurallarının önceden tanımlanmasını içermekte, bu da bazı izin verilen işlemlerin geçerli imzaları hacker hesaplarından geliyormuş gibi değerlendirmesine olanak tanımaktadır.
Özellikle, gerçekleştirilecek kurtarma işlem hash listesinin hedef adresle (yani saldırgan adresi) bağlanması, bu sabit işlem özetlerini imzalayan ve yayınlayan herhangi bir yürütücünün geçerli bir saldırgan adresi sahibi olarak işlem başlattığı anlamına gelir. Bu belirli işlemler için, doğrulayıcı düğüm sistemi Red List kontrolünü atlar.
Kodu açısından bakıldığında, Sui işlem doğrulama mantığına şu kontrolü eklemiştir: Bir işlem kara liste tarafından engellendiğinde, sistem imzalayıcılarını tarar ve protocol_config.is_tx_allowed_via_aliasing(sender, signer, tx_digest)'in doğru olup olmadığını kontrol eder.
Eğer bir imzalayıcı takma ad kurallarını karşılıyorsa, bu işlemin geçmesine izin verildiği belirtilir, önceki engelleme hataları göz ardı edilir ve normal paketleme işlemine devam edilir.
4, Görüş
160 milyon, sektörün en derin temel inancını yırtıyor
Cetus olayı, yazarın kişisel görüşüne göre, bu belki de çok geçmeden geçecektir, ancak bu sistem unutulmayacaktır çünkü sektördeki temeli altüst etti ve Blok Zinciri'nin aynı defter altında değiştirilemez olan geleneksel mutabakatını kırdı.
Blok zinciri tasarımında, sözleşme yasadır, kod hakemdir.
Ancak bu olayda, kod geçersiz hale geldi, yönetim müdahale etti, güç ön plana çıktı ve oy verme eyleminin kod sonuçlarını belirleme modeli oluştu.
İşte bu nedenle, Sui'nin bu sefer doğrudan işlem kullanma yaklaşımı, ana akım Blok Zincirlerinin hacker sorunlarını ele alma biçiminden büyük bir farklılık gösteriyor.
Bu, "konsensusu değiştirmek" için ilk kez değil, ama en sessiz olanı.
Tarihsel olarak:
Bu hepsi aynı sert çatal modelidir, defteri sorundan önceki hale geri döndürür ve ardından kullanıcılar hangi defter sistemi altında devam edeceklerine kendileri karar verebilir.
DAO sert çatalı ile karşılaştırıldığında, Sui zinciri bölmek yerine, protokol güncellemesi ve yapılandırma takma adı yolu ile bu olaya hassas bir şekilde yanıt verdi. Bu şekilde, Sui zincirin sürekliliğini ve çoğu konsensüs kuralını değiştirmeden korudu, ancak aynı zamanda temel protokolün hedefe yönelik "kurtarma operasyonları" gerçekleştirmek için kullanılabileceğini de gösterdi.
Sorun şu ki, tarihteki "çatallanma geri alma" kullanıcıların inançlarını seçmesiydi; Sui'nin "protokol düzeltmesi" ise zincirin senin için karar vermesidir.
Anahtarın yoksa, coin'in de yok mu? Korkarım ki artık öyle değil.
Uzun vadede, bu şu anlama geliyor: „Anahtarların senin değilse, paraların da senin değil“ ilkesi Sui Zinciri üzerinde çökertildi: Kullanıcıların özel anahtarları tam olsa bile, ağ hala kolektif protokol değişiklikleri yoluyla varlık akışını engelleyebilir ve varlıkları yeniden yönlendirebilir.
Eğer bu, gelecekteki Blok Zinciri'nin büyük güvenlik olaylarına karşı bir örnek teşkil etmesi ve tekrar uyulabilir bir alışkanlık olarak görülmesi durumu olursa.
"Bir zincir adalet için kuralları çiğneyebiliyorsa, o zaman herhangi bir kuralı çiğnemek için bir örneği vardır."
Bir kez "kamu yararı için para kapma" başarılı olursa, bir sonraki sefer "ahlaki gri alan" operasyonu olabilir.
O zaman ne olacak?
Hackler gerçekten de kullanıcıların parasını çaldıysa, o zaman toplu oylama ile parasını alabilir miyiz?
Oylama, kimin daha fazla parası olduğu (pos) yoksa daha fazla insan olduğu üzerine mi? Daha fazla parası olan kazanırsa, Liu Cixin'in eserlerinde bahsettiği son üretici çok yakında gelecek; eğer daha fazla insanın kazanması gerekiyorsa, o zaman kalabalık bir güruh da sesini yükseltecektir.
Geleneksel sistemde, yasadışı gelirlerin korunmaması oldukça normaldir, dondurma ve transfer, geleneksel bankaların rutin işlemleridir.
Ancak teknik olarak bu noktayı gerçekleştirmek mümkün değil, bu da Blok Zinciri sektörünün gelişim kaynağı değil mi?
Şu anda sektördeki uyum baskısı devam ediyor, bugün hackerlar için hesap bakiyelerini dondurmak ve değiştirmek mümkünse, yarın coğrafi faktörler veya çatışma faktörleri nedeniyle her türlü değişiklik yapmak da mümkün olabilir. Eğer blok zinciri bölgesel bir araç haline gelirse.
O sektörün değeri de büyük ölçüde düşer, en fazla başka bir daha kullanışsız finansal sistem olur.
Bu da yazarın sektöre olan kararlılığının sebebi: "Blok Zinciri, dondurulamıyor diye değerli değil; onu ne kadar nefret edersen et, senin için değişmeyecek."
Regülasyon büyük bir eğilim, zincir kendi ruhunu koruyabilir mi?
Bir zamanlar, konsorsiyum zinciri, kamu zincirinden daha popüler bir varlıktı, çünkü o dönemin düzenleyici ihtiyaçlarını karşılıyordu. Bugün konsorsiyumun gerilemesi, aslında bu ihtiyaca sadece uymanın, gerçek kullanıcı ihtiyaçları olmadığı anlamına geliyor. Düzenlemeye tabi kullanıcıların kaybı, o zaman düzenleme araçlarına ne gerektiriyor?
Sektör gelişimi açısından
Verimli merkeziyetçilik, blok zinciri gelişiminin kaçınılmaz bir aşaması mı? Eğer merkeziyetsizliğin nihai amacı kullanıcıların çıkarlarını korumaksa, merkeziyeti geçici bir araç olarak tolere edebilir miyiz?
"Demokrasi" kelimesi, zincir üzerindeki yönetişim bağlamında aslında token ağırlıklı bir kavramdır. Peki, eğer bir hacker çok sayıda SUI (ya da bir gün DAO hacklenirse ve hacker oy haklarını kontrol ederse) tutuyorsa, bu durumda "yasal olarak kendini aklayarak oy verebilir mi?"
Sonuçta, blok zincirinin değeri, dondurulup dondurulamayacağında değil, topluluğun dondurma yeteneğine sahip olduğu halde bunu yapmayı seçmemesinde yatmaktadır.
Bir zincirin geleceği, teknik mimari tarafından değil, onu korumayı seçtiği inanç sistemi tarafından belirlenir.