22 Mayıs'ta, Sui ekosistem DEX Cetus'un 2.23 milyar dolar fonu çalındı. Bunun sadece 60 milyon doları, köprü aracılığıyla ETH'ye dönüştürülerek hacker'ın cebine girdi, geri kalan 1.62 milyar dolar ise Sui Vakfı tarafından koordine edilen nodlar tarafından donduruldu.
27 May'da, topluluk oylaması başlatıldı, "protokol yükseltmesinin uygulanıp uygulanmayacağına karar vermek için, hacker kontrolündeki hesaplarda dondurulan fonların geri alınması için". Nihayetinde protokol yükseltmesi başarıyla gerçekleştirildi ve 162 milyon fon başarıyla geri alındı.
Sui Vakfı'nın bu hırsızlık olayıyla ilgili hızlı yanıtı ve hızlı bir çözüm sunması, topluluk içinde oldukça fazla tartışma yarattı. Bir yandan, büyük çoğunlukta fonları geri alarak mağdur kullanıcıların çıkarlarını korudu, diğer yandan ise geri alma yöntemi, düğüm konsensüsü aracılığıyla varlık mülkiyetinin zorla değiştirilmesi oldu. Bu, halka açık bir zincir katmanında "anahtarsız varlık transferi"nin gerçekleştirilmesinde bir ilk.
Kullanıcıların çıkarları söz konusu olduğunda, bu kadar "cesur" bir şekilde "merkeziyetsizlik ruhu"na aykırı olan bu işlem böylece göz ardı edildi.
Anahtar olmadan varlık transferi nasıl gerçekleştirilir?
22 May'da Sui ekosistem DEX'i Cetus, kodundaki basit bir hata nedeniyle bir siber saldırıya uğradı ve 223 milyon dolar zarar gördü. Olayın ardından, çalınan 162 milyon dolarlık fon Sui Vakfı tarafından doğrulama düğümleri ile donduruldu.
27 May'da, Sui Vakfı topluluk oylamasını teşvik etti. Bu oylama fırsatı, hack'lenen hesaplarda dondurulan fonların geri alınması için protokol yükseltmesinin uygulanıp uygulanmayacağına karar vermek amacıyla düzenlendi. Sonuç olarak 48 saat içinde 114 düğümden 103'ü oylamaya katıldı, 99 oy destekledi, 2 oy karşı çıktı, 2 oy boş kaldı, %90.9 yüksek bir oy oranıyla öneri kabul edildi.
Teklif aracılığıyla, Sui protokolünün yükseltileceği anlamına gelir; bu, belirli bir adresin hacker adresini temsil ederek iki işlem gerçekleştirmesine olanak tanıyacak ve bu, fonların geri kazanılmasını kolaylaştıracaktır. Bu işlemler tasarlanacak ve geri alma adresi nihai olarak belirlendikten sonra duyurulacaktır. Geri kazanılan varlıklar, Cetus, Sui Vakfı ve Sui topluluğundaki güvenilir denetçi OtterSec tarafından kontrol edilen çoklu imza cüzdanında saklanacaktır.
Protokol yükseltme seviyesinde, adres takma adı (address aliasing) özelliği tanıtılmıştır. Daha spesifik olarak, protokol katmanında belirli kurallar önceden tanımlanmıştır: Belirli yönetişim eylemlerini "hack hesabının yasal imzası" olarak gizlemek ve ardından doğrulama düğümlerinin yükseltmeden sonra bu sahte imzayı kabul etmesini sağlamak, dondurulmuş fonların transferini yasallaştırmaktadır. Bu durum, özel anahtara dokunmadan, düğüm konsensüsü aracılığıyla varlık sahipliğinin zorla değiştirilmesini sağlamaktadır (bu, merkez bankasının banka hesabını dondurup fon transferi yapmasına benzer).
Peki, en erken dondurulan varlıklar nasıl gerçekleştirildi? Sui, Deny list (dondurma listesi) ve Regulated tokens (düzenlenmiş tokenler) işlevlerini destekliyor, bu sefer doğrudan dondurma arayüzünü çağırarak hacker adresini kilitledik.
Kalan güç müdahalelerinin teknik riskleri
Bu adım, dondurulmuş varlıkların büyük bir kısmının geri alınmasını sağlasa da, endişelere yol açıyor. Çünkü protokolün güncellenmesi, düğüm konsensüsü aracılığıyla varlıkların sahipliğinin zorla değiştirilmesine neden oldu ve bu durum, Sui yetkililerinin herhangi bir adresi imzalamak için değiştirebileceğini ve böylece içindeki varlıkları alabileceğini gösteriyor.
Sui resmi makamlarının bunu yapıp yapamayacağını belirleyen, akıllı sözleşme kodu değil, düğüm oy hakkıdır. Peki, düğüm oylamasının sonuçlarını kim elinde tutuyor? O zaman bu, vakfın sermaye kontrolüne sahip büyük düğümleridir! Yani, Sui resmi makamlarının paydaşları en büyük söz sahibi konumundadır; oy verme işlemi de sadece bir formaliteden ibarettir.
Kullanıcının özel anahtarı, varlığın mutlak kontrol belgesi olmaktan çıkar; sadece düğüm konsensüsü onayladığında, protokol katmanı özel anahtar yetkilerini doğrudan geçersiz kılabilir.
Ancak diğer taraftan, bu, Sui'nin yerleşik düzenleme işlevlerinin sayesinde varlıkların hızlı bir şekilde dondurulmasını ve varlıkların etkili bir şekilde geri alınmasını sağladı, 48 saat içinde oylama tamamlandı ve protokolün yükseltilmesi uygulandı.
Ancak yazarın görüşüne göre, adres taklidi işlevi tehlikeli bir emsal oluşturuyor - protokol katmanı, herhangi bir adresin "yasal işlemini" sahteleyebilir ve bu, güç müdahalesi için teknik bir zemin hazırlıyor.
Ve bu seferki Sui'nin geri alma işlemleri, kullanıcı çıkarları ile merkeziyetsizlik ilkesi çeliştiğinde, halka açık zincir tarafının kullanıcı çıkarları açısından karar vermeyi seçtiğini gösteriyor. Merkeziyetsizlik ilkesinin ihlal edilip edilmediği, hem kullanıcılar hem de Sui için pek önemli görünmüyor, sonuçta sorgulandıklarında "oylama" ile karar verildiğini söyleyebilirler.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Cetus'un çalınan fonları geri alındı "Merkeziyetsizlik" kullanıcı menfaatlerinden ödün verdi
Jessy, Altın Finans
22 Mayıs'ta, Sui ekosistem DEX Cetus'un 2.23 milyar dolar fonu çalındı. Bunun sadece 60 milyon doları, köprü aracılığıyla ETH'ye dönüştürülerek hacker'ın cebine girdi, geri kalan 1.62 milyar dolar ise Sui Vakfı tarafından koordine edilen nodlar tarafından donduruldu.
27 May'da, topluluk oylaması başlatıldı, "protokol yükseltmesinin uygulanıp uygulanmayacağına karar vermek için, hacker kontrolündeki hesaplarda dondurulan fonların geri alınması için". Nihayetinde protokol yükseltmesi başarıyla gerçekleştirildi ve 162 milyon fon başarıyla geri alındı.
Sui Vakfı'nın bu hırsızlık olayıyla ilgili hızlı yanıtı ve hızlı bir çözüm sunması, topluluk içinde oldukça fazla tartışma yarattı. Bir yandan, büyük çoğunlukta fonları geri alarak mağdur kullanıcıların çıkarlarını korudu, diğer yandan ise geri alma yöntemi, düğüm konsensüsü aracılığıyla varlık mülkiyetinin zorla değiştirilmesi oldu. Bu, halka açık bir zincir katmanında "anahtarsız varlık transferi"nin gerçekleştirilmesinde bir ilk.
Kullanıcıların çıkarları söz konusu olduğunda, bu kadar "cesur" bir şekilde "merkeziyetsizlik ruhu"na aykırı olan bu işlem böylece göz ardı edildi.
Anahtar olmadan varlık transferi nasıl gerçekleştirilir?
22 May'da Sui ekosistem DEX'i Cetus, kodundaki basit bir hata nedeniyle bir siber saldırıya uğradı ve 223 milyon dolar zarar gördü. Olayın ardından, çalınan 162 milyon dolarlık fon Sui Vakfı tarafından doğrulama düğümleri ile donduruldu.
27 May'da, Sui Vakfı topluluk oylamasını teşvik etti. Bu oylama fırsatı, hack'lenen hesaplarda dondurulan fonların geri alınması için protokol yükseltmesinin uygulanıp uygulanmayacağına karar vermek amacıyla düzenlendi. Sonuç olarak 48 saat içinde 114 düğümden 103'ü oylamaya katıldı, 99 oy destekledi, 2 oy karşı çıktı, 2 oy boş kaldı, %90.9 yüksek bir oy oranıyla öneri kabul edildi.
Teklif aracılığıyla, Sui protokolünün yükseltileceği anlamına gelir; bu, belirli bir adresin hacker adresini temsil ederek iki işlem gerçekleştirmesine olanak tanıyacak ve bu, fonların geri kazanılmasını kolaylaştıracaktır. Bu işlemler tasarlanacak ve geri alma adresi nihai olarak belirlendikten sonra duyurulacaktır. Geri kazanılan varlıklar, Cetus, Sui Vakfı ve Sui topluluğundaki güvenilir denetçi OtterSec tarafından kontrol edilen çoklu imza cüzdanında saklanacaktır.
Protokol yükseltme seviyesinde, adres takma adı (address aliasing) özelliği tanıtılmıştır. Daha spesifik olarak, protokol katmanında belirli kurallar önceden tanımlanmıştır: Belirli yönetişim eylemlerini "hack hesabının yasal imzası" olarak gizlemek ve ardından doğrulama düğümlerinin yükseltmeden sonra bu sahte imzayı kabul etmesini sağlamak, dondurulmuş fonların transferini yasallaştırmaktadır. Bu durum, özel anahtara dokunmadan, düğüm konsensüsü aracılığıyla varlık sahipliğinin zorla değiştirilmesini sağlamaktadır (bu, merkez bankasının banka hesabını dondurup fon transferi yapmasına benzer).
Peki, en erken dondurulan varlıklar nasıl gerçekleştirildi? Sui, Deny list (dondurma listesi) ve Regulated tokens (düzenlenmiş tokenler) işlevlerini destekliyor, bu sefer doğrudan dondurma arayüzünü çağırarak hacker adresini kilitledik.
Kalan güç müdahalelerinin teknik riskleri
Bu adım, dondurulmuş varlıkların büyük bir kısmının geri alınmasını sağlasa da, endişelere yol açıyor. Çünkü protokolün güncellenmesi, düğüm konsensüsü aracılığıyla varlıkların sahipliğinin zorla değiştirilmesine neden oldu ve bu durum, Sui yetkililerinin herhangi bir adresi imzalamak için değiştirebileceğini ve böylece içindeki varlıkları alabileceğini gösteriyor.
Sui resmi makamlarının bunu yapıp yapamayacağını belirleyen, akıllı sözleşme kodu değil, düğüm oy hakkıdır. Peki, düğüm oylamasının sonuçlarını kim elinde tutuyor? O zaman bu, vakfın sermaye kontrolüne sahip büyük düğümleridir! Yani, Sui resmi makamlarının paydaşları en büyük söz sahibi konumundadır; oy verme işlemi de sadece bir formaliteden ibarettir.
Kullanıcının özel anahtarı, varlığın mutlak kontrol belgesi olmaktan çıkar; sadece düğüm konsensüsü onayladığında, protokol katmanı özel anahtar yetkilerini doğrudan geçersiz kılabilir.
Ancak diğer taraftan, bu, Sui'nin yerleşik düzenleme işlevlerinin sayesinde varlıkların hızlı bir şekilde dondurulmasını ve varlıkların etkili bir şekilde geri alınmasını sağladı, 48 saat içinde oylama tamamlandı ve protokolün yükseltilmesi uygulandı.
Ancak yazarın görüşüne göre, adres taklidi işlevi tehlikeli bir emsal oluşturuyor - protokol katmanı, herhangi bir adresin "yasal işlemini" sahteleyebilir ve bu, güç müdahalesi için teknik bir zemin hazırlıyor.
Ve bu seferki Sui'nin geri alma işlemleri, kullanıcı çıkarları ile merkeziyetsizlik ilkesi çeliştiğinde, halka açık zincir tarafının kullanıcı çıkarları açısından karar vermeyi seçtiğini gösteriyor. Merkeziyetsizlik ilkesinin ihlal edilip edilmediği, hem kullanıcılar hem de Sui için pek önemli görünmüyor, sonuçta sorgulandıklarında "oylama" ile karar verildiğini söyleyebilirler.