Cetus'un çalınan fonları geri alındı "Merkeziyetsizlik" kullanıcı çıkarlarını gözetiyor

Jessy, Altın Finans

22 Mayıs'ta, Sui ekosistem DEX'i Cetus, 223 milyon dolar fon çalındı. Bunun yalnızca 60 milyon doları köprü aracılığıyla ETH'ye dönüştürülerek hırsızın cebine girdi, geri kalan 162 milyon dolar ise Sui Vakfı tarafından düğümleri donduruldu.

27 May'da, topluluk oylaması başladı; "hack'lerin kontrolündeki hesaplarda dondurulan fonların geri alınması için bir protokol yükseltmesinin uygulanıp uygulanmayacağını belirlemek için". Nihayetinde protokol yükseltmesi başarıyla gerçekleştirildi ve 162 milyon fon geri alındı.

Sui Vakfı'nın bu hırsızlık olayına hızlı yanıtı ve hızla sunduğu çözüm, topluluk içinde büyük tartışmalara yol açtı. Bir yandan, çalınan kullanıcıların haklarını koruyarak çoğu fonu geri aldı; diğer yandan, geri alma yöntemi, varlık mülkiyetini zorla değiştirmek için düğüm konsensüsü aracılığıyla gerçekleşti. Bu, kamu blok zinciri katmanında "anahtarsız varlık transferi"nin ilk kez gerçekleştirilmesidir.

Kullanıcıların çıkarları söz konusu olduğunda, bu kadar "cesur" bir şekilde "merkeziyetsizlik ruhu"na aykırı olan işlem böylece göz ardı edildi.

Anahtar olmadan varlık transferi nasıl gerçekleştirilir?

22 May'da, Sui ekosistemindeki DEX Cetus, kendi kodundaki basit bir hata nedeniyle bir hacker saldırısına uğradı ve 223 milyon dolar kaybetti. Olayın ardından, çalınan 162 milyon dolar değerindeki fon, Sui Vakfı tarafından doğrulama düğümlerinin dondurulmasıyla koordine edildi.

27 May'da, Sui Vakfı topluluk oylamasını teşvik etti. Bu oylama fırsatı, hacker kontrolündeki hesaplarda dondurulmuş fonların geri alınması için protokol güncellemesinin uygulanıp uygulanmayacağını belirlemek amacıyla düzenlendi. Sonuç olarak, 48 saat içinde 114 düğümden 103'ü oylamaya katıldı; 99 oy destekledi, 2 oy karşı çıktı, 2 oy ise çekimser kaldı. Öneri %90.9 oranla yüksek bir oyla kabul edildi.

Teklif aracılığıyla Sui protokolünün yükseltilmesi, belirli bir adresin bir hacker adresi adına iki işlem gerçekleştirmesine olanak tanıyacak ve bu, fonların geri kazanımını kolaylaştıracaktır. Bu işlemler tasarlanacak ve geri alma adresi nihai olarak belirlendikten sonra yayımlanacaktır. Geri kazanılan varlıklar, Cetus, Sui Vakfı ve Sui topluluğundaki güvenilir denetçi OtterSec tarafından kontrol edilen çoklu imza cüzdanında saklanacaktır.

Protokol yükseltme düzeyinde, address aliasing (adres taklidi) işlevi getirilmektedir. Daha spesifik olarak, protokol katmanında belirli kurallar önceden tanımlanır: belirli yönetişim işlemlerini "hack hesabının meşru imzası" olarak gizlemek ve ardından doğrulama düğümlerinin yükseltmeden sonra bu sahte imzayı tanıması sağlanır, böylece dondurulmuş fonların transferi yasal hale getirilir. Bu durum, özel anahtara dokunmadan, varlık mülkiyetinin düğüm konsensüsü ile zorla değiştirilmesini sağlar (bu, merkez bankasının banka hesaplarını dondurduktan sonra fon transferi yapmasına benzer).

Peki, en eski dondurulmuş varlıklar nasıl gerçekleştirildi? Sui, Deny list (dondurma listesi) ve Regulated tokens (regüle edilmiş tokenlar) işlevlerini destekliyor; bu sefer doğrudan dondurma arayüzünü çağırarak hacker adresini kilitledi.

Bırakılan güç müdahalesinin teknik tehlikeleri

Bu adım, dondurulan varlıkların çoğunu geri kazanmış olsa da, endişeleri de beraberinde getiriyor. Çünkü protokolün güncellenmesi, düğüm konsensüsü aracılığıyla varlıkların mülkiyetinin zorla değiştirilmesini sağladı ve bu, Sui resmi makamının herhangi bir adresi imzalamak için değiştirebileceği ve böylece içindeki varlıkları alabileceği anlamına geliyor.

Sui resmi makamlarının bunu yapıp yapamayacağını belirleyen şey akıllı sözleşme kodu değil, düğüm oy verme hakkıdır. Peki, düğüm oylama sonuçları kimin elinde? O da, fonun kontrolünde büyük düğümler demektir! Yani, Sui resmi makamlarının paydaşları en büyük söz hakkına sahip. Oylama olsa bile, bu sadece bir formaliteden ibaret.

Kullanıcının özel anahtarı, varlıkların mutlak kontrol belgesi olmaktan çıkıyor; yeter ki düğüm konsensüsü onaylasın, protokol katmanı doğrudan özel anahtar yetkisini geçersiz kılabilir.

Ancak diğer taraftan, bu bir varlık geri kazanımının etkinliğini sağladı, varlıkların hızlı bir şekilde dondurulması, Sui'nin yerleşik düzenleme fonksiyonlarının yardımıyla hızlı bir şekilde kayıpların durdurulması, 48 saat içinde oylamanın tamamlanması ve protokolün yükseltilmesinin uygulanması sayesinde oldu.

Ancak yazarın görüşüne göre, adres takma adı özelliği tehlikeli bir emsal oluşturuyor - protokol katmanı, herhangi bir adresin "yasal işlemlerini" sahte olarak oluşturabilir ve bu da güçlü müdahaleler için teknik bir zemin hazırlıyor.

Bu sefer Sui'nin geri alma işlemleri, kullanıcıların çıkarları ile merkeziyetsizlik ilkesinin çatıştığı durumlarda, kamu zincirinin kullanıcı yararını dikkate alarak karar vermeyi seçtiği anlamına geliyor. Merkeziyetsizlik ilkesine aykırı olup olmadığı, hem kullanıcılar hem de Sui için önemli görünmüyor; sonuçta sorgulandıklarında "oylama" ile karar verildiğini söyleyebiliyorlar.