Bu olay, sermayenin zaferi olup, kullanıcıların değil, sektör gelişimi açısından ise bir gerilemedir.
Bitcoin sola, Sui sağa, merkeziyetsizleştirme endüstrisinde her bir sarsıntı, Bitcoin'e olan inancı daha da güçlendiriyor.
Dünya sadece daha iyi bir küresel finansal altyapıya ihtiyaç duymuyor, aynı zamanda her zaman özgür bir alana ihtiyaç duyan bir grup insan olacaktır.
Bir zamanlar, konsorsiyum blok zincirleri, kamu blok zincirlerinden daha popülerdi çünkü o dönemin düzenleme ihtiyaçlarını karşılıyordu. Bugün konsorsiyumların gerilemesi, aslında yalnızca bu ihtiyaca uymanın, gerçek kullanıcı ihtiyaçları olmadığı anlamına geliyor. Düzenlenmiş kullanıcılar kaybolduğunda, o zaman düzenleme araçlarına ne ihtiyaç var?
Olayın Arka Planı
2025 yılı 22 Mayıs'ta, Sui blok zinciri ekosisteminin en büyük merkeziyetsiz borsası (DEX) Cetus, bir hacker saldırısına uğradı, anında likidite hızla azaldı, çeşitli işlem çiftlerinin fiyatları çöktü ve kayıplar 2,2 milyar doları aştı.
Yayın tarihine kadar zaman çizgisi şöyledir:
22 May sabahı, hackerlar Cetus'u 230 milyon dolar dolandırdı, Cetus acil olarak sözleşmeyi askıya aldı ve bir duyuru yayınladı.
22 May'da, bir hacker çapraz zincir üzerinden yaklaşık 60 milyon dolar çıkardı, geri kalan 162 milyon dolar ise Sui zincirindeki adreslerde kalıyor. Sui doğrulama düğümleri hızlı bir şekilde harekete geçerek hacker adresini "Hizmet Red Liste'sine (Deny List)" ekledi ve fonları dondurdu.
22 May akşamı, Sui CPO @emanabio tweet attı ve onayladı: Fonlar donduruldu, geri iade çok yakında başlayacak.
23 Mayıs'ta, Cetus açıklarını düzeltmeye ve sözleşmeyi güncellemeye başladı.
24 Mayıs, Sui açık kaynak PR'si, yakın zamanda takma ad mekanizması (aliasing) ile beyaz liste kullanarak fonların geri alınacağını açıkladı.
26 Mayıs'ta, Sui zincir üzerindeki yönetişim oylamasını başlattı, protokol güncellemesinin uygulanıp uygulanmayacağı ve hacker varlıklarının güvenli bir adrese aktarılması önerildi.
29 Mayıs'ta oy sonuçları açıklandı, %2/3'ten fazla doğrulama düğümü ağırlığı destekledi; protokol yükseltmesi uygulamaya hazırlanıyor.
30 Mayıs - Haziran başı, protokol güncellemesi yürürlüğe girdi, belirlenen işlem hash'i uygulandı, hacker varlıkları "yasal olarak alındı"
Saldırı Prensibi
Olay prensibi ile ilgili, sektörde birçok ifade bulunmaktadır, burada yalnızca temel prensiplerin genel bir bakışını sunuyoruz:
Saldırı sürecine göre:
Saldırgan önce hızlı kredi kullanarak yaklaşık 10,024,321.28 haSUI ödünç aldı ve anında işlem havuzundaki fiyatı düşürdü.
%99.90. Bu devasa satış emri, hedef havuz fiyatını yaklaşık 1.8956×10^19'dan 1.8425×10^19'a düşürdü ve neredeyse tamamen boşaldı.
Sonrasında, saldırgan Cetus'ta çok dar bir aralıkta (Tick alt sınırı 300000, üst sınırı 300200, aralık genişliği yalnızca %1.00496621) likidite pozisyonu oluşturdu. Bu kadar dar bir aralık, sonraki hesaplama hatalarının gerekli token miktarı üzerindeki etkisini artırdı.
Ve saldırı temel ilkesi:
Cetus'un gerekli token sayısını hesaplamak için kullanılan get_delta_a fonksiyonunda bir tamsayı taşma açığı bulunuyor. Saldırgan, kasıtlı olarak devasa bir likidite eklemek istediğini (yaklaşık 10^37 birim) beyan ediyor, ancak aslında sözleşmeye sadece 1 token yatırıyor.
checked_shlw'nin taşma kontrol koşulundaki hata nedeniyle, sözleşme sola kaydırma hesaplamasında yüksek bit kesilmesine neden oldu ve bu durum sistemin gereken haSUI miktarını ciddi şekilde düşük tahmin etmesine yol açarak çok düşük maliyetle büyük miktarda likidite elde edilmesini sağladı.
Teknik olarak, yukarıdaki güvenlik açığı, Cetus'un Move akıllı sözleşmesinde yanlış maskeler ve yargılama koşulları kullanmasından kaynaklanır ve bu da 0xffffffffffffffff << 192'den daha düşük herhangi bir değerin algılamayı atlayabilmesine neden olur; Bununla birlikte, 64 biti sola kaydırdıktan sonra, üst düzey veriler kesilir ve sistem, çok fazla likidite kazandığını düşünmek için yalnızca çok az sayıda token alır.
Olaydan sonra iki resmi işlem ortaya çıktı: "dondurma" vs "geri alma", bunlar iki aşamadır:
Donmuş aşama, Deny List + Düğüm Konsensüsü ile tamamlanır;
Geri alma aşaması, zincir üzerindeki protokolün güncellenmesini + topluluk oylamasını + kara listeyi atlatmak için belirlenen işlemlerin gerçekleştirilmesini gerektirir.
Sui'nin dondurma mekanizması
Sui zincirinin kendisinde, bilgisayar korsanının fonlarının dondurulmasını gerçekleştiren özel bir Reddetme Listesi ( reddetme listesi ) mekanizması vardır. Sadece bu da değil, Sui'nin token standardı ayrıca yerleşik dondurma işlevine sahip bir "düzenlenmiş token" modeline sahiptir.
Bu acil durum dondurma şu özellikten yararlanır: doğrulayıcı düğümler, çalınan fonlarla ilgili adresleri yerel yapılandırma dosyalarına hızlı bir şekilde ekler. Teorik olarak, her düğüm operatörü kara listeyi kendi başına güncellemek için TransactionDenyConfig'i değiştirebilir, ancak ağ tutarlılığını sağlamak için Sui Vakfı, orijinal yapılandırma yayıncısı olarak merkezi koordinasyona sahiptir.
Vakıf, ilk olarak bilgisayar korsanının adresini içeren bir yapılandırma güncellemesini resmi olarak yayınladı ve doğrulayıcı, varsayılan yapılandırmaya göre eşzamanlı olarak yürürlüğe girdi, böylece bilgisayar korsanının fonları, aslında arkasında yüksek derecede merkezileşme olan zincir üzerinde geçici olarak "mühürlendi"
Kurbanları dondurulan fonlardan kurtarmak için Sui ekibi hemen beyaz liste (Whitelist) mekanizması için bir yama başlattı.
Bu, sonraki fonların geri dönmesi için bir işlemdir. Yasal işlemleri önceden oluşturabilir ve beyaz listeye kaydedebilirsiniz; bu durumda, fon adresi kara listede olsa bile zorunlu olarak uygulanabilir.
Bu yeni özellik transaction_allow_list_skip_all_checks belirli işlemlerin "denetimden muaf listeye" önceden eklenmesine izin verir, böylece bu işlemler imza, izin, kara liste gibi tüm güvenlik kontrollerini atlayabilir.
Dikkat edilmesi gereken nokta, beyaz liste yamanın doğrudan hacker varlıklarını alma yeteneğine sahip olmadığıdır; bu sadece belirli işlemlere dondurmayı atlatma yeteneği verir, gerçek varlık transferi hala yasal imza veya ek sistem yetkilendirme modülü gerektirir.
Aslında, endüstrinin ana akım dondurma çözümleri genellikle token sözleşmesi seviyesinde ortaya çıkar ve ihraççı tarafından çoklu imza kontrolü ile yönetilir.
Tether tarafından çıkarılan USDT örneğinde olduğu gibi, sözleşme içinde kara liste fonksiyonu bulunmaktadır. İhraç eden şirket, ihlal eden adresleri dondurabilir, böylece USDT transferini engelleyebilir. Bu tür bir çözüm, zincir üzerinde dondurma talebi başlatmak için çoklu imza gerektirir ve çoklu imza anlaşmaya vardıktan sonra gerçekten uygulanır, bu nedenle uygulama gecikmesi vardır.
Tether dondurma mekanizması etkili olsa da, istatistikler çoklu imza sürecinde sık sık "boşluk" dönemlerinin ortaya çıktığını ve bu durumun suçlular için fırsatlar yarattığını göstermektedir.
Buna karşılık, Sui'nin dondurulması, alt protokol seviyesinde, doğrulayıcı düğümlerinin toplu olarak işlemesiyle gerçekleşir ve bu, normal akıllı sözleşme çağrılarından çok daha hızlıdır.
Bu modelde, yeterince hızlı yürütmek için, bu doğrulayıcı düğümlerinin yönetiminin yüksek derecede birleşik olması gerektiği anlamına gelir.
3、Sui'nin "Transfer Tabanlı Geri Alım" Uygulama Prensibi
Daha da şaşırtıcı olanı, Sui'nin sadece hacker varlıklarını dondurmakla kalmayıp, aynı zamanda çalınan fonları "geri transfer" etmek için zincir üzerindeki güncellemeleri planlaması.
27 Mayıs'ta, Cetus topluluk oylama önerisi sundu ve protokolün yükseltilmesini, dondurulmuş fonların çoklu imza cüzdanına gönderilmesini talep etti. Sui Vakfı hemen zincir içi yönetim oylaması başlattı.
29 Mayıs'ta, oy sonuçları açıklandı, yaklaşık %90,9 ağırlığa sahip doğrulayıcılar bu öneriyi destekliyor. Sui resmi olarak duyurdu ki, öneri geçerse, "iki hacker hesabında dondurulan tüm fonlar, hacker imzası olmaksızın bir çoklu imza cüzdanına geri alınacak."
Hacker imzasına gerek yok, bu ne kadar farklı bir özellik, blok zinciri sektöründe böyle bir onarım yöntemi hiç olmamıştı.
Sui resmi GitHub PR'inden anlaşıldığı üzere, protokol (address aliasing) mekanizmasını tanıttı. Güncelleme içeriği arasında: ProtocolConfig içinde önceden alias kurallarının belirlenmesi, böylece bazı izin verilen işlemlerin yasal imzaları bir hacker hesabından geliyormuş gibi görmesini sağlamak yer alıyor.
Özellikle, gerçekleştirilecek kurtarma işlemine ait hash listesi hedef adresle (yani hacker adresi) ilişkilendirilir; bu sabit işlem özetlerini imzalayan ve yayımlayan herhangi bir yürütücü, geçerli bir hacker adresi sahibi olarak işlem başlatmış sayılır. Bu özel işlemler için doğrulayıcı düğüm sistemi, Yasaklı Liste kontrolünü atlayacaktır.
Kod seviyesinden bakıldığında, Sui işlem doğrulama mantığına aşağıdaki kontrolü eklemiştir: Bir işlem kara liste tarafından engellendiğinde, sistem imzalayıcılarını tarar ve protocol_config.is_tx_allowed_via_aliasing(sender, signer, tx_digest)'in doğru olup olmadığını kontrol eder.
Eğer herhangi bir imzalayıcı takma ad kurallarını karşılıyorsa, bu işlemin geçmesine izin verildiği işaretlenir, daha önceki engelleme hataları göz ardı edilir ve normal paketleme işlemi devam eder.
Görüş
1.6 milyar, sektörün en derin temel inancını parçalıyor.
Cetus olayı, yazarın kişisel görüşüne göre, bu fırtına muhtemelen kısa sürede geçecektir, ancak bu model unutulmayacak çünkü sektörü temelden sarstı ve blockchain'in aynı defter altında değiştirilemez geleneksel mutabakatını bozdu.
Blockchain tasarımında, sözleşme hukuktur, kod ise hakemdir.
Ancak bu olayda, kodun geçersiz hale gelmesi, yönetişim müdahalesi, gücün öncelikle devreye girmesi, oy verme davranışının kodun sonuçlarını belirleme modelini oluşturdu.
Bu nedenle, Sui'nin bu kez doğrudan işlemleri devralma yöntemi, ana akım blok zincirlerinin hacker sorunlarını ele alma şekliyle büyük bir farklılık gösteriyor.
Bu, "konsensüsü değiştirmek" için ilk sefer değil, ama en sessiz olanı.
Tarihsel olarak:
Ethereum 2016 yılında The DAO olayında kayıpları telafi etmek için bir hard fork ile işlemleri geri almıştı, ancak bu karar Ethereum ile Ethereum Classic arasında bir ayrılmaya yol açtı. Süreç oldukça tartışmalıydı, ancak nihayetinde farklı gruplar farklı konsensüs inançları oluşturdu.
Bitcoin topluluğu benzer teknik zorluklar yaşadı: 2010 yılındaki değer aşımı açığı geliştiriciler tarafından acil bir şekilde düzeltildi ve konsensüs kuralları yükseltildi, yaklaşık 18.4 milyar yasa dışı üretilmiş Bitcoin tamamen ortadan kaldırıldı.
Bu, defteri sorun öncesine geri döndürme ve kullanıcıların hangi defter sistemi altında devam edeceklerine kendilerinin karar vermesine olanak tanıyan aynı sert çatallama modelidir.
DAO hard fork'larına kıyasla, Sui zinciri bölmeyi seçmedi, bunun yerine protokol güncellemeleri ve yapılandırma takma adları ile bu olaya yönelik hassas bir yaklaşım sergiledi. Bu şekilde, Sui zincirin sürekliliğini korudu ve çoğu konsensüs kuralını değiştirmedi, ancak aynı zamanda temel protokolün hedefe yönelik "kurtarma operasyonları" gerçekleştirmek için kullanılabileceğini de gösterdi.
Sorun şu ki, tarihsel "çatallı geri alma" kullanıcıların inancını seçmesiydi; Sui'nin "protokol tabanlı düzeltmesi" zincirin senin için karar vermesidir.
Anahtar senin değil, coin de senin değil mi? Korkarım ki artık öyle değil.
Uzun vadede, bu, "Anahtarlarınız değilse, paralarınız da değil" ilkesinin Sui zincirinde sarsıldığı anlamına geliyor: Kullanıcıların özel anahtarları tam olsa bile, ağ, varlıkların hareketini engellemek ve varlıkları yönlendirmek için toplu protokol değişiklikleri yoluyla bunu yapabilir.
Eğer bu, gelecekteki blockchain'in büyük güvenlik olaylarına yanıt verme konusunda bir örnek haline gelirse ve hatta tekrar uyulabilir bir gelenek olarak kabul edilirse.
"Bir zincir adalet için kuralları çiğneyebiliyorsa, o zaman herhangi bir kuralı çiğneme örneğine de sahip olur."
Bir kez "kamu yararı için para kapma" başarılı olursa, bir sonraki sefer "etik belirsizlik alanı" işlemi olabilir.
O zaman ne olacak?
Hackler gerçekten kullanıcıların parasını çaldıysa, o zaman grup oylaması ile parasını alabilir miyiz?
Oylama, kimin daha çok parası olduğu (pos) yoksa daha çok insan olduğu üzerine mi? Parası çok olan kazanırsa, Liu Cixin'in kaleminden çıkan nihai üretici çok geçmeden gelecektir; eğer insan sayısı çok olan kazanırsa, o zaman kalabalık bir güruh da sesini yükseltmeye başlayacaktır.
Geleneksel sistemde, yasadışı kazançların korunmaması son derece normaldir; dondurma ve aktarım, geleneksel bankaların rutin işlemleridir.
Ancak teknik teorik olarak bunu gerçekleştirmek mümkün değil, bu da blok zinciri sektörünün gelişim kaynağı değil mi?
Şu anda sektördeki uyum baskısı devam ediyor, bugün hackerlar için hesap bakiyelerini dondurmak ve değiştirmek mümkünse, yarın coğrafi veya çatışma faktörleri için rastgele değişiklikler yapmak da mümkün olabilir. Eğer blok zinciri bölgesel bir araç haline gelirse.
O sektörün değeri de büyük ölçüde düşürülmüş oldu, en iyi ihtimalle başka bir daha kullanışsız finansal sistemden ibaret.
Bu da yazarın sektördeki kararlılığının nedenidir: "Blockchain değeri dondurulamıyor diye değil, onu sevmiyorsanız bile sizin için değişmeyeceğidir."
Regülasyon kaçınılmaz, zincir kendi ruhunu koruyabilir mi?
Bir zamanlar, konsorsiyum blok zincirleri, kamu blok zincirlerinden daha popülerdi çünkü o dönemin düzenleyici ihtiyaçlarını karşılıyordu. Bugün konsorsiyumların zayıflaması, aslında sadece bu ihtiyaca uyum sağlandığı anlamına geliyor, gerçek kullanıcı ihtiyaçları değil. Düzenlemeye tabi olan kullanıcılar kaybolduğunda, o zaman düzenleme araçlarına ne gerek var?
Sektör gelişimi açısından
Verimli merkezileştirme, blok zincirinin geliştirilmesinde gerekli bir aşama mı? Ademi merkeziyetçiliğin nihai amacı kullanıcıların çıkarlarını korumaksa, merkezileşmeyi bir geçiş aracı olarak tolere edebilir miyiz?
"Demokrasi" terimi, zincir üstü yönetişim bağlamında aslında token ağırlıklı bir anlam taşır. Peki ya bir hacker, büyük miktarda SUI tutuyorsa (ya da bir gün DAO hacklenirse ve hacker oy haklarını kontrol ederse), "meşru bir şekilde kendini aklama" hakkına sahip olabilir mi?
Sonuç olarak, blok zincirinin değeri, dondurup donduramamakla değil, topluluğun dondurma yeteneğine sahip olmasına rağmen bunu tercih etmemesiyle ilgilidir.
Bir zincirin geleceği, teknik mimarinin değil, korumayı seçtiği inanç setinin belirlediği bir şeydir.
The content is for reference only, not a solicitation or offer. No investment, tax, or legal advice provided. See Disclaimer for more risks disclosure.
Görüş: Hacker parayı çaldı, bu yüzden Sui çalabilir mi?
Yazan: On Dört Jun
Bu olay, sermayenin zaferi olup, kullanıcıların değil, sektör gelişimi açısından ise bir gerilemedir.
Bitcoin sola, Sui sağa, merkeziyetsizleştirme endüstrisinde her bir sarsıntı, Bitcoin'e olan inancı daha da güçlendiriyor.
Dünya sadece daha iyi bir küresel finansal altyapıya ihtiyaç duymuyor, aynı zamanda her zaman özgür bir alana ihtiyaç duyan bir grup insan olacaktır.
Bir zamanlar, konsorsiyum blok zincirleri, kamu blok zincirlerinden daha popülerdi çünkü o dönemin düzenleme ihtiyaçlarını karşılıyordu. Bugün konsorsiyumların gerilemesi, aslında yalnızca bu ihtiyaca uymanın, gerçek kullanıcı ihtiyaçları olmadığı anlamına geliyor. Düzenlenmiş kullanıcılar kaybolduğunda, o zaman düzenleme araçlarına ne ihtiyaç var?
2025 yılı 22 Mayıs'ta, Sui blok zinciri ekosisteminin en büyük merkeziyetsiz borsası (DEX) Cetus, bir hacker saldırısına uğradı, anında likidite hızla azaldı, çeşitli işlem çiftlerinin fiyatları çöktü ve kayıplar 2,2 milyar doları aştı.
Yayın tarihine kadar zaman çizgisi şöyledir:
22 May sabahı, hackerlar Cetus'u 230 milyon dolar dolandırdı, Cetus acil olarak sözleşmeyi askıya aldı ve bir duyuru yayınladı.
22 May'da, bir hacker çapraz zincir üzerinden yaklaşık 60 milyon dolar çıkardı, geri kalan 162 milyon dolar ise Sui zincirindeki adreslerde kalıyor. Sui doğrulama düğümleri hızlı bir şekilde harekete geçerek hacker adresini "Hizmet Red Liste'sine (Deny List)" ekledi ve fonları dondurdu.
22 May akşamı, Sui CPO @emanabio tweet attı ve onayladı: Fonlar donduruldu, geri iade çok yakında başlayacak.
23 Mayıs'ta, Cetus açıklarını düzeltmeye ve sözleşmeyi güncellemeye başladı.
24 Mayıs, Sui açık kaynak PR'si, yakın zamanda takma ad mekanizması (aliasing) ile beyaz liste kullanarak fonların geri alınacağını açıkladı.
26 Mayıs'ta, Sui zincir üzerindeki yönetişim oylamasını başlattı, protokol güncellemesinin uygulanıp uygulanmayacağı ve hacker varlıklarının güvenli bir adrese aktarılması önerildi.
29 Mayıs'ta oy sonuçları açıklandı, %2/3'ten fazla doğrulama düğümü ağırlığı destekledi; protokol yükseltmesi uygulamaya hazırlanıyor.
30 Mayıs - Haziran başı, protokol güncellemesi yürürlüğe girdi, belirlenen işlem hash'i uygulandı, hacker varlıkları "yasal olarak alındı"
Olay prensibi ile ilgili, sektörde birçok ifade bulunmaktadır, burada yalnızca temel prensiplerin genel bir bakışını sunuyoruz:
Saldırı sürecine göre:
Saldırgan önce hızlı kredi kullanarak yaklaşık 10,024,321.28 haSUI ödünç aldı ve anında işlem havuzundaki fiyatı düşürdü.
%99.90. Bu devasa satış emri, hedef havuz fiyatını yaklaşık 1.8956×10^19'dan 1.8425×10^19'a düşürdü ve neredeyse tamamen boşaldı.
Sonrasında, saldırgan Cetus'ta çok dar bir aralıkta (Tick alt sınırı 300000, üst sınırı 300200, aralık genişliği yalnızca %1.00496621) likidite pozisyonu oluşturdu. Bu kadar dar bir aralık, sonraki hesaplama hatalarının gerekli token miktarı üzerindeki etkisini artırdı.
Ve saldırı temel ilkesi:
Cetus'un gerekli token sayısını hesaplamak için kullanılan get_delta_a fonksiyonunda bir tamsayı taşma açığı bulunuyor. Saldırgan, kasıtlı olarak devasa bir likidite eklemek istediğini (yaklaşık 10^37 birim) beyan ediyor, ancak aslında sözleşmeye sadece 1 token yatırıyor.
checked_shlw'nin taşma kontrol koşulundaki hata nedeniyle, sözleşme sola kaydırma hesaplamasında yüksek bit kesilmesine neden oldu ve bu durum sistemin gereken haSUI miktarını ciddi şekilde düşük tahmin etmesine yol açarak çok düşük maliyetle büyük miktarda likidite elde edilmesini sağladı.
Teknik olarak, yukarıdaki güvenlik açığı, Cetus'un Move akıllı sözleşmesinde yanlış maskeler ve yargılama koşulları kullanmasından kaynaklanır ve bu da 0xffffffffffffffff << 192'den daha düşük herhangi bir değerin algılamayı atlayabilmesine neden olur; Bununla birlikte, 64 biti sola kaydırdıktan sonra, üst düzey veriler kesilir ve sistem, çok fazla likidite kazandığını düşünmek için yalnızca çok az sayıda token alır.
Olaydan sonra iki resmi işlem ortaya çıktı: "dondurma" vs "geri alma", bunlar iki aşamadır:
Donmuş aşama, Deny List + Düğüm Konsensüsü ile tamamlanır;
Geri alma aşaması, zincir üzerindeki protokolün güncellenmesini + topluluk oylamasını + kara listeyi atlatmak için belirlenen işlemlerin gerçekleştirilmesini gerektirir.
Sui zincirinin kendisinde, bilgisayar korsanının fonlarının dondurulmasını gerçekleştiren özel bir Reddetme Listesi ( reddetme listesi ) mekanizması vardır. Sadece bu da değil, Sui'nin token standardı ayrıca yerleşik dondurma işlevine sahip bir "düzenlenmiş token" modeline sahiptir.
Bu acil durum dondurma şu özellikten yararlanır: doğrulayıcı düğümler, çalınan fonlarla ilgili adresleri yerel yapılandırma dosyalarına hızlı bir şekilde ekler. Teorik olarak, her düğüm operatörü kara listeyi kendi başına güncellemek için TransactionDenyConfig'i değiştirebilir, ancak ağ tutarlılığını sağlamak için Sui Vakfı, orijinal yapılandırma yayıncısı olarak merkezi koordinasyona sahiptir.
Vakıf, ilk olarak bilgisayar korsanının adresini içeren bir yapılandırma güncellemesini resmi olarak yayınladı ve doğrulayıcı, varsayılan yapılandırmaya göre eşzamanlı olarak yürürlüğe girdi, böylece bilgisayar korsanının fonları, aslında arkasında yüksek derecede merkezileşme olan zincir üzerinde geçici olarak "mühürlendi"
Kurbanları dondurulan fonlardan kurtarmak için Sui ekibi hemen beyaz liste (Whitelist) mekanizması için bir yama başlattı.
Bu, sonraki fonların geri dönmesi için bir işlemdir. Yasal işlemleri önceden oluşturabilir ve beyaz listeye kaydedebilirsiniz; bu durumda, fon adresi kara listede olsa bile zorunlu olarak uygulanabilir.
Bu yeni özellik transaction_allow_list_skip_all_checks belirli işlemlerin "denetimden muaf listeye" önceden eklenmesine izin verir, böylece bu işlemler imza, izin, kara liste gibi tüm güvenlik kontrollerini atlayabilir.
Dikkat edilmesi gereken nokta, beyaz liste yamanın doğrudan hacker varlıklarını alma yeteneğine sahip olmadığıdır; bu sadece belirli işlemlere dondurmayı atlatma yeteneği verir, gerçek varlık transferi hala yasal imza veya ek sistem yetkilendirme modülü gerektirir.
Aslında, endüstrinin ana akım dondurma çözümleri genellikle token sözleşmesi seviyesinde ortaya çıkar ve ihraççı tarafından çoklu imza kontrolü ile yönetilir.
Tether tarafından çıkarılan USDT örneğinde olduğu gibi, sözleşme içinde kara liste fonksiyonu bulunmaktadır. İhraç eden şirket, ihlal eden adresleri dondurabilir, böylece USDT transferini engelleyebilir. Bu tür bir çözüm, zincir üzerinde dondurma talebi başlatmak için çoklu imza gerektirir ve çoklu imza anlaşmaya vardıktan sonra gerçekten uygulanır, bu nedenle uygulama gecikmesi vardır.
Tether dondurma mekanizması etkili olsa da, istatistikler çoklu imza sürecinde sık sık "boşluk" dönemlerinin ortaya çıktığını ve bu durumun suçlular için fırsatlar yarattığını göstermektedir.
Buna karşılık, Sui'nin dondurulması, alt protokol seviyesinde, doğrulayıcı düğümlerinin toplu olarak işlemesiyle gerçekleşir ve bu, normal akıllı sözleşme çağrılarından çok daha hızlıdır.
Bu modelde, yeterince hızlı yürütmek için, bu doğrulayıcı düğümlerinin yönetiminin yüksek derecede birleşik olması gerektiği anlamına gelir.
3、Sui'nin "Transfer Tabanlı Geri Alım" Uygulama Prensibi
Daha da şaşırtıcı olanı, Sui'nin sadece hacker varlıklarını dondurmakla kalmayıp, aynı zamanda çalınan fonları "geri transfer" etmek için zincir üzerindeki güncellemeleri planlaması.
27 Mayıs'ta, Cetus topluluk oylama önerisi sundu ve protokolün yükseltilmesini, dondurulmuş fonların çoklu imza cüzdanına gönderilmesini talep etti. Sui Vakfı hemen zincir içi yönetim oylaması başlattı.
29 Mayıs'ta, oy sonuçları açıklandı, yaklaşık %90,9 ağırlığa sahip doğrulayıcılar bu öneriyi destekliyor. Sui resmi olarak duyurdu ki, öneri geçerse, "iki hacker hesabında dondurulan tüm fonlar, hacker imzası olmaksızın bir çoklu imza cüzdanına geri alınacak."
Hacker imzasına gerek yok, bu ne kadar farklı bir özellik, blok zinciri sektöründe böyle bir onarım yöntemi hiç olmamıştı.
Sui resmi GitHub PR'inden anlaşıldığı üzere, protokol (address aliasing) mekanizmasını tanıttı. Güncelleme içeriği arasında: ProtocolConfig içinde önceden alias kurallarının belirlenmesi, böylece bazı izin verilen işlemlerin yasal imzaları bir hacker hesabından geliyormuş gibi görmesini sağlamak yer alıyor.
Özellikle, gerçekleştirilecek kurtarma işlemine ait hash listesi hedef adresle (yani hacker adresi) ilişkilendirilir; bu sabit işlem özetlerini imzalayan ve yayımlayan herhangi bir yürütücü, geçerli bir hacker adresi sahibi olarak işlem başlatmış sayılır. Bu özel işlemler için doğrulayıcı düğüm sistemi, Yasaklı Liste kontrolünü atlayacaktır.
Kod seviyesinden bakıldığında, Sui işlem doğrulama mantığına aşağıdaki kontrolü eklemiştir: Bir işlem kara liste tarafından engellendiğinde, sistem imzalayıcılarını tarar ve protocol_config.is_tx_allowed_via_aliasing(sender, signer, tx_digest)'in doğru olup olmadığını kontrol eder.
Eğer herhangi bir imzalayıcı takma ad kurallarını karşılıyorsa, bu işlemin geçmesine izin verildiği işaretlenir, daha önceki engelleme hataları göz ardı edilir ve normal paketleme işlemi devam eder.
1.6 milyar, sektörün en derin temel inancını parçalıyor.
Cetus olayı, yazarın kişisel görüşüne göre, bu fırtına muhtemelen kısa sürede geçecektir, ancak bu model unutulmayacak çünkü sektörü temelden sarstı ve blockchain'in aynı defter altında değiştirilemez geleneksel mutabakatını bozdu.
Blockchain tasarımında, sözleşme hukuktur, kod ise hakemdir.
Ancak bu olayda, kodun geçersiz hale gelmesi, yönetişim müdahalesi, gücün öncelikle devreye girmesi, oy verme davranışının kodun sonuçlarını belirleme modelini oluşturdu.
Bu nedenle, Sui'nin bu kez doğrudan işlemleri devralma yöntemi, ana akım blok zincirlerinin hacker sorunlarını ele alma şekliyle büyük bir farklılık gösteriyor.
Bu, "konsensüsü değiştirmek" için ilk sefer değil, ama en sessiz olanı.
Tarihsel olarak:
Ethereum 2016 yılında The DAO olayında kayıpları telafi etmek için bir hard fork ile işlemleri geri almıştı, ancak bu karar Ethereum ile Ethereum Classic arasında bir ayrılmaya yol açtı. Süreç oldukça tartışmalıydı, ancak nihayetinde farklı gruplar farklı konsensüs inançları oluşturdu.
Bitcoin topluluğu benzer teknik zorluklar yaşadı: 2010 yılındaki değer aşımı açığı geliştiriciler tarafından acil bir şekilde düzeltildi ve konsensüs kuralları yükseltildi, yaklaşık 18.4 milyar yasa dışı üretilmiş Bitcoin tamamen ortadan kaldırıldı.
Bu, defteri sorun öncesine geri döndürme ve kullanıcıların hangi defter sistemi altında devam edeceklerine kendilerinin karar vermesine olanak tanıyan aynı sert çatallama modelidir.
DAO hard fork'larına kıyasla, Sui zinciri bölmeyi seçmedi, bunun yerine protokol güncellemeleri ve yapılandırma takma adları ile bu olaya yönelik hassas bir yaklaşım sergiledi. Bu şekilde, Sui zincirin sürekliliğini korudu ve çoğu konsensüs kuralını değiştirmedi, ancak aynı zamanda temel protokolün hedefe yönelik "kurtarma operasyonları" gerçekleştirmek için kullanılabileceğini de gösterdi.
Sorun şu ki, tarihsel "çatallı geri alma" kullanıcıların inancını seçmesiydi; Sui'nin "protokol tabanlı düzeltmesi" zincirin senin için karar vermesidir.
Anahtar senin değil, coin de senin değil mi? Korkarım ki artık öyle değil.
Uzun vadede, bu, "Anahtarlarınız değilse, paralarınız da değil" ilkesinin Sui zincirinde sarsıldığı anlamına geliyor: Kullanıcıların özel anahtarları tam olsa bile, ağ, varlıkların hareketini engellemek ve varlıkları yönlendirmek için toplu protokol değişiklikleri yoluyla bunu yapabilir.
Eğer bu, gelecekteki blockchain'in büyük güvenlik olaylarına yanıt verme konusunda bir örnek haline gelirse ve hatta tekrar uyulabilir bir gelenek olarak kabul edilirse.
"Bir zincir adalet için kuralları çiğneyebiliyorsa, o zaman herhangi bir kuralı çiğneme örneğine de sahip olur."
Bir kez "kamu yararı için para kapma" başarılı olursa, bir sonraki sefer "etik belirsizlik alanı" işlemi olabilir.
O zaman ne olacak?
Hackler gerçekten kullanıcıların parasını çaldıysa, o zaman grup oylaması ile parasını alabilir miyiz?
Oylama, kimin daha çok parası olduğu (pos) yoksa daha çok insan olduğu üzerine mi? Parası çok olan kazanırsa, Liu Cixin'in kaleminden çıkan nihai üretici çok geçmeden gelecektir; eğer insan sayısı çok olan kazanırsa, o zaman kalabalık bir güruh da sesini yükseltmeye başlayacaktır.
Geleneksel sistemde, yasadışı kazançların korunmaması son derece normaldir; dondurma ve aktarım, geleneksel bankaların rutin işlemleridir.
Ancak teknik teorik olarak bunu gerçekleştirmek mümkün değil, bu da blok zinciri sektörünün gelişim kaynağı değil mi?
Şu anda sektördeki uyum baskısı devam ediyor, bugün hackerlar için hesap bakiyelerini dondurmak ve değiştirmek mümkünse, yarın coğrafi veya çatışma faktörleri için rastgele değişiklikler yapmak da mümkün olabilir. Eğer blok zinciri bölgesel bir araç haline gelirse.
O sektörün değeri de büyük ölçüde düşürülmüş oldu, en iyi ihtimalle başka bir daha kullanışsız finansal sistemden ibaret.
Bu da yazarın sektördeki kararlılığının nedenidir: "Blockchain değeri dondurulamıyor diye değil, onu sevmiyorsanız bile sizin için değişmeyeceğidir."
Regülasyon kaçınılmaz, zincir kendi ruhunu koruyabilir mi?
Bir zamanlar, konsorsiyum blok zincirleri, kamu blok zincirlerinden daha popülerdi çünkü o dönemin düzenleyici ihtiyaçlarını karşılıyordu. Bugün konsorsiyumların zayıflaması, aslında sadece bu ihtiyaca uyum sağlandığı anlamına geliyor, gerçek kullanıcı ihtiyaçları değil. Düzenlemeye tabi olan kullanıcılar kaybolduğunda, o zaman düzenleme araçlarına ne gerek var?
Sektör gelişimi açısından
Verimli merkezileştirme, blok zincirinin geliştirilmesinde gerekli bir aşama mı? Ademi merkeziyetçiliğin nihai amacı kullanıcıların çıkarlarını korumaksa, merkezileşmeyi bir geçiş aracı olarak tolere edebilir miyiz?
"Demokrasi" terimi, zincir üstü yönetişim bağlamında aslında token ağırlıklı bir anlam taşır. Peki ya bir hacker, büyük miktarda SUI tutuyorsa (ya da bir gün DAO hacklenirse ve hacker oy haklarını kontrol ederse), "meşru bir şekilde kendini aklama" hakkına sahip olabilir mi?
Sonuç olarak, blok zincirinin değeri, dondurup donduramamakla değil, topluluğun dondurma yeteneğine sahip olmasına rağmen bunu tercih etmemesiyle ilgilidir.
Bir zincirin geleceği, teknik mimarinin değil, korumayı seçtiği inanç setinin belirlediği bir şeydir.