Güvenli Olmayan Varlıkların Önemi: Unibtc Dondurma Olayından Yola Çıkarak
2025 Nisan'ında, bir internet kullanıcısı sosyal medyada yardım istedi ve belirli bir Bitcoin Layer2 zincirinde arbitraj işlemi yaparken 100.000 dolardan fazla unibtc varlığının sıkıştığını ve çıkamadığını belirtti.
Olayın tarafı W'nin bildirdiğine göre, 17 Nisan'da, belirli bir Bitcoin L2 zincirinde unibtc'nin fiyatında anormallik fark etti ve BTC'den ayrıldığını gözlemledi. W, bunun geçici bir durum olduğunu ve arbitraj fırsatının bulunduğunu düşündü, bu yüzden bazı BTC'lerini bu zincire aktardı, unibtc ile takas etti ve yeniden sabitlenmesini bekleyerek satmayı planladı.
24 saat içinde unibtc geri bağlanmıştı, ancak W satış yapmaya çalıştığında, zincirdeki tek unibtc-BTC likidite havuzunun kaldırıldığını fark etti. W unibtc'yi satamayınca, köprü üzerinden transfer yapmayı denedi.
Ancak, unibtc'yi destekleyen tek köprüyü bulduğunda, "işlem proje tarafından imza yetkisi gerektirir" şeklinde bir uyarı aldı. Köprü müşteri hizmetleri, unibtc'nin çoklu imza anahtarının proje tarafından yönetildiğini ve izin olmadan köprüden geçilemeyeceğini açıkladı.
W, proje tarafıyla bu konuyu görüşmek için iletişime geçti, karşı taraf başlangıçta ana paranın çekilmesine izin verilebileceğini ancak arbitrajdan elde edilen kârların denetlenmesi gerektiğini belirtti. W, unibtc'nin çıkış yolunun kesildiğini fark etti ve elinde yaklaşık 200.000 dolarlık unibtc'nin "geçici olarak dondurulduğunu" öğrendi.
Ancak proje tarafının tutumu belirsizleşti ve çeşitli bahanelerle geciktirildi. W sosyal medya üzerinden yardım talep ettikten sonra, iki hafta süren görüşmelerin ardından nihayet olumlu bir yanıt aldı ve varlıkları başarıyla geri aldı.
Bu bir istisna değil. Geri bildirimlere göre, geçen yıl da benzer bir olay yaşanmış ve unibtc "maddi olarak dondurulmuş". Bu makalede, bu tür merkezileşmiş kötü niyetli davranışların nasıl önlenebileceğini teknik açıdan inceleyeceğiz.
İlk olarak, unibtc'nin ihraççısı ve başlangıç likidite sağlayıcısı olarak, proje ekibi ikincil piyasa çıkış yolları üzerinde doğal bir kontrol yetkisine sahiptir. Güçlerini sınırlamak için daha fazla yönetişim yoluyla ve teknolojik yöntemlerle değil.
Ancak, çapraz zincir köprüsü ve proje sahipleri, kullanıcı taleplerini reddetmek için işbirliği yaparak, unibtc'nin çok zincirli dolaşım aşamasında belirgin teknik eksiklikler barındırdığını ortaya koyuyor: çapraz zincir köprüsü son derece merkezileşmiş. Gerçekten güvene ihtiyaç duymayan bir köprü, resmi makamların kullanıcıların çıkışını engelleyemeyeceğini garanti etmelidir.
Benzer vakalar nadir değildir, büyük borsa ve projeler merkeziyetçi yetkilerini kullanarak kullanıcıların çıkış yollarını kesmiştir. Bu, varlık saklama platformları güvenilir hizmet sunamazsa, sonunda kötü sonuçlar doğuracağını açıkça göstermektedir.
Ancak, güven gerektirmeyen bir sistemin gerçekleştirilmesi kolay değildir. Ödeme kanallarından ZK Rollup'a kadar, çeşitli çözümlerde kaçınılmaz eksiklikler bulunmaktadır. Şu anda mükemmel bir varlık托 ve çıkış çözümü mevcut değildir, piyasanın hala yeniliğe ihtiyacı var.
Aşağıda, maliyet, güvenlik ve kullanıcı deneyimi gibi göstergeler arasında nasıl bir denge sağlanacağına dair bir örnek olarak TEE, ZK ve MPC kombinasyonunu içeren bir güvenilmeyen mesaj doğrulama çözümü ele alınacak ve her türlü varlıkların suç ortağı sahneleri için güvenilir bir altyapı hizmeti sunulacaktır.
CRVA: Kripto Rastgele Doğrulama Ağı
Günümüzde yaygın olarak kullanılan varlık yönetim çözümleri, genellikle çoklu imza veya MPC/TSS kullanarak varlık transfer taleplerinin geçerliliğini belirlemektedir. Bu tür çözümler, uygulanması kolay, maliyetleri düşük ve doğrulama hızı yüksek olmasına rağmen, güvenlik açısından yetersizdir ve merkeziyete doğru eğilim gösterebilir. 2023 yılındaki Multichain olayı bunun tipik bir örneğidir.
Geleneksel çözümlerin eksikliklerine karşı CRVA çözümü birçok iyileştirme yapmıştır:
Varlık teminatı kabul sistemi kullanılacak, 500 düğüm noktası ulaşıldıktan sonra ana ağ başlatılacak, teminat varlıkları on milyonlarca dolar veya daha yüksek seviyede kalacaktır.
Çekiliş algoritmasıyla rastgele doğrulama düğümleri seçilir, örneğin her yarım saatte 10 düğüm kullanıcı taleplerini doğrulamak ve eşik imzası oluşturmak için çekilir.
Çekiliş algoritması, ZK ile çekilen kişinin kimliğini gizleyerek dış gözlemleri önlemek amacıyla orijinal halkasal VRF kullanmaktadır.
Tüm düğüm çekirdek kodları TEE donanım ortamında çalışır, komplo olasılığını ortadan kaldırır.
CRVA ağ düğümleri arasındaki belirli çalışma süreci aşağıdaki gibidir:
Düğüm, ağa girmeden önce zincir üzerinde varlık teminatı bırakmalı ve kayıt bilgisi olarak "kalıcı anahtar" bırakmalıdır.
Her saat rastgele düğümler seçilir. Adaylar önce tek kullanımlık "geçici anahtar" ve ZKP oluşturur, kalıcı anahtarla ilişkili olduklarını kanıtlar.
Geçici anahtar kullanarak gizliliği koruyun, belirli seçilen kişilerin kimliğinin ifşa edilmesini önleyin.
Geçici anahtar TEE içinde oluşturulur, düğüm kendisi de bunu bilmez.
TEE içindeki şifreli geçici genel anahtar belirli Relayer düğümüne geri gönderilir.
Relayer, geçici kamu anahtarını topladıktan sonra zincir üzerindeki VRF çekilişine sunar, kazanan işlem talebini doğrular ve eşik imzası oluşturur.
Çekiliş sonuçları yayınlandıktan sonra, her düğüm TEE çekirdek içinde seçilip seçilmediğini kontrol eder.
Bu sistemin temelinde önemli etkinliklerin TEE içinde gerçekleşmesi ve dışarıdan gözlemlenememesi yatmaktadır. Her düğüm, doğrulayıcının kim olduğunu bilmez, bu da işbirliği yaparak kötü niyetli davranışları önler ve saldırı zorluğunu önemli ölçüde artırır.
CRVA'nın varlık kendi kendine saklama çözümünün entegrasyonu
Kullanıcı BTC'yi belirtilen Taproot adresine yatırır, kilidi açmak için kullanıcı ve CRVA'nın 2/2 çoklu imzası gereklidir.
Kullanıcı BTC'yi teminat gösterip stabilcoin bastıktan sonra geri alırken, kullanıcının ve CRVA'nın ayrı ayrı imza atması gerekmektedir.
Eğer CRVA uzun süre işbirliği yapmazsa, süresi dolduğunda kullanıcı BTC'yi tek taraflı olarak geri alabilir.
BTC tasfiye edildiğinde, kullanıcı işbirliği yapmazsa, vadesi dolduğunda CRVA BTC'yi tek yönlü kanala aktarabilir.
CRVA tek yönlü kanalın zaman kilidi daha kısadır, kullanıcıların kendi başlarına geri alımlarından önce gelir, kullanıcıların borçlanmalarını kısıtlar.
CRVA otomatik bir sistem olarak, kullanıcıyla işbirliği yapmayı aktif olarak reddetmeyecektir.
Eğer CRVA, mücbir sebep nedeniyle durursa, kullanıcı varlıklarını güvenli bir şekilde çekebilir.
Tasfiye memuru, CRVA'dan inceleme talep edebilir ve tek yönlü kanaldaki BTC'yi çekebilir.
Eğer CRVA uzun süre yanıt vermezse, BTC DAO tarafından kontrol edilen bir adrese aktarılacak ve birçok taraf tarafından ortaklaşa yönetilecektir.
Bu çözüm, varlık ihraççılarının tek taraflı kontrolünü etkili bir şekilde engelleyerek, kullanıcılara daha güvenilir varlık suç ortağı hizmetleri sunar.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
8 Likes
Reward
8
8
Share
Comment
0/400
DAOdreamer
· 07-08 02:53
Bütün gün Proje Ekibi'ni izlemek.
View OriginalReply0
BackrowObserver
· 07-05 08:03
Merkeziyetçi mi? Güzel bir şekilde söylenmiş bir sığınak.
View OriginalReply0
GateUser-74b10196
· 07-05 03:22
Yine kripto dünyasında enayiler oyuna getirildi, ah.
View OriginalReply0
NotFinancialAdvice
· 07-05 03:20
Merkeziyetsizliğin tuzağı...
View OriginalReply0
DefiPlaybook
· 07-05 03:13
Eski bir hikaye, daha fazla uğraştıkça ters merkeziyetsizlik.
CRVA: TEE ve ZK tabanlı güven gerektirmeyen varlık yönetim çözümü
Güvenli Olmayan Varlıkların Önemi: Unibtc Dondurma Olayından Yola Çıkarak
2025 Nisan'ında, bir internet kullanıcısı sosyal medyada yardım istedi ve belirli bir Bitcoin Layer2 zincirinde arbitraj işlemi yaparken 100.000 dolardan fazla unibtc varlığının sıkıştığını ve çıkamadığını belirtti.
Olayın tarafı W'nin bildirdiğine göre, 17 Nisan'da, belirli bir Bitcoin L2 zincirinde unibtc'nin fiyatında anormallik fark etti ve BTC'den ayrıldığını gözlemledi. W, bunun geçici bir durum olduğunu ve arbitraj fırsatının bulunduğunu düşündü, bu yüzden bazı BTC'lerini bu zincire aktardı, unibtc ile takas etti ve yeniden sabitlenmesini bekleyerek satmayı planladı.
24 saat içinde unibtc geri bağlanmıştı, ancak W satış yapmaya çalıştığında, zincirdeki tek unibtc-BTC likidite havuzunun kaldırıldığını fark etti. W unibtc'yi satamayınca, köprü üzerinden transfer yapmayı denedi.
Ancak, unibtc'yi destekleyen tek köprüyü bulduğunda, "işlem proje tarafından imza yetkisi gerektirir" şeklinde bir uyarı aldı. Köprü müşteri hizmetleri, unibtc'nin çoklu imza anahtarının proje tarafından yönetildiğini ve izin olmadan köprüden geçilemeyeceğini açıkladı.
W, proje tarafıyla bu konuyu görüşmek için iletişime geçti, karşı taraf başlangıçta ana paranın çekilmesine izin verilebileceğini ancak arbitrajdan elde edilen kârların denetlenmesi gerektiğini belirtti. W, unibtc'nin çıkış yolunun kesildiğini fark etti ve elinde yaklaşık 200.000 dolarlık unibtc'nin "geçici olarak dondurulduğunu" öğrendi.
Ancak proje tarafının tutumu belirsizleşti ve çeşitli bahanelerle geciktirildi. W sosyal medya üzerinden yardım talep ettikten sonra, iki hafta süren görüşmelerin ardından nihayet olumlu bir yanıt aldı ve varlıkları başarıyla geri aldı.
Bu bir istisna değil. Geri bildirimlere göre, geçen yıl da benzer bir olay yaşanmış ve unibtc "maddi olarak dondurulmuş". Bu makalede, bu tür merkezileşmiş kötü niyetli davranışların nasıl önlenebileceğini teknik açıdan inceleyeceğiz.
İlk olarak, unibtc'nin ihraççısı ve başlangıç likidite sağlayıcısı olarak, proje ekibi ikincil piyasa çıkış yolları üzerinde doğal bir kontrol yetkisine sahiptir. Güçlerini sınırlamak için daha fazla yönetişim yoluyla ve teknolojik yöntemlerle değil.
Ancak, çapraz zincir köprüsü ve proje sahipleri, kullanıcı taleplerini reddetmek için işbirliği yaparak, unibtc'nin çok zincirli dolaşım aşamasında belirgin teknik eksiklikler barındırdığını ortaya koyuyor: çapraz zincir köprüsü son derece merkezileşmiş. Gerçekten güvene ihtiyaç duymayan bir köprü, resmi makamların kullanıcıların çıkışını engelleyemeyeceğini garanti etmelidir.
Benzer vakalar nadir değildir, büyük borsa ve projeler merkeziyetçi yetkilerini kullanarak kullanıcıların çıkış yollarını kesmiştir. Bu, varlık saklama platformları güvenilir hizmet sunamazsa, sonunda kötü sonuçlar doğuracağını açıkça göstermektedir.
Ancak, güven gerektirmeyen bir sistemin gerçekleştirilmesi kolay değildir. Ödeme kanallarından ZK Rollup'a kadar, çeşitli çözümlerde kaçınılmaz eksiklikler bulunmaktadır. Şu anda mükemmel bir varlık托 ve çıkış çözümü mevcut değildir, piyasanın hala yeniliğe ihtiyacı var.
Aşağıda, maliyet, güvenlik ve kullanıcı deneyimi gibi göstergeler arasında nasıl bir denge sağlanacağına dair bir örnek olarak TEE, ZK ve MPC kombinasyonunu içeren bir güvenilmeyen mesaj doğrulama çözümü ele alınacak ve her türlü varlıkların suç ortağı sahneleri için güvenilir bir altyapı hizmeti sunulacaktır.
CRVA: Kripto Rastgele Doğrulama Ağı
Günümüzde yaygın olarak kullanılan varlık yönetim çözümleri, genellikle çoklu imza veya MPC/TSS kullanarak varlık transfer taleplerinin geçerliliğini belirlemektedir. Bu tür çözümler, uygulanması kolay, maliyetleri düşük ve doğrulama hızı yüksek olmasına rağmen, güvenlik açısından yetersizdir ve merkeziyete doğru eğilim gösterebilir. 2023 yılındaki Multichain olayı bunun tipik bir örneğidir.
Geleneksel çözümlerin eksikliklerine karşı CRVA çözümü birçok iyileştirme yapmıştır:
Varlık teminatı kabul sistemi kullanılacak, 500 düğüm noktası ulaşıldıktan sonra ana ağ başlatılacak, teminat varlıkları on milyonlarca dolar veya daha yüksek seviyede kalacaktır.
Çekiliş algoritmasıyla rastgele doğrulama düğümleri seçilir, örneğin her yarım saatte 10 düğüm kullanıcı taleplerini doğrulamak ve eşik imzası oluşturmak için çekilir.
Çekiliş algoritması, ZK ile çekilen kişinin kimliğini gizleyerek dış gözlemleri önlemek amacıyla orijinal halkasal VRF kullanmaktadır.
Tüm düğüm çekirdek kodları TEE donanım ortamında çalışır, komplo olasılığını ortadan kaldırır.
CRVA ağ düğümleri arasındaki belirli çalışma süreci aşağıdaki gibidir:
Düğüm, ağa girmeden önce zincir üzerinde varlık teminatı bırakmalı ve kayıt bilgisi olarak "kalıcı anahtar" bırakmalıdır.
Her saat rastgele düğümler seçilir. Adaylar önce tek kullanımlık "geçici anahtar" ve ZKP oluşturur, kalıcı anahtarla ilişkili olduklarını kanıtlar.
Geçici anahtar kullanarak gizliliği koruyun, belirli seçilen kişilerin kimliğinin ifşa edilmesini önleyin.
Geçici anahtar TEE içinde oluşturulur, düğüm kendisi de bunu bilmez.
TEE içindeki şifreli geçici genel anahtar belirli Relayer düğümüne geri gönderilir.
Relayer, geçici kamu anahtarını topladıktan sonra zincir üzerindeki VRF çekilişine sunar, kazanan işlem talebini doğrular ve eşik imzası oluşturur.
Çekiliş sonuçları yayınlandıktan sonra, her düğüm TEE çekirdek içinde seçilip seçilmediğini kontrol eder.
Bu sistemin temelinde önemli etkinliklerin TEE içinde gerçekleşmesi ve dışarıdan gözlemlenememesi yatmaktadır. Her düğüm, doğrulayıcının kim olduğunu bilmez, bu da işbirliği yaparak kötü niyetli davranışları önler ve saldırı zorluğunu önemli ölçüde artırır.
CRVA'nın varlık kendi kendine saklama çözümünün entegrasyonu
Aşağıda HelloBTU Bitcoin algoritması stabil coin örneği ile, CRVA'nın varlık yönetimindeki uygulaması açıklanacaktır:
Kullanıcı BTC'yi belirtilen Taproot adresine yatırır, kilidi açmak için kullanıcı ve CRVA'nın 2/2 çoklu imzası gereklidir.
Kullanıcı BTC'yi teminat gösterip stabilcoin bastıktan sonra geri alırken, kullanıcının ve CRVA'nın ayrı ayrı imza atması gerekmektedir.
Eğer CRVA uzun süre işbirliği yapmazsa, süresi dolduğunda kullanıcı BTC'yi tek taraflı olarak geri alabilir.
BTC tasfiye edildiğinde, kullanıcı işbirliği yapmazsa, vadesi dolduğunda CRVA BTC'yi tek yönlü kanala aktarabilir.
CRVA tek yönlü kanalın zaman kilidi daha kısadır, kullanıcıların kendi başlarına geri alımlarından önce gelir, kullanıcıların borçlanmalarını kısıtlar.
CRVA otomatik bir sistem olarak, kullanıcıyla işbirliği yapmayı aktif olarak reddetmeyecektir.
Eğer CRVA, mücbir sebep nedeniyle durursa, kullanıcı varlıklarını güvenli bir şekilde çekebilir.
Tasfiye memuru, CRVA'dan inceleme talep edebilir ve tek yönlü kanaldaki BTC'yi çekebilir.
Eğer CRVA uzun süre yanıt vermezse, BTC DAO tarafından kontrol edilen bir adrese aktarılacak ve birçok taraf tarafından ortaklaşa yönetilecektir.
Bu çözüm, varlık ihraççılarının tek taraflı kontrolünü etkili bir şekilde engelleyerek, kullanıcılara daha güvenilir varlık suç ortağı hizmetleri sunar.