Merkeziyetsizlik ve cross-chain protokollerinin güvenliğini tartışmak
Cross-chain protokolün güvenlik sorunları son yıllarda büyük ilgi görmektedir. Son iki yıl içinde çeşitli blockchain'lerde meydana gelen güvenlik olaylarının yol açtığı kayıplara bakıldığında, cross-chain protokolle ilgili güvenlik olaylarının kayıpları ilk sırada yer almaktadır. Cross-chain protokolü güvenlik sorunlarını çözmenin önemi ve aciliyeti, Ethereum'un ölçeklendirme çözümlerini aşmaktadır. Cross-chain protokolleri arasındaki birlikte çalışabilirlik, Web3'ün birbirine bağlı olmasının içsel bir gereksinimidir. Bu tür protokoller genellikle büyük bir finansman ölçeğine sahiptir, toplam kilitli değer (TVL) ve işlem hacmi de katı taleplerin etkisiyle sürekli artmaktadır. Ancak, kamuoyunun bu cross-chain protokollerine olan farkındalığı düşük olduğundan, güvenlik seviyelerini doğru bir şekilde değerlendirmek zordur.
Hadi önce tipik bir cross-chain ürün tasarım mimarisine bakalım. Chain A ve Chain B arasındaki iletişim sürecinde, belirli işlemleri Relayer gerçekleştirirken, Oracle Relayer'ı denetlemekle sorumludur. Bu mimarinin bir avantajı, geleneksel yöntemlerde üçüncü bir zincirin (genellikle dApp'leri dağıtmayan) konsensüs algoritmasını ve onlarca düğümün doğrulama sürecini tamamlaması gerekliliğini ortadan kaldırmasıdır, bu nedenle son kullanıcıya "hızlı cross-chain" deneyimi sunabilir. Mimari hafif, kod miktarı az ve Oracle mevcut hizmetleri, örneğin Chainlink'i doğrudan kullanabildiği için, bu tür projeler hızlı bir şekilde piyasaya sürülebilir, ancak aynı zamanda kolayca taklit edilebilir ve teknik engel seviyesi düşüktür.
Ancak, bu mimarinin en az iki sorunu var:
Onlarca düğümün doğrulama sürecini tek bir Oracle doğrulamasına indirgemek, güvenlik katsayısını büyük ölçüde düşürüyor.
Tek bir doğrulama ile basitleştirildiğinde, Relayer ve Oracle'ın birbirinden bağımsız olduğu varsayılmalıdır. Ancak bu güven varsayımı sonsuza dek geçerli olamaz, yeterli merkeziyetsizlik özellikleri eksikliğinden dolayı ikisinin kötü niyetli bir şekilde anlaşamayacaklarını temelden garanti edemez.
Bazı insanlar şunları sorabilir: Relayer'ı açarsak ve daha fazla katılımcının aracıları çalıştırmasına izin verirsek, yukarıdaki sorunları çözebilir miyiz? Aslında, yalnızca çalışan sayısını artırmak merkeziyetsizlikle eşdeğer değildir. Herkese sisteme erişim izni vermek sadece izinsiz erişim (Permissionless) sağlamakla ilgilidir, bu piyasa tarafındaki bir değişikliktir ve ürünün güvenliği ile pek ilgisi yoktur. Relayer, esasen bilgileri iletmekten sorumlu bir aracıdır ve Oracle ile aynı şekilde güvenilir üçüncü taraflar arasında yer alır. Güvenilir tarafların sayısını artırarak cross-chain güvenliğini artırmayı denemek boşunadır; bu, ürünün temel özelliklerini değiştirmediği gibi yeni sorunlara da yol açabilir.
Eğer bir cross-chain token projesi kullandığı düğüm yapılandırmasını değiştirmeye izin veriyorsa, saldırgan kendi kontrolündeki düğümleri değiştirme olanağına sahip olur ve böylece her türlü mesajı sahteleyebilir. Bu tür bir güvenlik açığı daha karmaşık senaryolar altında daha ciddi sonuçlara yol açabilir. Büyük sistemlerde, bir bağlantının değiştirilmesi zincirleme bir reaksiyona neden olabilir. Bazı cross-chain protokolleri bu tür sorunları çözme yeteneğine sahip değildir; eğer gerçekten bir güvenlik olayı meydana gelirse, sorumluluk büyük ihtimalle dış uygulamalara atılacaktır.
Altyapı (Infrastructure) olduğunu iddia eden projeler için, eğer Layer 1 veya Layer 2 gibi paylaşılan bir güvenlik sunamıyorsa, bu tür bir "altyapı" konumlandırması tartışmaya açıktır. Gerçek altyapının "temel" olmasının sebebi, tüm ekosisteme tutarlı bir güvenlik sağlamasıdır. Bu nedenle, bazı cross-chain protokollerin daha doğru bir konumlandırması muhtemelen ara katman (Middleware) olacaktır, altyapı değil.
Bazı güvenlik ekipleri, belirli cross-chain protokollerinin potansiyel açıklar içerdiğini belirtmiştir. Örneğin, eğer kötü niyetli bir aktör protokol yapılandırmasına erişim elde ederse, orakları ve aktarımcıları kendi kontrolündeki bileşenlerle değiştirebilir, bu da akıllı sözleşmeleri yanıltarak kullanıcı varlıklarının çalınmasına neden olabilir. Ayrıca, bazı protokollerin aktarımcılarının kritik açıklara sahip olduğu araştırmalarla ortaya konmuştur. Şu anda çoklu imza ile korunmakta olsa da, yine de içerden biri veya tanınan bir ekip üyesi tarafından kullanılabilir.
Karma protokollerini değerlendirirken, köklerine dönmeli ve Bitcoin beyaz kitabında sunulan temel ilkelere başvurmalıyız. Satoshi Nakamoto konsensüsünün temel özellikleri, güvenilir üçüncü tarafların ortadan kaldırılması, güvene dayanmayan (Trustless) ve merkeziyetsizlik (Decentralized) sağlamaktır. Karma iletişim protokolü temelde Bitcoin gibi olmalı, A Zincirinden doğrudan B Zincirindeki diğer tarafa bir tarafın gönderim yapmasına izin veren, herhangi bir güvenilir aracıyı gerektirmeyen bir eşler arası sistem olmalıdır.
Merkeziyetsizlik ve güven gerektirmeyen özelliklere sahip "Satoshi Konsensüsü" daha sonraki tüm altyapı geliştiricilerinin ortak olarak peşinden koştuğu bir hedef haline geldi. Bu konsensüsü karşılamayan cross-chain protokolleri, gerçek anlamda merkeziyetsiz cross-chain protokolleri olarak adlandırılamaz ve kendilerini "merkeziyetsiz" veya "güven gerektirmeyen" gibi yüksek terimlerle tanımlamada dikkatli olunmalıdır.
Gerçek merkeziyetsiz cross-chain protokolü, tüm cross-chain süreci boyunca dolandırıcılık kanıtları veya geçerlilik kanıtları üretebilmeli ve bu kanıtları zincir üzerinde doğrulamak için kaydedebilmelidir. Ancak bu şekilde, gerçek merkeziyetsizlik ve güven kaybı sağlanabilir.
Yenilikçi teknolojiler (örneğin, sıfır bilgi kanıtları) kullanarak cross-chain protokollerini yükseltmeyi iddia eden projeler için anahtar, gerçekten kendi varoluşsal sorunlarını tanıyıp tanımadıklarıdır. Sorunlarla yüzleşmek, teknolojik ilerlemeyi gerçekten teşvik edebilir ve daha güvenli, daha merkeziyetsiz bir cross-chain ekosistemi inşa edebilir.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
12 Likes
Reward
12
3
Share
Comment
0/400
ForkThisDAO
· 13h ago
Fonlar yine sıfıra düşecek
View OriginalReply0
MetaMaximalist
· 16h ago
lmao başka bir gün başka bir köprü hack... bu plepler ne zaman düzgün güvenlik mimarisi hakkında bir şeyler öğrenmeye başlayacak?
View OriginalReply0
FlatTax
· 17h ago
Bu kadar güvenli bir şekilde mi kaybettin? Önceki deneyimlerden ders al!
cross-chain protokol güvenliği ve merkeziyetsizlik üzerine derin düşünce
Merkeziyetsizlik ve cross-chain protokollerinin güvenliğini tartışmak
Cross-chain protokolün güvenlik sorunları son yıllarda büyük ilgi görmektedir. Son iki yıl içinde çeşitli blockchain'lerde meydana gelen güvenlik olaylarının yol açtığı kayıplara bakıldığında, cross-chain protokolle ilgili güvenlik olaylarının kayıpları ilk sırada yer almaktadır. Cross-chain protokolü güvenlik sorunlarını çözmenin önemi ve aciliyeti, Ethereum'un ölçeklendirme çözümlerini aşmaktadır. Cross-chain protokolleri arasındaki birlikte çalışabilirlik, Web3'ün birbirine bağlı olmasının içsel bir gereksinimidir. Bu tür protokoller genellikle büyük bir finansman ölçeğine sahiptir, toplam kilitli değer (TVL) ve işlem hacmi de katı taleplerin etkisiyle sürekli artmaktadır. Ancak, kamuoyunun bu cross-chain protokollerine olan farkındalığı düşük olduğundan, güvenlik seviyelerini doğru bir şekilde değerlendirmek zordur.
Hadi önce tipik bir cross-chain ürün tasarım mimarisine bakalım. Chain A ve Chain B arasındaki iletişim sürecinde, belirli işlemleri Relayer gerçekleştirirken, Oracle Relayer'ı denetlemekle sorumludur. Bu mimarinin bir avantajı, geleneksel yöntemlerde üçüncü bir zincirin (genellikle dApp'leri dağıtmayan) konsensüs algoritmasını ve onlarca düğümün doğrulama sürecini tamamlaması gerekliliğini ortadan kaldırmasıdır, bu nedenle son kullanıcıya "hızlı cross-chain" deneyimi sunabilir. Mimari hafif, kod miktarı az ve Oracle mevcut hizmetleri, örneğin Chainlink'i doğrudan kullanabildiği için, bu tür projeler hızlı bir şekilde piyasaya sürülebilir, ancak aynı zamanda kolayca taklit edilebilir ve teknik engel seviyesi düşüktür.
Ancak, bu mimarinin en az iki sorunu var:
Onlarca düğümün doğrulama sürecini tek bir Oracle doğrulamasına indirgemek, güvenlik katsayısını büyük ölçüde düşürüyor.
Tek bir doğrulama ile basitleştirildiğinde, Relayer ve Oracle'ın birbirinden bağımsız olduğu varsayılmalıdır. Ancak bu güven varsayımı sonsuza dek geçerli olamaz, yeterli merkeziyetsizlik özellikleri eksikliğinden dolayı ikisinin kötü niyetli bir şekilde anlaşamayacaklarını temelden garanti edemez.
Bazı insanlar şunları sorabilir: Relayer'ı açarsak ve daha fazla katılımcının aracıları çalıştırmasına izin verirsek, yukarıdaki sorunları çözebilir miyiz? Aslında, yalnızca çalışan sayısını artırmak merkeziyetsizlikle eşdeğer değildir. Herkese sisteme erişim izni vermek sadece izinsiz erişim (Permissionless) sağlamakla ilgilidir, bu piyasa tarafındaki bir değişikliktir ve ürünün güvenliği ile pek ilgisi yoktur. Relayer, esasen bilgileri iletmekten sorumlu bir aracıdır ve Oracle ile aynı şekilde güvenilir üçüncü taraflar arasında yer alır. Güvenilir tarafların sayısını artırarak cross-chain güvenliğini artırmayı denemek boşunadır; bu, ürünün temel özelliklerini değiştirmediği gibi yeni sorunlara da yol açabilir.
Eğer bir cross-chain token projesi kullandığı düğüm yapılandırmasını değiştirmeye izin veriyorsa, saldırgan kendi kontrolündeki düğümleri değiştirme olanağına sahip olur ve böylece her türlü mesajı sahteleyebilir. Bu tür bir güvenlik açığı daha karmaşık senaryolar altında daha ciddi sonuçlara yol açabilir. Büyük sistemlerde, bir bağlantının değiştirilmesi zincirleme bir reaksiyona neden olabilir. Bazı cross-chain protokolleri bu tür sorunları çözme yeteneğine sahip değildir; eğer gerçekten bir güvenlik olayı meydana gelirse, sorumluluk büyük ihtimalle dış uygulamalara atılacaktır.
Altyapı (Infrastructure) olduğunu iddia eden projeler için, eğer Layer 1 veya Layer 2 gibi paylaşılan bir güvenlik sunamıyorsa, bu tür bir "altyapı" konumlandırması tartışmaya açıktır. Gerçek altyapının "temel" olmasının sebebi, tüm ekosisteme tutarlı bir güvenlik sağlamasıdır. Bu nedenle, bazı cross-chain protokollerin daha doğru bir konumlandırması muhtemelen ara katman (Middleware) olacaktır, altyapı değil.
Bazı güvenlik ekipleri, belirli cross-chain protokollerinin potansiyel açıklar içerdiğini belirtmiştir. Örneğin, eğer kötü niyetli bir aktör protokol yapılandırmasına erişim elde ederse, orakları ve aktarımcıları kendi kontrolündeki bileşenlerle değiştirebilir, bu da akıllı sözleşmeleri yanıltarak kullanıcı varlıklarının çalınmasına neden olabilir. Ayrıca, bazı protokollerin aktarımcılarının kritik açıklara sahip olduğu araştırmalarla ortaya konmuştur. Şu anda çoklu imza ile korunmakta olsa da, yine de içerden biri veya tanınan bir ekip üyesi tarafından kullanılabilir.
Karma protokollerini değerlendirirken, köklerine dönmeli ve Bitcoin beyaz kitabında sunulan temel ilkelere başvurmalıyız. Satoshi Nakamoto konsensüsünün temel özellikleri, güvenilir üçüncü tarafların ortadan kaldırılması, güvene dayanmayan (Trustless) ve merkeziyetsizlik (Decentralized) sağlamaktır. Karma iletişim protokolü temelde Bitcoin gibi olmalı, A Zincirinden doğrudan B Zincirindeki diğer tarafa bir tarafın gönderim yapmasına izin veren, herhangi bir güvenilir aracıyı gerektirmeyen bir eşler arası sistem olmalıdır.
Merkeziyetsizlik ve güven gerektirmeyen özelliklere sahip "Satoshi Konsensüsü" daha sonraki tüm altyapı geliştiricilerinin ortak olarak peşinden koştuğu bir hedef haline geldi. Bu konsensüsü karşılamayan cross-chain protokolleri, gerçek anlamda merkeziyetsiz cross-chain protokolleri olarak adlandırılamaz ve kendilerini "merkeziyetsiz" veya "güven gerektirmeyen" gibi yüksek terimlerle tanımlamada dikkatli olunmalıdır.
Gerçek merkeziyetsiz cross-chain protokolü, tüm cross-chain süreci boyunca dolandırıcılık kanıtları veya geçerlilik kanıtları üretebilmeli ve bu kanıtları zincir üzerinde doğrulamak için kaydedebilmelidir. Ancak bu şekilde, gerçek merkeziyetsizlik ve güven kaybı sağlanabilir.
Yenilikçi teknolojiler (örneğin, sıfır bilgi kanıtları) kullanarak cross-chain protokollerini yükseltmeyi iddia eden projeler için anahtar, gerçekten kendi varoluşsal sorunlarını tanıyıp tanımadıklarıdır. Sorunlarla yüzleşmek, teknolojik ilerlemeyi gerçekten teşvik edebilir ve daha güvenli, daha merkeziyetsiz bir cross-chain ekosistemi inşa edebilir.