unibtc dondurma olayından güven gerektirmeyen hizmetin önemini anlama
2025 Nisan'ında, bir internet kullanıcısı sosyal medya platformunda yardım istedi ve belirli bir Bitcoin Layer2 zincirinde arbitraj yaparken 100.000 ABD dolarından fazla unibtc varlığının sıkıştığını ve çıkamadığını belirtti.
Tarafların verdiği bilgilere göre, unibtc'nin bu zincirde fiyat anomalisine neden olduğunu ve BTC'den ayrıldığını fark etti. Bu durumun bir arbitraj fırsatı sunduğunu düşündü, bu yüzden bir miktar BTC'yi bu zincire geçirdi, unibtc ile değiştirdi ve geri bağlandığında satmayı bekledi.
unibtc, 24 saat içinde geri bağlanıyor, ancak taraf satmaya çalıştığında likidite havuzunun kaldırıldığını ve çıkış yapamadığını fark ediyor. unibtc'yi diğer zincirlere geçirmeye çalışırken, "işlem için proje tarafının imzası gerekiyor" deniliyor. Çift zincir köprüsü müşteri hizmetleri, unibtc'nin çift zincir için çok imzalı anahtarının proje tarafı tarafından yönetildiğini, izin olmadan çift zincir yapılamayacağını açıklıyor.
Proje tarafı başlangıçta ana paranın çekilmesine izin verebileceğini yanıtladı, ancak arbitrajdan elde edilen karın denetlenmesi gerektiğini belirtti. Ancak sonraki tutum belirsizleşti ve çeşitli bahanelerle geciktirildi. İki hafta süren müzakerelerin ardından, ilgili kişi sonunda olumlu bir yanıt aldı ve varlıklarını başarıyla geri aldı.
Bu bir istisna değil. Geri bildirimlere göre, geçen yıl bu proje de benzer yöntemlerle kullanıcıların unibtc çıkış yollarını kesmiş. Teknik açıdan, bu tür merkeziyetçi kötü niyetli davranışların nasıl önlenmesi ve ortadan kaldırılması gerektiği?
Öncelikle, proje ekibi, ihraççı ve likidite sağlayıcı olarak doğal olarak ikincil piyasa çıkış yolu yetkisine sahiptir; bu yetkilerin kısıtlanması daha çok yönetişimle, teknik yöntemlerden ziyade bağımlıdır. İkincisi, köprü kullanıcılardan gelen talepleri reddettiğinde, unibtc'nin çoklu zincir dolaşım aşamasında teknik bir eksiklik olduğunu ortaya koyuyor - köprü oldukça merkezi.
Gerçekten güvenilen köprü, resmi makamların kullanıcıların çıkışını engelleyemeyeceğini garantilemelidir. Ancak bu durumda, proje ekibi ve çapraz zincir köprüsü güçlü merkeziyetçi yetkilere sahiptir ve sansüre dayanıklı bir çıkış kanalı sunmamaktadır.
Benzer vakalar oldukça yaygındır. Büyük borsaların kullanıcıların çıkış yollarını kesmesi sıkça yaşanan bir durumdur. Haziran 2022'de, bir çoklu zincir köprüsü siber saldırı nedeniyle 57 varlığın çekimini durdurdu. 2021'de, bir stablecoin projesi ayrılmış bir açığı kullanarak 24 milyon doları kendi kendine çaldı. Tüm bunlar, varlık yönetim platformları güvenilir olmayan hizmetler sunamazsa, sonunda kötü sonuçlar doğuracağını göstermektedir.
Ancak, güvensizliği sağlamak kolay bir iş değildir. Ödeme kanallarından, DLC'lerden BitVM'e ve ZK Rollup'a kadar çeşitli çözümler kaçınılmaz kusurlar taşımaktadır. Örneğin, ödeme kanalları rakibi izlemeyi gerektirirken, DLC'ler oracle'lara bağımlıdır, BitVM yüksek maliyetlidir ve diğer güven varsayımlarını barındırır, ZK Rollup'ın kurtarma kabini uzun bir bekleme süresine ihtiyaç duyar ve maliyeti yüksektir.
Şu anda mükemmel bir varlık suç ortağı ve çıkış planı ortaya çıkmadı, piyasanın yenilik yapmaya devam etmesi gerekiyor. Şimdi, maliyet, güvenlik, kullanıcı deneyimi gibi alanlarda denge sağlayarak TEE, ZK ve MPC'yi birleştiren bir güvenilir olmayan mesaj doğrulama çözümünü tanıtacağım. Bu, çeşitli varlık suç ortaklığı senaryoları için güvenilir bir altyapı hizmeti sunabilir.
CRVA: Kripto Rastgele Doğrulama Ağı
Şu anda yaygın olarak kullanılan varlık yönetim çözümleri, varlık transfer taleplerinin geçerliliğini belirlemek için genellikle çoklu imza veya MPC/TSS kullanmaktadır. Bu tür çözümler, uygulanması kolay, düşük maliyetli ve hızlı doğrulama sağlar, ancak güvenlik açısından yetersizdir ve merkezileşme eğilimindedir. 2023 yılında bir çapraz zincir projesi örneğinde, 21 MPC hesaplama düğümü tek bir kişi tarafından kontrol edildi, bu da yüzeydeki çoklu düğümlerin yüksek bir merkeziyetsizlik garantisi sağlamadığını göstermektedir.
Geleneksel çözümlerin eksikliklerine karşı CRVA bir dizi iyileştirme yaptı:
Varlık teminat kabulü ile, yaklaşık 500 düğüme ulaştıktan sonra ana ağı başlatmayı planlıyoruz, teminat varlıklarının on milyonlarca dolar veya daha yüksek seviyelerde kalması bekleniyor.
Çekiliş algoritması ile rastgele doğrulama düğümleri seçilir, her yarım saatte 10 düğüm kullanıcı taleplerini doğrulamak ve eşik imzası oluşturmak için çekilir.
Çekiliş algoritması, dış gözlemi engellemek için kazananın kimliğini gizlemek amacıyla özgün dairesel VRF kullanır ve ZK ile birleştirir.
Tüm düğüm çekirdek kodları TEE donanım ortamında çalışır, böylece komplo olasılığı daha da azaltılır.
CRVA ağının spesifik çalışma süreci aşağıdaki gibidir:
Düğüm ağa katılmadan önce zincir üzerinde varlık teminatı bırakmalı ve kayıt bilgisi olarak "kalıcı anahtar" bırakmalıdır.
Her saat rastgele düğümler seçilir. Adaylar önce tek kullanımlık "geçici anahtar" ve ZKP üretir, "kalıcı anahtar" ile ilişkili olduğunu kanıtlar ancak kimliğini ifşa etmez.
"Geçici Anahtar" kullanarak gizliliği koruyun, kazananların kimliğinin doğrudan ifşa edilmesini önleyin.
Geçici özel anahtar, düğüm TEE ortamında üretilir, TEE'yi çalıştıran düğüm süreci göremez.
TEE içinde geçici genel anahtar şifrelenip dışarıya gönderilir, yalnızca belirli Relayer düğümleri bunu geri alabilir. Geri alma işlemi de Relayer'ın TEE'si içinde tamamlanır.
Relayer, tüm geçici kamu anahtarlarını toplar ve zincir üzerindeki VRF fonksiyonuna göndererek kazananları seçer, kazananlar işlem talebini doğrular ve eşik imzası oluşturur.
Çekiliş sonuçları duyurulduktan sonra, her düğüm TEE çekirdeğinde seçilip seçilmediğini kontrol eder.
Bu sistemin temelinde, önemli etkinliklerin TEE donanımında gerçekleştirilmesi ve dışarıdan gözlemlenememesi yatmaktadır. Her düğüm kimin seçildiğini bilmez, bu da kötü niyetli işbirliğini engeller ve dış saldırı maliyetlerini artırır. Teorik olarak, tüm ağa saldırmak çok daha zor hale gelir.
CRVA'nın varlık kendine ait saklama çözümünü uygulamak
Aşağıda HelloBTU adı verilen Bitcoin algoritması stabil coin'i örnek alarak, CRVA'nın varlık yönetimindeki uygulanışını açıklayacağız.
HelloBTU'nun akıllı sözleşmesi Ethereum üzerinde dağıtılmıştır. Kullanıcılar BTC'lerini belirtilen adrese yatırarak resmi köprü aracılığıyla Ethereum'a geçer ve Stabil Hesaplama akıllı sözleşmesi ile etkileşime geçer.
Kullanıcının 10 BTC stake ettiğini varsayalım, belirli işlem BTC'yi Bitcoin ağı üzerindeki Taproot adresine aktarmaktır, kilidin açılması 2/2 çoklu imza gerektirir, biri kullanıcı tarafından oluşturulmuş, diğeri CRVA tarafından oluşturulmuştur.
Olası durumlar:
Kullanıcının aktif olarak geri alması: Kullanıcı ve CRVA, BTC'yi açmak için bir imza üretir. Eğer CRVA uzun süre iş birliği yapmazsa, zaman kilidi sona erdikten sonra kullanıcı BTC'yi tek taraflı olarak geri alabilir.
BTC tasfiye edildi: Kullanıcıların BTC'yi CRVA tek yönlü kanala transfer etmesi için CRVA ile işbirliği yapması gerekmektedir. Eğer kullanıcı işbirliği yapmazsa, bekleme süresi dolduktan sonra CRVA BTC'yi transfer edebilir.
CRVA tek yönlü kanal: Likidatör, çekim talebinde bulunabilir, CRVA onaylandıktan sonra imzayı likidatöre gönderir. Eğer CRVA uzun süre yanıt vermezse, zaman kilidi süresi dolduğunda BTC DAO kontrol adresine aktarılır.
ERC-20 varlıkları için prensip benzerdir. Eğer unibtc köprü, bu kendi kendine yönetim çözümünü benimserse, varlık ihraç eden tarafın durumu tek taraflı olarak kontrol etmesi zor olacaktır.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Merkeziyetsizlik kendi kendine saklama çözümü CRVA: şifreleme varlıklarını kötü niyetli dondurmadan korur.
unibtc dondurma olayından güven gerektirmeyen hizmetin önemini anlama
2025 Nisan'ında, bir internet kullanıcısı sosyal medya platformunda yardım istedi ve belirli bir Bitcoin Layer2 zincirinde arbitraj yaparken 100.000 ABD dolarından fazla unibtc varlığının sıkıştığını ve çıkamadığını belirtti.
Tarafların verdiği bilgilere göre, unibtc'nin bu zincirde fiyat anomalisine neden olduğunu ve BTC'den ayrıldığını fark etti. Bu durumun bir arbitraj fırsatı sunduğunu düşündü, bu yüzden bir miktar BTC'yi bu zincire geçirdi, unibtc ile değiştirdi ve geri bağlandığında satmayı bekledi.
unibtc, 24 saat içinde geri bağlanıyor, ancak taraf satmaya çalıştığında likidite havuzunun kaldırıldığını ve çıkış yapamadığını fark ediyor. unibtc'yi diğer zincirlere geçirmeye çalışırken, "işlem için proje tarafının imzası gerekiyor" deniliyor. Çift zincir köprüsü müşteri hizmetleri, unibtc'nin çift zincir için çok imzalı anahtarının proje tarafı tarafından yönetildiğini, izin olmadan çift zincir yapılamayacağını açıklıyor.
Proje tarafı başlangıçta ana paranın çekilmesine izin verebileceğini yanıtladı, ancak arbitrajdan elde edilen karın denetlenmesi gerektiğini belirtti. Ancak sonraki tutum belirsizleşti ve çeşitli bahanelerle geciktirildi. İki hafta süren müzakerelerin ardından, ilgili kişi sonunda olumlu bir yanıt aldı ve varlıklarını başarıyla geri aldı.
Bu bir istisna değil. Geri bildirimlere göre, geçen yıl bu proje de benzer yöntemlerle kullanıcıların unibtc çıkış yollarını kesmiş. Teknik açıdan, bu tür merkeziyetçi kötü niyetli davranışların nasıl önlenmesi ve ortadan kaldırılması gerektiği?
Öncelikle, proje ekibi, ihraççı ve likidite sağlayıcı olarak doğal olarak ikincil piyasa çıkış yolu yetkisine sahiptir; bu yetkilerin kısıtlanması daha çok yönetişimle, teknik yöntemlerden ziyade bağımlıdır. İkincisi, köprü kullanıcılardan gelen talepleri reddettiğinde, unibtc'nin çoklu zincir dolaşım aşamasında teknik bir eksiklik olduğunu ortaya koyuyor - köprü oldukça merkezi.
Gerçekten güvenilen köprü, resmi makamların kullanıcıların çıkışını engelleyemeyeceğini garantilemelidir. Ancak bu durumda, proje ekibi ve çapraz zincir köprüsü güçlü merkeziyetçi yetkilere sahiptir ve sansüre dayanıklı bir çıkış kanalı sunmamaktadır.
Benzer vakalar oldukça yaygındır. Büyük borsaların kullanıcıların çıkış yollarını kesmesi sıkça yaşanan bir durumdur. Haziran 2022'de, bir çoklu zincir köprüsü siber saldırı nedeniyle 57 varlığın çekimini durdurdu. 2021'de, bir stablecoin projesi ayrılmış bir açığı kullanarak 24 milyon doları kendi kendine çaldı. Tüm bunlar, varlık yönetim platformları güvenilir olmayan hizmetler sunamazsa, sonunda kötü sonuçlar doğuracağını göstermektedir.
Ancak, güvensizliği sağlamak kolay bir iş değildir. Ödeme kanallarından, DLC'lerden BitVM'e ve ZK Rollup'a kadar çeşitli çözümler kaçınılmaz kusurlar taşımaktadır. Örneğin, ödeme kanalları rakibi izlemeyi gerektirirken, DLC'ler oracle'lara bağımlıdır, BitVM yüksek maliyetlidir ve diğer güven varsayımlarını barındırır, ZK Rollup'ın kurtarma kabini uzun bir bekleme süresine ihtiyaç duyar ve maliyeti yüksektir.
Şu anda mükemmel bir varlık suç ortağı ve çıkış planı ortaya çıkmadı, piyasanın yenilik yapmaya devam etmesi gerekiyor. Şimdi, maliyet, güvenlik, kullanıcı deneyimi gibi alanlarda denge sağlayarak TEE, ZK ve MPC'yi birleştiren bir güvenilir olmayan mesaj doğrulama çözümünü tanıtacağım. Bu, çeşitli varlık suç ortaklığı senaryoları için güvenilir bir altyapı hizmeti sunabilir.
CRVA: Kripto Rastgele Doğrulama Ağı
Şu anda yaygın olarak kullanılan varlık yönetim çözümleri, varlık transfer taleplerinin geçerliliğini belirlemek için genellikle çoklu imza veya MPC/TSS kullanmaktadır. Bu tür çözümler, uygulanması kolay, düşük maliyetli ve hızlı doğrulama sağlar, ancak güvenlik açısından yetersizdir ve merkezileşme eğilimindedir. 2023 yılında bir çapraz zincir projesi örneğinde, 21 MPC hesaplama düğümü tek bir kişi tarafından kontrol edildi, bu da yüzeydeki çoklu düğümlerin yüksek bir merkeziyetsizlik garantisi sağlamadığını göstermektedir.
Geleneksel çözümlerin eksikliklerine karşı CRVA bir dizi iyileştirme yaptı:
Varlık teminat kabulü ile, yaklaşık 500 düğüme ulaştıktan sonra ana ağı başlatmayı planlıyoruz, teminat varlıklarının on milyonlarca dolar veya daha yüksek seviyelerde kalması bekleniyor.
Çekiliş algoritması ile rastgele doğrulama düğümleri seçilir, her yarım saatte 10 düğüm kullanıcı taleplerini doğrulamak ve eşik imzası oluşturmak için çekilir.
Çekiliş algoritması, dış gözlemi engellemek için kazananın kimliğini gizlemek amacıyla özgün dairesel VRF kullanır ve ZK ile birleştirir.
Tüm düğüm çekirdek kodları TEE donanım ortamında çalışır, böylece komplo olasılığı daha da azaltılır.
CRVA ağının spesifik çalışma süreci aşağıdaki gibidir:
Düğüm ağa katılmadan önce zincir üzerinde varlık teminatı bırakmalı ve kayıt bilgisi olarak "kalıcı anahtar" bırakmalıdır.
Her saat rastgele düğümler seçilir. Adaylar önce tek kullanımlık "geçici anahtar" ve ZKP üretir, "kalıcı anahtar" ile ilişkili olduğunu kanıtlar ancak kimliğini ifşa etmez.
"Geçici Anahtar" kullanarak gizliliği koruyun, kazananların kimliğinin doğrudan ifşa edilmesini önleyin.
Geçici özel anahtar, düğüm TEE ortamında üretilir, TEE'yi çalıştıran düğüm süreci göremez.
TEE içinde geçici genel anahtar şifrelenip dışarıya gönderilir, yalnızca belirli Relayer düğümleri bunu geri alabilir. Geri alma işlemi de Relayer'ın TEE'si içinde tamamlanır.
Relayer, tüm geçici kamu anahtarlarını toplar ve zincir üzerindeki VRF fonksiyonuna göndererek kazananları seçer, kazananlar işlem talebini doğrular ve eşik imzası oluşturur.
Çekiliş sonuçları duyurulduktan sonra, her düğüm TEE çekirdeğinde seçilip seçilmediğini kontrol eder.
Bu sistemin temelinde, önemli etkinliklerin TEE donanımında gerçekleştirilmesi ve dışarıdan gözlemlenememesi yatmaktadır. Her düğüm kimin seçildiğini bilmez, bu da kötü niyetli işbirliğini engeller ve dış saldırı maliyetlerini artırır. Teorik olarak, tüm ağa saldırmak çok daha zor hale gelir.
CRVA'nın varlık kendine ait saklama çözümünü uygulamak
Aşağıda HelloBTU adı verilen Bitcoin algoritması stabil coin'i örnek alarak, CRVA'nın varlık yönetimindeki uygulanışını açıklayacağız.
HelloBTU'nun akıllı sözleşmesi Ethereum üzerinde dağıtılmıştır. Kullanıcılar BTC'lerini belirtilen adrese yatırarak resmi köprü aracılığıyla Ethereum'a geçer ve Stabil Hesaplama akıllı sözleşmesi ile etkileşime geçer.
Kullanıcının 10 BTC stake ettiğini varsayalım, belirli işlem BTC'yi Bitcoin ağı üzerindeki Taproot adresine aktarmaktır, kilidin açılması 2/2 çoklu imza gerektirir, biri kullanıcı tarafından oluşturulmuş, diğeri CRVA tarafından oluşturulmuştur.
Olası durumlar:
Kullanıcının aktif olarak geri alması: Kullanıcı ve CRVA, BTC'yi açmak için bir imza üretir. Eğer CRVA uzun süre iş birliği yapmazsa, zaman kilidi sona erdikten sonra kullanıcı BTC'yi tek taraflı olarak geri alabilir.
BTC tasfiye edildi: Kullanıcıların BTC'yi CRVA tek yönlü kanala transfer etmesi için CRVA ile işbirliği yapması gerekmektedir. Eğer kullanıcı işbirliği yapmazsa, bekleme süresi dolduktan sonra CRVA BTC'yi transfer edebilir.
CRVA tek yönlü kanal: Likidatör, çekim talebinde bulunabilir, CRVA onaylandıktan sonra imzayı likidatöre gönderir. Eğer CRVA uzun süre yanıt vermezse, zaman kilidi süresi dolduğunda BTC DAO kontrol adresine aktarılır.
ERC-20 varlıkları için prensip benzerdir. Eğer unibtc köprü, bu kendi kendine yönetim çözümünü benimserse, varlık ihraç eden tarafın durumu tek taraflı olarak kontrol etmesi zor olacaktır.