Varlık suç ortağı yeni çözümü: Merkeziyetsizlik ve güvensizlik dengesi
2025 yılının Nisan ayında, bir internet kullanıcısı sosyal medyada yardım istedi ve belirli bir Bitcoin Layer2 zincirinde arbitraj yaparken, değeri 100.000 doları aşan unibtc varlıklarının sıkıştığını ve çıkamadığını belirtti.
Tarafların verdiği bilgilere göre, 17 Nisan'da bu Layer2 zincirinde unibtc'nin fiyatında anormallikler fark etti ve BTC ile bağının kopmuş olduğunu düşündü. Arbitraj fırsatı olduğunu düşünerek BTC'yi bu zincire aktararak unibtc ile değiştirdi. 24 saat içinde unibtc tekrar bağlandı, ancak satmaya çalıştığında zincirdeki tek unibtc-BTC likidite havuzunun kaldırıldığını fark etti.
Diğer zincirlere unibtc'yi aktarmaya çalışan kişi, "İşlem için proje ekibinin imza yetkisi gerekmektedir" şeklinde bilgilendirildi. Çapraz zincir köprüsü müşteri hizmetleri, unibtc'nin çapraz zincir çoklu imza anahtarının proje ekibi tarafından yönetildiğini, kullanıcıların izinsiz olarak bunu diğer zincirlere aktaramayacağını açıkladı.
Proje tarafının ilk yanıtı, anaparanın çekilmesine izin verilebileceği, ancak arbitrajdan elde edilen kârların denetimden geçmesi gerektiğiydi. Ancak sonrasında tutum belirsizleşti ve çeşitli bahanelerle geciktirildi. İki haftalık müzakereden sonra, ilgili taraf nihayet olumlu bir yanıt aldı ve varlıklarını başarıyla geri aldı.
Bu bir istisna değil. Geri bildirimlere göre, geçen yıl da benzer bir olay yaşanmış ve kullanıcıların unibtc'si "maddi olarak dondurulmuş". Bu makale, bu tür merkeziyetsizlik kötü niyetli davranışlarını nasıl önleyeceğini teknik açıdan araştıracaktır.
Öncelikle, ihraççı ve başlangıç likidite sağlayıcısı olarak, proje ekibi ikincil piyasa çıkış yoluna doğal bir yetkiye sahiptir; bu güç daha çok yönetişimle, teknik yöntemlerle kısıtlanmalıdır. Ancak, köprülerin kullanıcı taleplerini reddetmesi belirgin bir teknik açığı ortaya koymaktadır - yüksek merkeziyetçilik.
Gerçekten güven gerektirmeyen köprüler, resmi makamların kullanıcıların çıkışını engelleyemeyeceğini garanti etmelidir. Ancak, kullanıcıların çıkış yollarının kesilmesi, çeşitli platformlarda sıkça rastlanan bir durumdur. Haziran 2022'de, bir çapraz zincir köprüsü, hacker saldırısına uğradığı için birçok varlığın çekim kanallarını durdurdu; 2021'deki bir stabilcoin projesinde ise, bir açık kullanılarak 24 milyon dolar çalındı. Bu vakalar, varlık suç ortağı platformları güven gerektirmeyen hizmetler sunamazsa, sonunda kötü sonuçlar doğuracağını göstermektedir.
Güven gerektirmeyen bir uygulama gerçekleştirmek kolay değildir. Ödeme kanallarından sıfır bilgi kanıtlarına kadar, çeşitli çözümlerin kaçınılmaz kusurları bulunmaktadır. Şu anda mükemmel bir varlık suç ortağı ve çıkış çözümü ortaya çıkmamıştır; piyasanın hala yeniliklere ihtiyacı var. Aşağıda, güvenilir yürütme ortamı, sıfır bilgi kanıtı ve çok taraflı hesaplamayı birleştiren bir güven gerektirmeyen mesaj doğrulama çözümünü tanıtacak, maliyet, güvenlik ve kullanıcı deneyimi gibi alanlarda denge sağlamaya çalışacaktır.
Mevcut olarak yaygın bir şekilde uygulanan varlık yönetim çözümleri genellikle çoklu imza veya MPC/TSS kullanarak varlık transfer taleplerinin geçerliliğini belirlemektedir. Bu tür çözümler uygulama açısından basit, maliyet açısından düşük ve doğrulama hızı yüksek olmasına rağmen, güvenlik açısından yetersizdir ve merkeziyetsizliğe eğilim gösterebilir. 2023 yılında gerçekleşen bir çapraz zincir köprüsü olayında, MPC hesaplamalarına katılan 21 düğümün tamamı bir kişi tarafından kontrol edilmektedir; bu durum, yüzeydeki çok sayıda düğümün yüksek bir merkeziyetsizlik garantisi sağlamadığını açıkça göstermektedir.
Geleneksel çözümlerin eksikliklerine karşı, yeni CRVA çözümü geliştirmeler yapmıştır:
Varlık teminatına dayalı kabul sistemi benimseme, ana ağın başlatılması için yaklaşık 500 düğüm gerekecek, teminat varlıklarının değeri tahminen on milyonlarca dolarda veya daha yüksek bir seviyede kalacaktır.
Kullanıcı taleplerini doğrulamak ve eşik imzası oluşturmak için her yarım saatte bir 10 düğüm seçmek üzere çekiliş algoritmasını kullanarak doğrulama düğümlerini rastgele seçin.
Çekiliş algoritması, seçilen kişilerin kimliğini gizlemek için dairesel VRF ile sıfır bilgi kanıtını birleştirir.
Tüm düğüm çekirdek kodu güvenilir yürütme ortamında çalışır, daha fazla komployu önler.
Çalışma süreci aşağıdaki gibidir:
Düğüm, ağa girmeden önce zincir üzerinde varlıkları teminat gösterir ve "kalıcı anahtar" bırakır.
Her saat, tüm adaylar "geçici anahtar" ve sıfır bilgi kanıtı üretir, bu da kalıcı anahtar ile ilişkilendirildiğini kanıtlar.
Geçici anahtar kümesinden doğrulayıcıyı seçin, gizliliği koruyun.
Geçici genel anahtar TEE içinde üretilir, düğüm kendisi de içeriği bilmez.
Geçici özel anahtar, belirli bir Relayer düğümüne şifrelenip gönderilir.
Relayer, geçici kamu anahtarını zincir üzerindeki VRF seçilmiş doğrulayıcıya sunar.
Yayınlanan çekiliş sonuçları, her düğüm TEE çekirdeğinde seçilip seçilmediğini kontrol eder.
Bu sistemin temelinde önemli etkinliklerin TEE içinde gerçekleştirilmesi, dışarıdan gözlemlenememesi yatmaktadır. Her bir düğüm kimin seçildiğini bilmemekte, bu da kötü niyetli işbirliğini engellemekte ve saldırı maliyetlerini artırmaktadır. Bu komiteyi hedef almak için teorik olarak tüm ağı hedef almak gerekecektir, bu da zorluğu büyük ölçüde artırır.
Varlık kendi kendine saklama çözümü
Bir Bitcoin algoritması stabilcoin örneği olarak, akıllı sözleşmesi Ethereum üzerinde dağıtılmıştır. Kullanıcı, BTC'yi belirlenen bir adrese yatırır, resmi köprü üzerinden Ethereum'a geçtikten sonra akıllı sözleşme ile etkileşime geçer.
Belirli işlem, BTC'nin Bitcoin ağı üzerindeki Taproot adresine aktarılmasıdır, kilidin açılması kullanıcı ve CRVA'nın 2/2 çoklu imzasını gerektirir. Ana durumlar şunlardır:
Kullanıcı aktif olarak geri alma: Taraflar her biri bir imza oluşturarak BTC'yi kilidini açar. Eğer CRVA uzun süre işbirliği yapmazsa, zaman kilidi süresi dolduktan sonra kullanıcı tek taraflı olarak geri alabilir.
Teminat Tasfiyesi: Kullanıcı, CRVA'nın BTC'yi transfer etmesine yardımcı olmalıdır. Eğer işbirliği yapmayı reddederse, BTC geçici olarak kilitlenir; zaman kilidi süresi dolduktan sonra CRVA bunu tek yönlü kanala aktarabilir.
CRVA tek yönlü kanal: Likidatör, çekim talebinde bulunabilir, CRVA onaylandıktan sonra imzalı transfer oluşturur. Eğer CRVA uzun bir süre yanıt vermezse, BTC DAO kontrolündeki bir adrese transfer edilir.
ERC-20 varlıkları için, ilke benzer. Bu yöntemi kullanarak, varlık ihraç eden tarafın durumu tek taraflı olarak kontrol etmesinin önüne geçilebilir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
22 Likes
Reward
22
7
Share
Comment
0/400
FancyResearchLab
· 07-18 02:55
Teori çok güzel, önce bir acemi olarak gideyim.
View OriginalReply0
SignatureCollector
· 07-17 22:17
Merkezi platform hemen ölsün
View OriginalReply0
GateUser-0717ab66
· 07-16 05:59
Merkezi platformlar hala kullanılabilir mi? Daha kötü.
View OriginalReply0
SmartContractWorker
· 07-15 05:58
Yıkıl! Merkezileşme
View OriginalReply0
TideReceder
· 07-15 05:55
Bakmayı seven gerçek kahramandır...
View OriginalReply0
FUDwatcher
· 07-15 05:51
Ah, bu işin birisi tarafından çoktan kontrol edilmesi gerekiyordu.
View OriginalReply0
TokenEconomist
· 07-15 05:50
aslında, bu crva meselesi sadece uygulamalı oyun teorisi 101'dir
CRVA Ağı: Merkeziyetsiz Varlık Suç Ortağı için Yenilikçi Çözüm
Varlık suç ortağı yeni çözümü: Merkeziyetsizlik ve güvensizlik dengesi
2025 yılının Nisan ayında, bir internet kullanıcısı sosyal medyada yardım istedi ve belirli bir Bitcoin Layer2 zincirinde arbitraj yaparken, değeri 100.000 doları aşan unibtc varlıklarının sıkıştığını ve çıkamadığını belirtti.
Tarafların verdiği bilgilere göre, 17 Nisan'da bu Layer2 zincirinde unibtc'nin fiyatında anormallikler fark etti ve BTC ile bağının kopmuş olduğunu düşündü. Arbitraj fırsatı olduğunu düşünerek BTC'yi bu zincire aktararak unibtc ile değiştirdi. 24 saat içinde unibtc tekrar bağlandı, ancak satmaya çalıştığında zincirdeki tek unibtc-BTC likidite havuzunun kaldırıldığını fark etti.
Diğer zincirlere unibtc'yi aktarmaya çalışan kişi, "İşlem için proje ekibinin imza yetkisi gerekmektedir" şeklinde bilgilendirildi. Çapraz zincir köprüsü müşteri hizmetleri, unibtc'nin çapraz zincir çoklu imza anahtarının proje ekibi tarafından yönetildiğini, kullanıcıların izinsiz olarak bunu diğer zincirlere aktaramayacağını açıkladı.
Proje tarafının ilk yanıtı, anaparanın çekilmesine izin verilebileceği, ancak arbitrajdan elde edilen kârların denetimden geçmesi gerektiğiydi. Ancak sonrasında tutum belirsizleşti ve çeşitli bahanelerle geciktirildi. İki haftalık müzakereden sonra, ilgili taraf nihayet olumlu bir yanıt aldı ve varlıklarını başarıyla geri aldı.
Bu bir istisna değil. Geri bildirimlere göre, geçen yıl da benzer bir olay yaşanmış ve kullanıcıların unibtc'si "maddi olarak dondurulmuş". Bu makale, bu tür merkeziyetsizlik kötü niyetli davranışlarını nasıl önleyeceğini teknik açıdan araştıracaktır.
Öncelikle, ihraççı ve başlangıç likidite sağlayıcısı olarak, proje ekibi ikincil piyasa çıkış yoluna doğal bir yetkiye sahiptir; bu güç daha çok yönetişimle, teknik yöntemlerle kısıtlanmalıdır. Ancak, köprülerin kullanıcı taleplerini reddetmesi belirgin bir teknik açığı ortaya koymaktadır - yüksek merkeziyetçilik.
Gerçekten güven gerektirmeyen köprüler, resmi makamların kullanıcıların çıkışını engelleyemeyeceğini garanti etmelidir. Ancak, kullanıcıların çıkış yollarının kesilmesi, çeşitli platformlarda sıkça rastlanan bir durumdur. Haziran 2022'de, bir çapraz zincir köprüsü, hacker saldırısına uğradığı için birçok varlığın çekim kanallarını durdurdu; 2021'deki bir stabilcoin projesinde ise, bir açık kullanılarak 24 milyon dolar çalındı. Bu vakalar, varlık suç ortağı platformları güven gerektirmeyen hizmetler sunamazsa, sonunda kötü sonuçlar doğuracağını göstermektedir.
Güven gerektirmeyen bir uygulama gerçekleştirmek kolay değildir. Ödeme kanallarından sıfır bilgi kanıtlarına kadar, çeşitli çözümlerin kaçınılmaz kusurları bulunmaktadır. Şu anda mükemmel bir varlık suç ortağı ve çıkış çözümü ortaya çıkmamıştır; piyasanın hala yeniliklere ihtiyacı var. Aşağıda, güvenilir yürütme ortamı, sıfır bilgi kanıtı ve çok taraflı hesaplamayı birleştiren bir güven gerektirmeyen mesaj doğrulama çözümünü tanıtacak, maliyet, güvenlik ve kullanıcı deneyimi gibi alanlarda denge sağlamaya çalışacaktır.
Kripto Rastgele Doğrulama Ağı: Merkeziyetsizlik Derecesini Artırma
Mevcut olarak yaygın bir şekilde uygulanan varlık yönetim çözümleri genellikle çoklu imza veya MPC/TSS kullanarak varlık transfer taleplerinin geçerliliğini belirlemektedir. Bu tür çözümler uygulama açısından basit, maliyet açısından düşük ve doğrulama hızı yüksek olmasına rağmen, güvenlik açısından yetersizdir ve merkeziyetsizliğe eğilim gösterebilir. 2023 yılında gerçekleşen bir çapraz zincir köprüsü olayında, MPC hesaplamalarına katılan 21 düğümün tamamı bir kişi tarafından kontrol edilmektedir; bu durum, yüzeydeki çok sayıda düğümün yüksek bir merkeziyetsizlik garantisi sağlamadığını açıkça göstermektedir.
Geleneksel çözümlerin eksikliklerine karşı, yeni CRVA çözümü geliştirmeler yapmıştır:
Varlık teminatına dayalı kabul sistemi benimseme, ana ağın başlatılması için yaklaşık 500 düğüm gerekecek, teminat varlıklarının değeri tahminen on milyonlarca dolarda veya daha yüksek bir seviyede kalacaktır.
Kullanıcı taleplerini doğrulamak ve eşik imzası oluşturmak için her yarım saatte bir 10 düğüm seçmek üzere çekiliş algoritmasını kullanarak doğrulama düğümlerini rastgele seçin.
Çekiliş algoritması, seçilen kişilerin kimliğini gizlemek için dairesel VRF ile sıfır bilgi kanıtını birleştirir.
Tüm düğüm çekirdek kodu güvenilir yürütme ortamında çalışır, daha fazla komployu önler.
Çalışma süreci aşağıdaki gibidir:
Düğüm, ağa girmeden önce zincir üzerinde varlıkları teminat gösterir ve "kalıcı anahtar" bırakır.
Her saat, tüm adaylar "geçici anahtar" ve sıfır bilgi kanıtı üretir, bu da kalıcı anahtar ile ilişkilendirildiğini kanıtlar.
Geçici anahtar kümesinden doğrulayıcıyı seçin, gizliliği koruyun.
Geçici genel anahtar TEE içinde üretilir, düğüm kendisi de içeriği bilmez.
Geçici özel anahtar, belirli bir Relayer düğümüne şifrelenip gönderilir.
Relayer, geçici kamu anahtarını zincir üzerindeki VRF seçilmiş doğrulayıcıya sunar.
Yayınlanan çekiliş sonuçları, her düğüm TEE çekirdeğinde seçilip seçilmediğini kontrol eder.
Bu sistemin temelinde önemli etkinliklerin TEE içinde gerçekleştirilmesi, dışarıdan gözlemlenememesi yatmaktadır. Her bir düğüm kimin seçildiğini bilmemekte, bu da kötü niyetli işbirliğini engellemekte ve saldırı maliyetlerini artırmaktadır. Bu komiteyi hedef almak için teorik olarak tüm ağı hedef almak gerekecektir, bu da zorluğu büyük ölçüde artırır.
Varlık kendi kendine saklama çözümü
Bir Bitcoin algoritması stabilcoin örneği olarak, akıllı sözleşmesi Ethereum üzerinde dağıtılmıştır. Kullanıcı, BTC'yi belirlenen bir adrese yatırır, resmi köprü üzerinden Ethereum'a geçtikten sonra akıllı sözleşme ile etkileşime geçer.
Belirli işlem, BTC'nin Bitcoin ağı üzerindeki Taproot adresine aktarılmasıdır, kilidin açılması kullanıcı ve CRVA'nın 2/2 çoklu imzasını gerektirir. Ana durumlar şunlardır:
Kullanıcı aktif olarak geri alma: Taraflar her biri bir imza oluşturarak BTC'yi kilidini açar. Eğer CRVA uzun süre işbirliği yapmazsa, zaman kilidi süresi dolduktan sonra kullanıcı tek taraflı olarak geri alabilir.
Teminat Tasfiyesi: Kullanıcı, CRVA'nın BTC'yi transfer etmesine yardımcı olmalıdır. Eğer işbirliği yapmayı reddederse, BTC geçici olarak kilitlenir; zaman kilidi süresi dolduktan sonra CRVA bunu tek yönlü kanala aktarabilir.
CRVA tek yönlü kanal: Likidatör, çekim talebinde bulunabilir, CRVA onaylandıktan sonra imzalı transfer oluşturur. Eğer CRVA uzun bir süre yanıt vermezse, BTC DAO kontrolündeki bir adrese transfer edilir.
ERC-20 varlıkları için, ilke benzer. Bu yöntemi kullanarak, varlık ihraç eden tarafın durumu tek taraflı olarak kontrol etmesinin önüne geçilebilir.