Güvenilmeyen Varlıkların Yönetiminin Önemi: unibtc dondurma olayından başlayarak
2025 Nisan'ında, bir internet kullanıcısı sosyal medyada yardım istedi ve belirli bir Bitcoin ikinci katman ağında arbitraj işlemi yaparken 100.000 dolardan fazla unibtc varlığının sıkıştığını ve çıkamadığını belirtti.
Taraflardan edinilen bilgilere göre, 17 Nisan'da unibtc'nin belirli bir Bitcoin ikinci katman zincirinde fiyat anormallikleri gösterdiğini ve BTC'den ayrıldığını fark etti, bunun bir arbitraj fırsatı olduğunu düşündü. BTC'nin bir kısmını o zincire taşıdı, unibtc ile değiştirdi ve yeniden bağlanmayı bekleyerek sattı.
24 saat içinde unibtc geri bağlandı, ancak taraflar satmaya çalıştıklarında, zincirdeki tek unibtc-BTC likidite havuzunun kaldırıldığını fark ettiler. unibtc'yi satamadıkları için, bunu diğer zincirlere geçirmeye çalıştılar.
Ancak, o zincirdeki tek unibtc destekleyen köprüyü bulduğunda, "İşlem için proje ekip imzası yetkisi gereklidir" şeklinde bir uyarı aldı. Köprü müşteri hizmetleri, unibtc'nin köprü çoklu imza anahtarının proje ekibi tarafından yönetildiğini, izin olmadan kullanıcıların unibtc'yi diğer zincirlere çekemeyeceğini açıkladı.
Taraflar yalnızca proje ekibine danışabilir, karşı tarafın ilk yanıtı ana paranın çekilmesine izin verebileceği yönündeydi, ancak arbitrajdan elde edilen karın incelenmesi gerekmekteydi. Bu noktada, taraflar unibtc'nin çıkış yolunun kesildiğini fark etti ve yaklaşık 200.000 dolar değerindeki varlık "geçici olarak donduruldu".
Proje tarafının sonraki tutumu belirsizleşti ve çeşitli bahanelerle geciktirdi. İki haftalık müzakereden sonra, taraflar nihayet ilgili tarafın olumlu yanıtını aldı ve varlıkları başarıyla geri aldı.
Bu bir örnek değil. Geri bildirimlere göre, geçen yıl benzer bir olay yaşandı ve kullanıcıların unibtc'si "maddi olarak donduruldu". Bu makale olayın nedenini speküle etmemekte, sadece teknik açıdan bu tür merkeziyetsiz kötü niyetli davranışların nasıl önlenebileceğini tartışmaktadır.
Olayı yeniden gözden geçirdiğimizde, unibtc'nin ihraççı ve likidite sağlayıcısı olarak, projenin doğal olarak ikinci piyasa çıkış yoluna sahip olduğunu görebiliriz. Güçlerini sınırlamak için daha fazla yönetim yoluyla, teknik yöntemler yerine hareket etmek gerekmektedir.
Ancak, köprü projeye ait kişilerle işbirliği yaparak kullanıcı taleplerini reddetti ve unibtc'nin "ihraç - tek zincir dolaşımı - çok zincir dolaşımı" aşamalarında belirgin teknik açıklar olduğunu ortaya koydu: köprü açıkça yüksek derecede merkeziyetçi.
Gerçekten güvenmeye gerek olmayan bir köprü, resmi makamların kullanıcıların çıkışını engelleyememesini sağlamalıdır; ancak unibtc vakasında ilgili taraflar güçlü merkeziyetçi yetkilere sahip olup, sansüre karşı bir çıkış yolu sunmamaktadır.
Benzer vakalar pek az değil. Büyük borsa kullanıcıların çıkış yollarını kesme olaylarını sıkça yaşatıyor, diğer projelerin merkeziyetçi yetkileri kullanma vakaları da az değil. Haziran 2022'de, bir köprü siber saldırı nedeniyle birçok varlık çekim kanalını durdurdu. 2021'de, bir proje sahibi, açıkta kalan bir güvenlik açığını kullanarak 24 milyon doları çaldı. Bu vakalar, varlık yönetim platformları güvenilir hizmet sunamazsa, bunun kötü sonuçlar doğuracağını göstermektedir.
Ancak, güvensiz bir gerçekleştirmenin sağlanması kolay değildir. Ödeme kanallarından sıfır bilgi kanıtlarına kadar, insanlar çeşitli çözümler denemiştir, bu çözümler büyük ölçüde kullanıcı özerkliğini güvence altına alıp, güvenilir varlık çekim yolları sunsa da, kaçınılmaz kusurlar hala mevcuttur.
Örneğin, ödeme kanalları karşı tarafın potansiyel kötü niyetli davranışlarını izlemelidir; diğer çözümler ise yüksek maliyetler ve oracle bağımlılığı gibi sorunlar taşımaktadır. Şu anda piyasada mükemmel bir varlık suç ortağı ve çıkış çözümü mevcut değildir; hala yenilik yapılması gerekmektedir.
Aşağıda bir varlık suç ortağı çözümünü örnek alarak, güvenilir yürütme ortamı, sıfır bilgi kanıtı ve çok taraflı hesaplamayı birleştiren bir güven gerektirmeyen mesaj doğrulama çözümü tanıtılmaktadır. Bu çözüm, maliyet, güvenlik, kullanıcı deneyimi gibi göstergelerde bir denge sağlamaktadır ve her türlü varlık suç ortağı senaryosuna güvenilir bir alt hizmet sunabilir.
Kripto Rastgele Doğrulama Ağı
Mevcut yaygın varlık yönetimi çözümleri genellikle varlık transfer taleplerinin geçerliliğini belirlemek için çoklu imza veya MPC/TSS kullanmaktadır. Bu tür çözümler, uygulanması kolay, düşük maliyetli ve hızlı doğrulama sağlarken, güvenlik açısından yetersizdir ve merkeziyetçiliğe eğilim göstermektedir. 2023 yılında bir örnekte, MPC hesaplamalarına katılan 21 düğümün tamamı tek bir kişi tarafından kontrol edilmiştir, bu tipik bir cadı avı saldırısıdır.
Geleneksel çözümlerin yetersizliğine karşı, bir kripto rastgele doğrulama ağı (CRVA) çözümünde iyileştirmeler yapmıştır:
Varlık teminat kabul şekli benimsenerek, yaklaşık 500 düğümün ardından ana ağ başlatılacak, düğüm teminat varlıklarının 10 milyon doların üzerinde kalması bekleniyor.
Çekiliş algoritması ile rastgele düğümleri doğrulayıcı olarak seçerek, kullanıcı taleplerini serbest bırakmak için eşik imza oluşturur. Komplo veya saldırıları önlemek için, çekiliş algoritması orijinal dairesel VRF kullanarak, sıfır bilgi kanıtı ile seçilen kişilerin kimliğini gizler.
Tüm düğüm çekirdek kodları güvenilir yürütme ortamında çalışır, komplo olasılığını daha da ortadan kaldırır.
CRVA ağı düğümleri arasında büyük miktarda yayın iletişimi ve bilgi değişimi yapılmaktadır, süreç aşağıdaki gibidir:
Düğüm, ağa girmeden önce zincir üzerinde varlıkları teminat olarak yatırır ve kayıt bilgisi olarak genel anahtar bırakır.
Her saat rastgele düğümler seçilir. Adaylar önce bir kez kullanımlık "geçici anahtar" oluşturur ve bunu sıfır bilgi kanıtı ile zincir üzerindeki "kalıcı anahtar" ile ilişkilendirdiğini kanıtlar.
"Geçici Anahtar" kullanarak gizliliği koruyun, kimlik ifşasını önleyin.
Geçici genel anahtar, düğümün güvenilir ortamında oluşturulur, düğüm kendisi bunu bilemez.
Şifrelenmiş geçici anahtarı belirli bir iletim düğümüne gönderin. İletim düğümü geri yükleme işlemi de güvenilir bir ortamda tamamlanır.
Ara düğüm, geçici genel anahtarları toplar ve zincir üzerindeki VRF fonksiyonu ile seçim yapar, kazanılanlar kullanıcı taleplerini doğrular ve eşik imzası oluşturur.
Bu sistemin özü, önemli etkinliklerin güvenilir donanım içinde gerçekleşmesidir; dışarıdan gözlemlenemez. Her düğüm doğrulayıcıların kimliğini bilmez, böylece iş birliği yaparak kötü niyetli hareketlerin önüne geçilir ve saldırı maliyetleri önemli ölçüde artırılır. Teorik olarak tüm ağa saldırmak, zorluk açısından önemli ölçüde artar.
CRVA'nın varlık kendi kendine saklama çözümü
Bir Bitcoin algoritması stabil coini örnek alarak, CRVA'nın varlık suç ortağı olarak uygulanmasını açıklayın:
Kullanıcı, BTC'yi belirtilen adrese yatırır, resmi köprü aracılığıyla Ethereum ağına geçer ve akıllı sözleşmelerle etkileşimde bulunur. Spesifik işlem, BTC'nin Bitcoin ağı üzerindeki Taproot adresine aktarılmasıdır; kilidi açmak için 2/2 çoklu imza gerekmektedir, bir imza kullanıcı tarafından oluşturulur, diğeri CRVA tarafından oluşturulur.
Ana durumlar şunlardır:
Kullanıcının aktif olarak geri alması: Kullanıcı ve CRVA, BTC'yi serbest bırakmak için imza oluşturur. Eğer CRVA uzun süre işbirliği yapmazsa, zaman kilidi süresi dolduğunda kullanıcı BTC'yi tek taraflı olarak geri alabilir.
BTC likidasyona uğradı: Kullanıcıların BTC'yi CRVA'ya transfer etmeleri gerekmektedir. Kullanıcılar işbirliği yapmazsa, BTC geçici olarak hareket edemeyecektir; zaman kilidi süresi dolduktan sonra CRVA bunları tek yönlü kanala transfer edebilir.
CRVA tek yönlü kanaldan BTC çekimi: Likidatör talep başlatır, CRVA onayladıktan sonra imzayı likidatöre gönderir. Eğer CRVA uzun süre yanıt vermezse, zaman kilidi süresi dolduğunda BTC DAO kontrol adresine aktarılır ve çoklu imza ile sonraki işlem tetiklenir.
Yukarıda belirtilenler, bu tür bir çözümün tek bir varlığın tüm kontrolü ele geçirmesini etkili bir şekilde önleyebileceğini ve varlıklara daha güvenilir bir kendi kendine saklama hizmeti sağlayabileceğini göstermektedir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
20 Likes
Reward
20
8
Share
Comment
0/400
TokenGuru
· 07-31 13:56
Yine bir cesur enayiler nöbet tuttu.
View OriginalReply0
VibesOverCharts
· 07-31 12:54
Eğer oynayamıyorsan, arbitraj yapma.
View OriginalReply0
fomo_fighter
· 07-31 01:52
Yine bir enayiler kesildi.
View OriginalReply0
BearMarketHustler
· 07-30 03:35
又一韭被割啦~ insanları enayi yerine koymak不长记性!
View OriginalReply0
MEVEye
· 07-30 03:31
Hehe yeni enayiler insanları enayi yerine koymak bir hasat öyle mi?
View OriginalReply0
PerpetualLonger
· 07-30 03:28
Yine bir tuzağa mı düştün? Panik yapma, sonuçta btc asla ölmez, yavaş yavaş harcarız.
View OriginalReply0
ChainDetective
· 07-30 03:12
Açgözlülüğün getirdiği bela, gerçekten gereksiz.
View OriginalReply0
DancingCandles
· 07-30 03:09
fiyatı takip et Arbitraj+1, insanları enayi yerine koymak işte sen oldun
unibtc dondurma olayı takip et, güven gerektirmeyen varlık suç ortağı önemini tartışın
Güvenilmeyen Varlıkların Yönetiminin Önemi: unibtc dondurma olayından başlayarak
2025 Nisan'ında, bir internet kullanıcısı sosyal medyada yardım istedi ve belirli bir Bitcoin ikinci katman ağında arbitraj işlemi yaparken 100.000 dolardan fazla unibtc varlığının sıkıştığını ve çıkamadığını belirtti.
Taraflardan edinilen bilgilere göre, 17 Nisan'da unibtc'nin belirli bir Bitcoin ikinci katman zincirinde fiyat anormallikleri gösterdiğini ve BTC'den ayrıldığını fark etti, bunun bir arbitraj fırsatı olduğunu düşündü. BTC'nin bir kısmını o zincire taşıdı, unibtc ile değiştirdi ve yeniden bağlanmayı bekleyerek sattı.
24 saat içinde unibtc geri bağlandı, ancak taraflar satmaya çalıştıklarında, zincirdeki tek unibtc-BTC likidite havuzunun kaldırıldığını fark ettiler. unibtc'yi satamadıkları için, bunu diğer zincirlere geçirmeye çalıştılar.
Ancak, o zincirdeki tek unibtc destekleyen köprüyü bulduğunda, "İşlem için proje ekip imzası yetkisi gereklidir" şeklinde bir uyarı aldı. Köprü müşteri hizmetleri, unibtc'nin köprü çoklu imza anahtarının proje ekibi tarafından yönetildiğini, izin olmadan kullanıcıların unibtc'yi diğer zincirlere çekemeyeceğini açıkladı.
Taraflar yalnızca proje ekibine danışabilir, karşı tarafın ilk yanıtı ana paranın çekilmesine izin verebileceği yönündeydi, ancak arbitrajdan elde edilen karın incelenmesi gerekmekteydi. Bu noktada, taraflar unibtc'nin çıkış yolunun kesildiğini fark etti ve yaklaşık 200.000 dolar değerindeki varlık "geçici olarak donduruldu".
Proje tarafının sonraki tutumu belirsizleşti ve çeşitli bahanelerle geciktirdi. İki haftalık müzakereden sonra, taraflar nihayet ilgili tarafın olumlu yanıtını aldı ve varlıkları başarıyla geri aldı.
Bu bir örnek değil. Geri bildirimlere göre, geçen yıl benzer bir olay yaşandı ve kullanıcıların unibtc'si "maddi olarak donduruldu". Bu makale olayın nedenini speküle etmemekte, sadece teknik açıdan bu tür merkeziyetsiz kötü niyetli davranışların nasıl önlenebileceğini tartışmaktadır.
Olayı yeniden gözden geçirdiğimizde, unibtc'nin ihraççı ve likidite sağlayıcısı olarak, projenin doğal olarak ikinci piyasa çıkış yoluna sahip olduğunu görebiliriz. Güçlerini sınırlamak için daha fazla yönetim yoluyla, teknik yöntemler yerine hareket etmek gerekmektedir.
Ancak, köprü projeye ait kişilerle işbirliği yaparak kullanıcı taleplerini reddetti ve unibtc'nin "ihraç - tek zincir dolaşımı - çok zincir dolaşımı" aşamalarında belirgin teknik açıklar olduğunu ortaya koydu: köprü açıkça yüksek derecede merkeziyetçi.
Gerçekten güvenmeye gerek olmayan bir köprü, resmi makamların kullanıcıların çıkışını engelleyememesini sağlamalıdır; ancak unibtc vakasında ilgili taraflar güçlü merkeziyetçi yetkilere sahip olup, sansüre karşı bir çıkış yolu sunmamaktadır.
Benzer vakalar pek az değil. Büyük borsa kullanıcıların çıkış yollarını kesme olaylarını sıkça yaşatıyor, diğer projelerin merkeziyetçi yetkileri kullanma vakaları da az değil. Haziran 2022'de, bir köprü siber saldırı nedeniyle birçok varlık çekim kanalını durdurdu. 2021'de, bir proje sahibi, açıkta kalan bir güvenlik açığını kullanarak 24 milyon doları çaldı. Bu vakalar, varlık yönetim platformları güvenilir hizmet sunamazsa, bunun kötü sonuçlar doğuracağını göstermektedir.
Ancak, güvensiz bir gerçekleştirmenin sağlanması kolay değildir. Ödeme kanallarından sıfır bilgi kanıtlarına kadar, insanlar çeşitli çözümler denemiştir, bu çözümler büyük ölçüde kullanıcı özerkliğini güvence altına alıp, güvenilir varlık çekim yolları sunsa da, kaçınılmaz kusurlar hala mevcuttur.
Örneğin, ödeme kanalları karşı tarafın potansiyel kötü niyetli davranışlarını izlemelidir; diğer çözümler ise yüksek maliyetler ve oracle bağımlılığı gibi sorunlar taşımaktadır. Şu anda piyasada mükemmel bir varlık suç ortağı ve çıkış çözümü mevcut değildir; hala yenilik yapılması gerekmektedir.
Aşağıda bir varlık suç ortağı çözümünü örnek alarak, güvenilir yürütme ortamı, sıfır bilgi kanıtı ve çok taraflı hesaplamayı birleştiren bir güven gerektirmeyen mesaj doğrulama çözümü tanıtılmaktadır. Bu çözüm, maliyet, güvenlik, kullanıcı deneyimi gibi göstergelerde bir denge sağlamaktadır ve her türlü varlık suç ortağı senaryosuna güvenilir bir alt hizmet sunabilir.
Kripto Rastgele Doğrulama Ağı
Mevcut yaygın varlık yönetimi çözümleri genellikle varlık transfer taleplerinin geçerliliğini belirlemek için çoklu imza veya MPC/TSS kullanmaktadır. Bu tür çözümler, uygulanması kolay, düşük maliyetli ve hızlı doğrulama sağlarken, güvenlik açısından yetersizdir ve merkeziyetçiliğe eğilim göstermektedir. 2023 yılında bir örnekte, MPC hesaplamalarına katılan 21 düğümün tamamı tek bir kişi tarafından kontrol edilmiştir, bu tipik bir cadı avı saldırısıdır.
Geleneksel çözümlerin yetersizliğine karşı, bir kripto rastgele doğrulama ağı (CRVA) çözümünde iyileştirmeler yapmıştır:
Varlık teminat kabul şekli benimsenerek, yaklaşık 500 düğümün ardından ana ağ başlatılacak, düğüm teminat varlıklarının 10 milyon doların üzerinde kalması bekleniyor.
Çekiliş algoritması ile rastgele düğümleri doğrulayıcı olarak seçerek, kullanıcı taleplerini serbest bırakmak için eşik imza oluşturur. Komplo veya saldırıları önlemek için, çekiliş algoritması orijinal dairesel VRF kullanarak, sıfır bilgi kanıtı ile seçilen kişilerin kimliğini gizler.
Tüm düğüm çekirdek kodları güvenilir yürütme ortamında çalışır, komplo olasılığını daha da ortadan kaldırır.
CRVA ağı düğümleri arasında büyük miktarda yayın iletişimi ve bilgi değişimi yapılmaktadır, süreç aşağıdaki gibidir:
Düğüm, ağa girmeden önce zincir üzerinde varlıkları teminat olarak yatırır ve kayıt bilgisi olarak genel anahtar bırakır.
Her saat rastgele düğümler seçilir. Adaylar önce bir kez kullanımlık "geçici anahtar" oluşturur ve bunu sıfır bilgi kanıtı ile zincir üzerindeki "kalıcı anahtar" ile ilişkilendirdiğini kanıtlar.
"Geçici Anahtar" kullanarak gizliliği koruyun, kimlik ifşasını önleyin.
Geçici genel anahtar, düğümün güvenilir ortamında oluşturulur, düğüm kendisi bunu bilemez.
Şifrelenmiş geçici anahtarı belirli bir iletim düğümüne gönderin. İletim düğümü geri yükleme işlemi de güvenilir bir ortamda tamamlanır.
Ara düğüm, geçici genel anahtarları toplar ve zincir üzerindeki VRF fonksiyonu ile seçim yapar, kazanılanlar kullanıcı taleplerini doğrular ve eşik imzası oluşturur.
Bu sistemin özü, önemli etkinliklerin güvenilir donanım içinde gerçekleşmesidir; dışarıdan gözlemlenemez. Her düğüm doğrulayıcıların kimliğini bilmez, böylece iş birliği yaparak kötü niyetli hareketlerin önüne geçilir ve saldırı maliyetleri önemli ölçüde artırılır. Teorik olarak tüm ağa saldırmak, zorluk açısından önemli ölçüde artar.
CRVA'nın varlık kendi kendine saklama çözümü
Bir Bitcoin algoritması stabil coini örnek alarak, CRVA'nın varlık suç ortağı olarak uygulanmasını açıklayın:
Kullanıcı, BTC'yi belirtilen adrese yatırır, resmi köprü aracılığıyla Ethereum ağına geçer ve akıllı sözleşmelerle etkileşimde bulunur. Spesifik işlem, BTC'nin Bitcoin ağı üzerindeki Taproot adresine aktarılmasıdır; kilidi açmak için 2/2 çoklu imza gerekmektedir, bir imza kullanıcı tarafından oluşturulur, diğeri CRVA tarafından oluşturulur.
Ana durumlar şunlardır:
Kullanıcının aktif olarak geri alması: Kullanıcı ve CRVA, BTC'yi serbest bırakmak için imza oluşturur. Eğer CRVA uzun süre işbirliği yapmazsa, zaman kilidi süresi dolduğunda kullanıcı BTC'yi tek taraflı olarak geri alabilir.
BTC likidasyona uğradı: Kullanıcıların BTC'yi CRVA'ya transfer etmeleri gerekmektedir. Kullanıcılar işbirliği yapmazsa, BTC geçici olarak hareket edemeyecektir; zaman kilidi süresi dolduktan sonra CRVA bunları tek yönlü kanala transfer edebilir.
CRVA tek yönlü kanaldan BTC çekimi: Likidatör talep başlatır, CRVA onayladıktan sonra imzayı likidatöre gönderir. Eğer CRVA uzun süre yanıt vermezse, zaman kilidi süresi dolduğunda BTC DAO kontrol adresine aktarılır ve çoklu imza ile sonraki işlem tetiklenir.
Yukarıda belirtilenler, bu tür bir çözümün tek bir varlığın tüm kontrolü ele geçirmesini etkili bir şekilde önleyebileceğini ve varlıklara daha güvenilir bir kendi kendine saklama hizmeti sağlayabileceğini göstermektedir.