Tầm quan trọng của việc quản lý tài sản không cần tin cậy: Bắt đầu từ sự kiện đóng băng unibtc
Vào tháng 4 năm 2025, một người dùng trên mạng xã hội đã kêu cứu, cho biết rằng tài sản unibtc trị giá hơn 100.000 đô la của mình đã bị mắc kẹt và không thể rút ra khi thực hiện các giao dịch chênh lệch giá trên một mạng lưới bitcoin layer 2 nào đó.
Theo thông tin từ người liên quan, vào ngày 17 tháng 4, anh phát hiện ra rằng unibtc có giá bất thường trên một chuỗi lớp hai của Bitcoin và đã tách rời khỏi BTC, cho rằng đây là một cơ hội arbitrage. Anh đã chuyển một phần BTC vào chuỗi đó, đổi nó lấy unibtc và chờ đợi để bán ra sau khi nó quay lại giá trị.
Trong vòng 24 giờ, unibtc đã được neo lại, nhưng khi bên liên quan cố gắng bán ra, phát hiện rằng bể thanh khoản unibtc-BTC duy nhất trên chuỗi đã bị rút bỏ. Anh ấy không thể bán unibtc và đã cố gắng chuyển nó sang các chuỗi khác.
Tuy nhiên, khi anh ấy tìm thấy cầu nối đa chuỗi duy nhất hỗ trợ unibtc trên chuỗi, anh nhận được thông báo rằng "giao dịch cần có chữ ký ủy quyền từ phía dự án". Dịch vụ khách hàng của cầu nối đa chuỗi giải thích rằng khóa đa ký của unibtc được bên dự án quản lý, người dùng không thể chuyển unibtc sang chuỗi khác mà không có sự cho phép.
Các bên chỉ có thể tìm đến phía dự án để hỏi, bên đó trả lời ban đầu có thể cho phép rút vốn gốc, nhưng lợi nhuận phát sinh từ việc chênh lệch giá cần phải được kiểm tra. Đến lúc này, các bên nhận ra rằng con đường thoát khỏi unibtc đã bị cắt đứt, khoảng 200.000 USD tài sản bị "đóng băng tạm thời".
Thái độ của bên dự án trở nên mơ hồ, kéo dài với nhiều lý do khác nhau. Sau hai tuần thương lượng, các bên liên quan cuối cùng đã phản hồi tích cực, thành công trong việc thu hồi tài sản.
Điều này không phải là trường hợp cá biệt. Theo phản hồi, năm ngoái cũng đã xảy ra sự kiện tương tự, dẫn đến việc unibtc của người dùng bị "đông phạm thực chất". Bài viết này không suy đoán về lý do của sự kiện, chỉ từ góc độ kỹ thuật thảo luận cách tránh những hành vi trung tâm độc hại như vậy.
Xem lại sự kiện này có thể thấy, với tư cách là bên phát hành unibtc và nhà cung cấp thanh khoản, dự án tự nhiên có quyền truy cập vào các kênh thoát khỏi thị trường thứ cấp. Để hạn chế quyền lực của họ, cần phải thông qua quản trị hơn là các biện pháp kỹ thuật.
Tuy nhiên, cầu nối chuỗi chéo đã thông đồng với bên dự án từ chối yêu cầu của người dùng, bộc lộ rõ ràng rằng unibtc có những thiếu sót kỹ thuật đáng kể trong giai đoạn "phát hành - lưu thông chuỗi đơn - lưu thông chuỗi đa": cầu nối chuỗi chéo rõ ràng là rất tập trung.
Cây cầu thực sự không cần tin cậy nên đảm bảo rằng chính quyền không thể ngăn cản người dùng thoát ra, trong khi trong trường hợp unibtc, các bên liên quan đều nắm giữ quyền lực tập trung mạnh mẽ và không cung cấp lối thoát chống kiểm duyệt.
Các trường hợp tương tự không phải là hiếm. Việc các sàn giao dịch cắt đứt con đường rút tiền của người dùng không phải là hiếm, và các dự án khác sử dụng quyền trung tâm cũng không ít. Vào tháng 6 năm 2022, một cầu nối chuỗi chéo đã tạm dừng nhiều kênh rút tài sản do bị tấn công bởi hacker. Năm 2021, một dự án đã tự đánh cắp 24 triệu đô la Mỹ thông qua việc khai thác lỗ hổng mà họ đã để lại. Những trường hợp này cho thấy, nếu nền tảng quản lý tài sản không thể cung cấp dịch vụ không cần tin cậy, cuối cùng sẽ dẫn đến hậu quả nghiêm trọng.
Tuy nhiên, việc đạt được sự không cần tin cậy không phải là điều dễ dàng. Từ kênh thanh toán đến chứng minh không biết, mọi người đã thử nghiệm nhiều giải pháp khác nhau, mặc dù phần lớn đảm bảo quyền tự chủ của người dùng và cung cấp kênh rút tài sản đáng tin cậy, nhưng vẫn còn những thiếu sót không thể tránh khỏi.
Ví dụ, kênh thanh toán cần giám sát hành vi ác ý tiềm ẩn của đối thủ, các giải pháp khác thì gặp phải vấn đề chi phí cao, phụ thuộc vào oracle. Hiện tại trên thị trường vẫn chưa xuất hiện giải pháp bảo quản và rút tài sản hoàn hảo, vẫn cần đổi mới.
Dưới đây là một ví dụ về giải pháp quản lý tài sản, giới thiệu một phương án xác minh tin nhắn không cần tin cậy kết hợp môi trường thực thi đáng tin cậy, chứng minh không kiến thức và tính toán đa bên. Giải pháp này cân bằng giữa chi phí, an toàn, trải nghiệm người dùng và có thể cung cấp dịch vụ nền tảng đáng tin cậy cho các tình huống quản lý tài sản khác nhau.
Mạng xác thực ngẫu nhiên mã hóa
Hiện nay, các giải pháp quản lý tài sản được áp dụng rộng rãi thường sử dụng ký đa hoặc MPC/TSS để xác định yêu cầu chuyển nhượng tài sản có hợp lệ hay không. Giải pháp này dễ triển khai, chi phí thấp, tốc độ xác minh nhanh, nhưng độ an toàn không cao, dễ dẫn đến sự tập trung. Trong một trường hợp năm 2023, 21 nút tham gia tính toán MPC đều do một người kiểm soát, là một cuộc tấn công điển hình của phù thủy.
Để khắc phục những thiếu sót của các phương án truyền thống, một mạng xác thực ngẫu nhiên mã hóa (CRVA) đã có những cải tiến:
Áp dụng hình thức chấp nhận tài sản thế chấp, khởi động mạng chính sau khi đạt khoảng 500 nút, dự kiến tài sản thế chấp của các nút sẽ duy trì trên 10 triệu đô la Mỹ.
Thông qua thuật toán rút thăm để ngẫu nhiên chọn nút làm người xác thực, tạo chữ ký ngưỡng để phê duyệt yêu cầu của người dùng. Để ngăn chặn thông đồng hoặc tấn công, thuật toán rút thăm sử dụng VRF vòng tròn gốc, kết hợp với chứng minh không biết để ẩn danh tính của người được chọn.
Tất cả mã lõi của nút chạy trong môi trường thực thi đáng tin cậy,进一步杜绝串谋可能。
CRVA mạng lưới các nút thực hiện việc phát sóng và trao đổi thông tin lớn, quy trình cụ thể như sau:
Các nút phải thế chấp tài sản trên chuỗi trước khi tham gia vào mạng, để lại khóa công khai làm thông tin đăng ký.
Mỗi giờ chọn ngẫu nhiên một nút. Ứng viên trước tiên tạo ra một "khóa công khai tạm thời" một lần và sử dụng chứng minh không biết để chứng minh rằng nó liên kết với "khóa công khai vĩnh viễn" trên chuỗi.
Sử dụng "khóa công khai tạm thời" để bảo vệ quyền riêng tư, ngăn chặn rò rỉ danh tính.
Khóa công khai tạm thời được tạo ra trong môi trường tin cậy của nút, nút đó không thể biết.
Gửi khóa công khai tạm thời đã được mã hóa cho các nút trung gian cụ thể để khôi phục. Quá trình khôi phục của nút trung gian cũng được thực hiện trong môi trường đáng tin cậy.
Nút trung gian tập hợp khóa công tạm thời và gửi hàm VRF trên chuỗi để rút thăm, người trúng thăm xác thực yêu cầu của người dùng và tạo chữ ký ngưỡng.
Cốt lõi của giải pháp này là tất cả các hoạt động quan trọng diễn ra trong phần cứng đáng tin cậy, không thể quan sát từ bên ngoài. Mỗi nút không biết danh tính của người xác thực, ngăn chặn việc thông đồng làm ác, làm tăng đáng kể chi phí tấn công. Về lý thuyết, để tấn công toàn bộ mạng, độ khó sẽ tăng lên đáng kể.
kết hợp với giải pháp tự lưu trữ tài sản của CRVA
Lấy một đồng stablecoin theo thuật toán Bitcoin làm ví dụ để giải thích ứng dụng của CRVA trong việc quản lý tài sản:
Người dùng sẽ gửi BTC vào địa chỉ chỉ định, được cầu nối chính thức chuyển tới chuỗi Ethereum để tương tác với hợp đồng thông minh. Cụ thể, thao tác là chuyển BTC vào địa chỉ Taproot trên chuỗi Bitcoin, việc mở khóa cần 2/2 chữ ký, một chữ ký do người dùng tạo ra, chữ ký còn lại do CRVA tạo ra.
Các tình huống chính bao gồm:
Người dùng chủ động mua lại: Người dùng và CRVA cùng tạo chữ ký để mở khóa BTC. Nếu CRVA không hợp tác trong thời gian dài, sau khi thời gian khóa kết thúc, người dùng có thể đơn phương lấy lại BTC.
BTC bị thanh lý: Người dùng nên phối hợp với CRVA để chuyển BTC. Nếu người dùng không phối hợp, BTC sẽ tạm thời không thể di chuyển; Sau khi thời gian khóa hết hạn, CRVA có thể chuyển nó đến kênh một chiều.
Rút BTC trong kênh một chiều CRVA: Người thanh lý gửi yêu cầu, sau khi CRVA duyệt, sẽ tạo chữ ký chuyển cho người thanh lý. Nếu CRVA không phản hồi trong thời gian dài, sau khi khóa thời gian hết hạn, BTC sẽ được chuyển đến địa chỉ kiểm soát DAO, được kích hoạt xử lý tiếp theo bởi đa chữ ký.
Tóm lại, giải pháp này có thể ngăn chặn hiệu quả việc một thực thể duy nhất kiểm soát toàn bộ, cung cấp dịch vụ tự lưu trữ đáng tin cậy hơn cho tài sản.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
20 thích
Phần thưởng
20
8
Chia sẻ
Bình luận
0/400
TokenGuru
· 07-31 13:56
Lại một đồ ngốc dũng cảm đứng gác.
Xem bản gốcTrả lời0
VibesOverCharts
· 07-31 12:54
Nếu không chơi được thì đừng chơi kinh doanh chênh lệch giá
Xem bản gốcTrả lời0
fomo_fighter
· 07-31 01:52
又 một đồ ngốc bị cắt
Xem bản gốcTrả lời0
BearMarketHustler
· 07-30 03:35
又一韭被 chơi đùa với mọi người啦~ 踩坑不长记性!
Xem bản gốcTrả lời0
MEVEye
· 07-30 03:31
Hề hề, đồ ngốc chơi đùa với mọi người một lần nữa phải không?
Xem bản gốcTrả lời0
PerpetualLonger
· 07-30 03:28
Lại dính bẫy à? Đừng lo, dù sao btc cũng không bao giờ chết, từ từ tiêu hao thôi.
Xem bản gốcTrả lời0
ChainDetective
· 07-30 03:12
Lòng tham gây ra tai họa, thực sự không cần thiết.
Xem bản gốcTrả lời0
DancingCandles
· 07-30 03:09
đuổi theo giá Kinh doanh chênh lệch giá+1, bị chơi đùa với mọi người chính là bạn.
sự kiện unibtc đóng băng gây theo dõi thảo luận về tầm quan trọng của việc lưu ký tài sản không cần tin cậy
Tầm quan trọng của việc quản lý tài sản không cần tin cậy: Bắt đầu từ sự kiện đóng băng unibtc
Vào tháng 4 năm 2025, một người dùng trên mạng xã hội đã kêu cứu, cho biết rằng tài sản unibtc trị giá hơn 100.000 đô la của mình đã bị mắc kẹt và không thể rút ra khi thực hiện các giao dịch chênh lệch giá trên một mạng lưới bitcoin layer 2 nào đó.
Theo thông tin từ người liên quan, vào ngày 17 tháng 4, anh phát hiện ra rằng unibtc có giá bất thường trên một chuỗi lớp hai của Bitcoin và đã tách rời khỏi BTC, cho rằng đây là một cơ hội arbitrage. Anh đã chuyển một phần BTC vào chuỗi đó, đổi nó lấy unibtc và chờ đợi để bán ra sau khi nó quay lại giá trị.
Trong vòng 24 giờ, unibtc đã được neo lại, nhưng khi bên liên quan cố gắng bán ra, phát hiện rằng bể thanh khoản unibtc-BTC duy nhất trên chuỗi đã bị rút bỏ. Anh ấy không thể bán unibtc và đã cố gắng chuyển nó sang các chuỗi khác.
Tuy nhiên, khi anh ấy tìm thấy cầu nối đa chuỗi duy nhất hỗ trợ unibtc trên chuỗi, anh nhận được thông báo rằng "giao dịch cần có chữ ký ủy quyền từ phía dự án". Dịch vụ khách hàng của cầu nối đa chuỗi giải thích rằng khóa đa ký của unibtc được bên dự án quản lý, người dùng không thể chuyển unibtc sang chuỗi khác mà không có sự cho phép.
Các bên chỉ có thể tìm đến phía dự án để hỏi, bên đó trả lời ban đầu có thể cho phép rút vốn gốc, nhưng lợi nhuận phát sinh từ việc chênh lệch giá cần phải được kiểm tra. Đến lúc này, các bên nhận ra rằng con đường thoát khỏi unibtc đã bị cắt đứt, khoảng 200.000 USD tài sản bị "đóng băng tạm thời".
Thái độ của bên dự án trở nên mơ hồ, kéo dài với nhiều lý do khác nhau. Sau hai tuần thương lượng, các bên liên quan cuối cùng đã phản hồi tích cực, thành công trong việc thu hồi tài sản.
Điều này không phải là trường hợp cá biệt. Theo phản hồi, năm ngoái cũng đã xảy ra sự kiện tương tự, dẫn đến việc unibtc của người dùng bị "đông phạm thực chất". Bài viết này không suy đoán về lý do của sự kiện, chỉ từ góc độ kỹ thuật thảo luận cách tránh những hành vi trung tâm độc hại như vậy.
Xem lại sự kiện này có thể thấy, với tư cách là bên phát hành unibtc và nhà cung cấp thanh khoản, dự án tự nhiên có quyền truy cập vào các kênh thoát khỏi thị trường thứ cấp. Để hạn chế quyền lực của họ, cần phải thông qua quản trị hơn là các biện pháp kỹ thuật.
Tuy nhiên, cầu nối chuỗi chéo đã thông đồng với bên dự án từ chối yêu cầu của người dùng, bộc lộ rõ ràng rằng unibtc có những thiếu sót kỹ thuật đáng kể trong giai đoạn "phát hành - lưu thông chuỗi đơn - lưu thông chuỗi đa": cầu nối chuỗi chéo rõ ràng là rất tập trung.
Cây cầu thực sự không cần tin cậy nên đảm bảo rằng chính quyền không thể ngăn cản người dùng thoát ra, trong khi trong trường hợp unibtc, các bên liên quan đều nắm giữ quyền lực tập trung mạnh mẽ và không cung cấp lối thoát chống kiểm duyệt.
Các trường hợp tương tự không phải là hiếm. Việc các sàn giao dịch cắt đứt con đường rút tiền của người dùng không phải là hiếm, và các dự án khác sử dụng quyền trung tâm cũng không ít. Vào tháng 6 năm 2022, một cầu nối chuỗi chéo đã tạm dừng nhiều kênh rút tài sản do bị tấn công bởi hacker. Năm 2021, một dự án đã tự đánh cắp 24 triệu đô la Mỹ thông qua việc khai thác lỗ hổng mà họ đã để lại. Những trường hợp này cho thấy, nếu nền tảng quản lý tài sản không thể cung cấp dịch vụ không cần tin cậy, cuối cùng sẽ dẫn đến hậu quả nghiêm trọng.
Tuy nhiên, việc đạt được sự không cần tin cậy không phải là điều dễ dàng. Từ kênh thanh toán đến chứng minh không biết, mọi người đã thử nghiệm nhiều giải pháp khác nhau, mặc dù phần lớn đảm bảo quyền tự chủ của người dùng và cung cấp kênh rút tài sản đáng tin cậy, nhưng vẫn còn những thiếu sót không thể tránh khỏi.
Ví dụ, kênh thanh toán cần giám sát hành vi ác ý tiềm ẩn của đối thủ, các giải pháp khác thì gặp phải vấn đề chi phí cao, phụ thuộc vào oracle. Hiện tại trên thị trường vẫn chưa xuất hiện giải pháp bảo quản và rút tài sản hoàn hảo, vẫn cần đổi mới.
Dưới đây là một ví dụ về giải pháp quản lý tài sản, giới thiệu một phương án xác minh tin nhắn không cần tin cậy kết hợp môi trường thực thi đáng tin cậy, chứng minh không kiến thức và tính toán đa bên. Giải pháp này cân bằng giữa chi phí, an toàn, trải nghiệm người dùng và có thể cung cấp dịch vụ nền tảng đáng tin cậy cho các tình huống quản lý tài sản khác nhau.
Mạng xác thực ngẫu nhiên mã hóa
Hiện nay, các giải pháp quản lý tài sản được áp dụng rộng rãi thường sử dụng ký đa hoặc MPC/TSS để xác định yêu cầu chuyển nhượng tài sản có hợp lệ hay không. Giải pháp này dễ triển khai, chi phí thấp, tốc độ xác minh nhanh, nhưng độ an toàn không cao, dễ dẫn đến sự tập trung. Trong một trường hợp năm 2023, 21 nút tham gia tính toán MPC đều do một người kiểm soát, là một cuộc tấn công điển hình của phù thủy.
Để khắc phục những thiếu sót của các phương án truyền thống, một mạng xác thực ngẫu nhiên mã hóa (CRVA) đã có những cải tiến:
Áp dụng hình thức chấp nhận tài sản thế chấp, khởi động mạng chính sau khi đạt khoảng 500 nút, dự kiến tài sản thế chấp của các nút sẽ duy trì trên 10 triệu đô la Mỹ.
Thông qua thuật toán rút thăm để ngẫu nhiên chọn nút làm người xác thực, tạo chữ ký ngưỡng để phê duyệt yêu cầu của người dùng. Để ngăn chặn thông đồng hoặc tấn công, thuật toán rút thăm sử dụng VRF vòng tròn gốc, kết hợp với chứng minh không biết để ẩn danh tính của người được chọn.
Tất cả mã lõi của nút chạy trong môi trường thực thi đáng tin cậy,进一步杜绝串谋可能。
CRVA mạng lưới các nút thực hiện việc phát sóng và trao đổi thông tin lớn, quy trình cụ thể như sau:
Các nút phải thế chấp tài sản trên chuỗi trước khi tham gia vào mạng, để lại khóa công khai làm thông tin đăng ký.
Mỗi giờ chọn ngẫu nhiên một nút. Ứng viên trước tiên tạo ra một "khóa công khai tạm thời" một lần và sử dụng chứng minh không biết để chứng minh rằng nó liên kết với "khóa công khai vĩnh viễn" trên chuỗi.
Sử dụng "khóa công khai tạm thời" để bảo vệ quyền riêng tư, ngăn chặn rò rỉ danh tính.
Khóa công khai tạm thời được tạo ra trong môi trường tin cậy của nút, nút đó không thể biết.
Gửi khóa công khai tạm thời đã được mã hóa cho các nút trung gian cụ thể để khôi phục. Quá trình khôi phục của nút trung gian cũng được thực hiện trong môi trường đáng tin cậy.
Nút trung gian tập hợp khóa công tạm thời và gửi hàm VRF trên chuỗi để rút thăm, người trúng thăm xác thực yêu cầu của người dùng và tạo chữ ký ngưỡng.
Cốt lõi của giải pháp này là tất cả các hoạt động quan trọng diễn ra trong phần cứng đáng tin cậy, không thể quan sát từ bên ngoài. Mỗi nút không biết danh tính của người xác thực, ngăn chặn việc thông đồng làm ác, làm tăng đáng kể chi phí tấn công. Về lý thuyết, để tấn công toàn bộ mạng, độ khó sẽ tăng lên đáng kể.
kết hợp với giải pháp tự lưu trữ tài sản của CRVA
Lấy một đồng stablecoin theo thuật toán Bitcoin làm ví dụ để giải thích ứng dụng của CRVA trong việc quản lý tài sản:
Người dùng sẽ gửi BTC vào địa chỉ chỉ định, được cầu nối chính thức chuyển tới chuỗi Ethereum để tương tác với hợp đồng thông minh. Cụ thể, thao tác là chuyển BTC vào địa chỉ Taproot trên chuỗi Bitcoin, việc mở khóa cần 2/2 chữ ký, một chữ ký do người dùng tạo ra, chữ ký còn lại do CRVA tạo ra.
Các tình huống chính bao gồm:
Người dùng chủ động mua lại: Người dùng và CRVA cùng tạo chữ ký để mở khóa BTC. Nếu CRVA không hợp tác trong thời gian dài, sau khi thời gian khóa kết thúc, người dùng có thể đơn phương lấy lại BTC.
BTC bị thanh lý: Người dùng nên phối hợp với CRVA để chuyển BTC. Nếu người dùng không phối hợp, BTC sẽ tạm thời không thể di chuyển; Sau khi thời gian khóa hết hạn, CRVA có thể chuyển nó đến kênh một chiều.
Rút BTC trong kênh một chiều CRVA: Người thanh lý gửi yêu cầu, sau khi CRVA duyệt, sẽ tạo chữ ký chuyển cho người thanh lý. Nếu CRVA không phản hồi trong thời gian dài, sau khi khóa thời gian hết hạn, BTC sẽ được chuyển đến địa chỉ kiểm soát DAO, được kích hoạt xử lý tiếp theo bởi đa chữ ký.
Tóm lại, giải pháp này có thể ngăn chặn hiệu quả việc một thực thể duy nhất kiểm soát toàn bộ, cung cấp dịch vụ tự lưu trữ đáng tin cậy hơn cho tài sản.