Sui Kamu Zinciri Olayı Üzerine Derinlik Düşüncesi

Giriş

Son zamanlarda meydana gelen olaylar, sermayenin zaferini değil, kullanıcıların çıkarlarını ortaya koydu. Bu, sektör gelişimi açısından bir geri adım olabilir.

Bitcoin ile Sui'nin gelişim yönleri belirgin bir karşıtlık sergiliyor, merkeziyetsizliği sarsan endüstri hareketleri ortaya çıktıkça, insanların Bitcoin'e olan inancı giderek daha da güçleniyor.

Dünya, sadece daha iyi bir küresel finansal altyapıya değil, aynı zamanda her zaman bir grup insan için serbest bir alanın korunmasına ihtiyaç duymaktadır.

Tarihe baktığımızda, bir zamanlar konsorsiyum blok zincirleri, kamu blok zincirlerinden daha popülerdi; bunun başlıca nedeni, o dönemdeki düzenleyici ihtiyaçlara uygun olmalarıydı. Bugün konsorsiyum blok zincirlerinin gerilemesi, yalnızca düzenleyici gereksinimlere uymanın gerçek kullanıcıların ihtiyaçlarını karşılayamayacağını göstermektedir. Düzenlenen kullanıcılar kaybedildiğinde, düzenleyici araçların varlığının da bir anlamı kalmamaktadır.

1. Olayın Arka Planı

22 Mayıs 2025'te, bir kamu blok zinciri ekosistemindeki en büyük merkeziyetsiz borsa bir siber saldırıya uğradı ve bu da likiditede keskin bir düşüşe, birçok ticaret çiftinin fiyatlarının çökmesine ve 220 milyon dolardan fazla kayba yol açtı.

Olayın ana zaman çizgisi şöyledir:

• 22 May sabahı: Hacker saldırısı sonucu 230 milyon dolar zarar, borsa acil olarak sözleşmeleri askıya aldı ve duyuru yayınladı
• 22 May öğleden sonra: Hacker, yaklaşık 60 milyon doları çapraz zincir ile transfer etti, kalan 162 milyon dolar hala orijinal zincirde.
• 22 May akşamı: Resmi olarak fonların dondurulduğu ve geri ödeme sürecinin başlatılmak üzere hazırlandığı onaylandı.
• 23 Mayıs: Borsa açığı onarmaya ve sözleşmeyi güncellemeye başladı.
• 24 Mayıs: Açık blok zinciri PR'si, fonların geri alınması için takma ad mekanizması ve beyaz liste aracılığıyla açıklama yapılacak.
• 26 May: Zincir üstü yönetişim oylaması başlatıldı, protokol yükseltmesinin uygulanıp uygulanmayacağı ve hacker varlıklarının güvenli adrese aktarılması önerisi.
• 29 Mayıs: Oy sonuçları açıklandı, 2/3'ten fazla doğrulayıcı düğüm ağırlığı destekledi
• 30 May - Başlangıç Haziran: Protokol yükseltmesi yürürlüğe girdi, belirtilen ticaret hash'i uygulandı, hacker varlıkları transfer edildi.

2. Saldırı Prensibi

Saldırı, esas olarak borsa akıllı sözleşmelerindeki tam sayı taşma açığını kullandı. Saldırgan, önce büyük miktarda tokeni flash kredi aracılığıyla borç alarak işlem havuzundaki fiyatların %99,90 düşmesine neden oldu. Ardından, saldırgan çok dar bir fiyat aralığında likidite pozisyonları oluşturdu.

Saldırının temelinde, borsanın gerekli token miktarını hesaplamak için kullandığı fonksiyonda bir tam sayı taşma sorunu bulunuyor. Saldırganlar, büyük miktarda likidite eklediklerini iddia ediyor, ancak gerçekte sadece az miktarda token yatırıyorlar. Taşma tespit koşullarının hatalı olması nedeniyle, sistem gerekli token miktarını ciddi şekilde düşük tahmin ediyor ve bu da saldırganların çok düşük maliyetle büyük miktarda likidite elde etmesine yol açıyor.

Teknik olarak, bu açık akıllı sözleşmede yanlış maskeleme ve koşul kullanmaktan kaynaklanıyor, bu da çok sayıda değerin tespiti aşamasını geçmesine neden oluyor. Soldan kaydırma işlemi sonrası yüksek bit verileri kesiliyor, sistem yalnızca çok az sayıda token alarak büyük bir likiditeye sahip olduğunu düşünüyor.

Olayın ardından yetkililer, iki aşamalı müdahale önlemi olarak "dondurma" ve "geri alma" uyguladılar:

• Donmuş aşama: Reddetme listesi ve düğüm konsensüsü tamamlanarak
• Geri alma aşaması: Zincir üzerindeki protokolün yükseltilmesi, topluluk oylaması ve kara listeyi aşmak için belirli işlemlerin gerçekleştirilmesi gerekmektedir.

3. Kamu Zincirinin Dondurma Mekanizması

Bu halka açık blok zinciri içerisinde özel bir reddetme listesi mekanizması bulunmaktadır ve bu mekanizma, bu kezki hacker fonlarının dondurulmasını sağlamıştır. Ayrıca, token standartlarının "regüle edilmiş token" modeli de bulunmaktadır ve bu model, yerleşik bir dondurma fonksiyonu taşımaktadır.

Bu acil dondurma, bu özelliği kullandı: doğrulayıcı düğümleri yerel yapılandırma dosyasında çalınan fonlarla ilgili adresleri hızlı bir şekilde ekledi. Teorik olarak her düğüm işletmecisi kendi başına yapılandırmayı güncelleyerek kara listeyi değiştirebilir, ancak ağ tutarlılığını sağlamak için, ilk yapılandırmayı yayınlayan vakıf merkezi bir koordinasyon gerçekleştirdi.

Vakfın öncelikle hacker adreslerini içeren bir yapılandırma güncellemesi resmi olarak yayınlaması, doğrulayıcıların varsayılan yapılandırmaya göre senkronize olmasını sağladı ve böylece hacker fonları zincir üzerinde geçici olarak "mühürlendi". Bunun arkasında aslında yüksek bir merkezileşme faktörü bulunmaktadır.

Mağdurları dondurulmuş fonlardan kurtarmak için, genel blok zinciri ekibi daha sonra beyaz liste mekanizması yamanı başlattı. Bu, belirli işlemlerin önceden "denetimden muaf listeye" eklenmesine izin verir, böylece bu işlemler imza, yetki, kara liste gibi tüm güvenlik kontrollerini atlayabilir.

Dikkat edilmesi gereken husus, beyaz liste yamanın doğrudan hacker varlıklarını transfer edemeyeceğidir; bu sadece belirli işlemlere dondurmayı atlatma yetkisi verir, gerçek varlık transferi hala yasal imza veya ek sistem yetki modülü gerektirir.

Buna karşılık, sektörün ana akım dondurma çözümleri genellikle token sözleşme katmanında gerçekleşir ve ihraç eden tarafın çoklu imza kontrolü altındadır. Örneğin, bir stabilcoin örneği olarak, sözleşme içinde kara liste fonksiyonu yer alır ve ihraç şirketi ihlal eden adresleri dondurabilir. Bu tür bir çözüm, zincir üzerinde dondurma talebinin başlatılması için çoklu imza gerektirir ve çoklu imzanın uzlaşması sonrası gerçekten uygulanır, bu nedenle bir uygulama gecikmesi vardır.

Bu dondurma mekanizması etkili olsa da, istatistikler çoklu imza süreçlerinde sıkça "boşluk dönemi" oluştuğunu ve bu durumun suçlulara fırsat sunduğunu göstermektedir.

Buna karşılık, bu olayda dondurma, altyapı protokol düzeyinde, doğrulayıcı düğümlerin topluca hareket etmesiyle gerçekleşti ve yürütme hızı sıradan sözleşme çağrılarından çok daha hızlıydı. Bu modelde, yeterince hızlı bir şekilde yürütmek için, bu doğrulayıcı düğümlerin yönetiminin son derece birleşik olması gerektiği anlamına geliyor.

4. Kamu Zincirinin "Transfer Tabanlı Geri Toplama" Uygulama Prensibi

Daha da şaşırtıcı olanı, bu halka açık zincirin sadece hacker varlıklarını dondurmakla kalmayıp, aynı zamanda zincir üstü güncellemelerle çalınan fonları "geri transfer" etmeyi planladığıdır.

27 May'da, borsa topluluk oylama önerisi sundu ve protokolün güncellenmesini talep etti, dondurulan fonların çoklu imza cüzdanına gönderilmesini istedi. Vakıf hemen zincir üzerindeki yönetim oylamasını başlattı.

29 Mayıs'ta oy sonuçları açıklandı, yaklaşık %90,9 ağırlığa sahip doğrulayıcılar bu öneriyi destekledi. Resmi olarak, teklifin onaylanması halinde, "iki hacker hesabında dondurulan tüm fonların hacker imzası olmaksızın tek bir çoklu imza cüzdanına geri alınacağı" duyuruldu.

Hacker imzasına gerek yok, bu blockchain sektöründe eşi benzeri görülmemiş bir onarım yöntemi.

Resmi GitHub PR'lerinden anlaşılacağı üzere, protokol adres takma adı mekanizmasını tanıttı. Güncelleme içeriği arasında: Protokol yapılandırmasında önceden takma ad kuralları belirlemek, böylece bazı izin verilen işlemlerin yasal imzayı bir hacker hesabından geliyormuş gibi değerlendirmesine olanak tanımak yer alıyor.

Özellikle, gerçekleştirilecek kurtarma işlemine ait hash listesinin hedef adresle (yani hacker adresi) bağlantılı olması gerekmektedir; bu sabit işlem özetlerini imzalayan ve yayımlayan herhangi bir yürütücü, geçerli bir hacker adresi sahibi olarak işlem başlatmış sayılacaktır. Bu belirli işlemler için, doğrulayıcı düğüm sistemi reddetme listesi kontrolünü atlayacaktır.

Kod düzeyinde, kamu blok zinciri işlem doğrulama mantığına yeni bir kontrol eklemiştir: Bir işlem kara listeye alındığında, sistem imza sahiplerini gözden geçirir ve takma ad kurallarını karşılayıp karşılamadığını kontrol eder. Eğer belirli bir imza sahibi şartları karşılıyorsa, bu işlem izin verilen olarak işaretlenir, önceki engelleme hatası göz ardı edilir ve normal paketleme işlemlerine devam edilir.

5. Görüş

160 milyon dolar, sektörün en derin temel inancını parçaladı.

Bu olayın sarsıntısı belki de çok çabuk geçecek, ancak benimsenen model unutulmayacak, çünkü bu model sektörü alt üst etti ve blok zincirinin aynı defter altında değiştirilemez geleneksel mutabakatını da kırdı.

Blok zinciri tasarımında, sözleşme hukuktur, kod ise hakemdir. Ancak bu olayda, kod geçersiz hale geldi, yönetim müdahale etti, güç üstün geldi ve "oy verme eylemi kod sonuçlarını belirleme" modeli oluştu.

Bu kamu blockchain'inin bu sefer doğrudan işlemleri kullanma yöntemi, ana akım blockchain'lerin hacker sorunlarını ele alma yöntemleriyle büyük bir fark içeriyor.

Bu, "konsensusu değiştirmek" için ilk değil, ama en sessiz olanı.

Tarihsel olarak:

Bir kamu blok zinciri 2016 yılında önemli bir olay nedeniyle kayıpları telafi etmek için hard fork ile işlemleri geri almıştı, ancak bu karar zincirin bölünmesine yol açtı, süreç oldukça tartışmalıydı, ancak sonunda farklı gruplar farklı konsensüs inançları oluşturdular.

Bitcoin topluluğu benzer teknik zorluklarla da karşılaştı: 2010'daki değer aşımı açığı geliştiriciler tarafından acilen düzeltildi ve konsensüs kuralları güncellendi, yaklaşık 18.4 milyar yasadışı üretilmiş Bitcoin tamamen silindi.

Bunlar, defteri sorunun meydana gelmeden önceki bir duruma geri döndüren sert çatallaşma modeli kullanarak oluşturulmuştur; ardından kullanıcı hangi defter sistemi altında devam edeceğine kendisi karar verebilir.

Önceki hard fork'lardan farklı olarak, bu olayda kamu blok zinciri bir zincir bölümü seçmedi, bunun yerine protokol güncellemesi ve yapılandırma takma adları ile bu olaya yönelik olarak hassas bir şekilde hedef aldı. Bu şekilde zincirin sürekliliği ve çoğu uzlaşma kuralı değişmeden korunmuş oldu, ancak aynı zamanda alt protokolün hedefli "kurtarma eylemleri" gerçekleştirmek için kullanılabileceğini de gösterdi.

Sorun, tarihteki "çatallanma geri alma"nın kullanıcıların inanç seçimiyken; bu seferki "protokol düzeltmesi"nin zincirin kullanıcılar adına karar vermesidir.

"Senin kontrolünde olmayan özel anahtar, senin olmayan para" anlayışı bu kamu blok zincirinde çözüldü: Kullanıcının özel anahtarı tam olsa bile, ağ, kolektif protokol değişiklikleri aracılığıyla varlık akışını engelleyebilir ve varlıkları yeniden yönlendirebilir.

Eğer bu, gelecekte blok zincirinin büyük güvenlik olaylarına yanıt verme konusunda bir örnek haline gelirse ve tekrar uyulabilir bir alışkanlık olarak kabul edilirse, o zaman "bir zincir adalet için kuralları çiğneyebiliyorsa, her kuralı çiğneme konusunda da bir örneği vardır."

Bir kez "hayırseverlik hırsızlığı" başarılı olursa, bir sonraki sefer "ahlaki belirsizlik" operasyonu olabilir.

Ne olacak?

Hackler gerçekten kullanıcıların parasını çaldıysa, o zaman toplu oylama ile parasını alabilir miyiz?

Oylama, kimin daha fazla parası olduğu mu yoksa daha fazla insan olduğu mu? Eğer parası çok olan kazanırsa, Liu Cixin'in eserlerinde bahsedilen nihai üretici çok geçmeden gelecektir; eğer daha fazla insan kazanırsa, o zaman kalabalık bir topluluk da sesini yükseltir.

Geleneksel sistemde, yasa dışı gelirlerin korunmaması oldukça normaldir; dondurma ve transfer, geleneksel bankaların rutin işlemleridir.

Ama bu noktada teknik teorik olarak mümkün değil, bu da blockchain sektörünün gelişim kaynağı değil mi?

Şimdi sektör uyumluluğunun baskısı devam ediyor, bugün hackerlar için hesap bakiyelerini dondurmak veya değiştirmek mümkünse, yarın coğrafi faktörler veya çatışma faktörleri için herhangi bir değişiklik yapılabilir. Eğer blockchain bölgesel bir araç haline gelirse, o zaman sektörün değeri büyük ölçüde düşer, en fazla daha kullanışsız bir finansal sistem olur.

Bu, endüstriyi sağlamlaştıran bir sebep: "Blockchain'in değeri, dondurulamaması değil, onu sevmesen bile senin için değişmemesidir."

Regülasyon büyük bir eğilim, zincir kendi ruhunu koruyabilir mi?

Bir zamanlar, konsorsiyum blok zincirleri, o dönemin denetim taleplerini karşıladığı için, kamu blok zincirlerinden daha popülerdi. Bugün konsorsiyum blok zincirlerinin azalması, aslında sadece bu talebe uymanın gerçek kullanıcı talepleri olmadığı anlamına geliyor. Denetim altında olmayan kullanıcılar kaybedildiğinde, denetim araçlarına ihtiyaç var mı?

Sektör gelişimi açısından:

"Verimli merkeziyetçilik", blok zinciri gelişiminin kaçınılmaz bir aşaması mı? Eğer merkezden uzaklaşmanın nihai amacı kullanıcı çıkarlarını korumaksa, geçiş aracı olarak merkeziyetçiliğe katlanabilir miyiz?

"Demokrasi" kelimesi, zincir üzerindeki yönetişim bağlamında aslında token ağırlıklı bir anlam taşımaktadır. Peki, eğer bir hacker büyük miktarda token'a sahipse (veya bir gün otonom organizasyon hacklenirse, hacker oy haklarını kontrol ederse), o zaman "meşru oy verme ile kendini aklama" imkanı olabilir mi?

Sonuçta, blok zincirinin değeri, dondurulup dondurulamayacağına bağlı değil, topluluğun dondurma yeteneği olsa bile bunu yapmamayı seçmesindedir.

Bir zincirin geleceği, teknik mimari tarafından değil, onu korumayı seçtiği inanç sistemi tarafından belirlenir.