Gece yarısı bir hacker Lido Oracle Makine çoklu imza adreslerinden birine sızdı ve 1.4 ETH çaldıktan sonra izini ortaya çıkardı. Çalınan olayının Lido üzerinde somut bir etkisi olacak mı?
Yazı: @IsdrsP (Lido Doğrulayıcı Düğüm Yöneticisi)
Derleyen: Nicky, Foresight News
10 Mayıs'ta sabah erken saatlerde Oracle Makine hizmet sağlayıcısı Chorus One, Lido Oracle Makine'nin bir sıcak cüzdanının Hacker tarafından saldırıya uğradığını ve 1.46 ETH'nin çalındığını açıkladı. Ancak güvenlik denetimlerine göre, bu izole olayın etkisi sınırlıdır; ilgili cüzdanın tasarımı zaten yalnızca hafif operasyonel amaçlar için yapılmıştır.
Oracle Makine saldırıya uğraması gerçekten kötü bir durum gibi görünüyor. Ancak, Lido'nun mimari tasarımı, paydaşların değer anlayışı ve güvenliğe odaklanmış katkıda bulunanlar kültürü, bu tür olayların etkisinin son derece sınırlı olmasını sağlıyor - Oracle Makine tamamen kırılmış olsa bile, felaket niteliğinde sonuçlar doğurmayacaktır.
Peki, Lido'nun gerçekten ne gibi benzersiz özellikleri var?
Düşünceli Tasarım ve Katmanlı Koruma Mekanizmaları
Lido'nun Oracle Makinesi, konsensüs katmanındaki bilgileri yürütme katmanına iletmekten ve protokol dinamiklerini rapor etmekten sorumludur. Kullanıcı fonlarını kontrol etmezler. Tek bir arıza olan Oracle Makinesi yalnızca küçük bir soruna neden olur, hatta tahkim süreci (quorum) ihlal edilse bile felaket sonuçlar doğurmaz.
Tek bir saldırıya uğramış Oracle Makine hangi kötü niyetli eylemleri deneyebilir?
A) Kötü niyetli rapor gönderildi (ancak dürüst Oracle Makine tarafından göz ardı edilecektir);
B) Belirli Oracle Makine adresinin ETH bakiyesini tüketti (bu adres yalnızca işlem operasyonları için kullanılır ve stake edenlerin fonlarını barındırmaz).
Oracle Makine究竟承担什么职责?
Lido'nun Oracle Makinesi esasen 5/9 konsensüs sağlaması gereken 9 bağımsız katılımcıdan oluşan dağıtık bir mekanizmadır. Temel olarak protokol durum raporlarıyla ilgilenir, mevcut ana işlevleri şunlardır:
• Token enflasyon ödüllerinin dağıtımı (rebase)
• Çekim işlemleri
• Doğrulama düğümü çıkışı ve performans izleme, CSM (Topluluk Güvenlik Modülü) için referans olarak
Bu Oracle Makine'ler, protokole gözlemledikleri durumu "rapor" olarak sunacaklar. Bu raporlar, günlük toplam ödüllerin veya cezaların hesaplanması, stETH bakiyesinin güncellenmesi, çekim taleplerinin işlenmesi ve nihayetinde onaylanması, doğrulayıcı çıkış başvurularının hesaplanması ve doğrulayıcıların performansının ölçülmesi için kullanılır.
Temelde, Lido Oracle Makine, insanların genellikle anladığı "çok imza"dan farklıdır. Oracle Makine, ne stake edenlerin ne de protokolün fonlarına erişemez, ne de herhangi bir protokol sözleşmesinin yükseltilmesini kontrol edebilir; ayrıca kendisini yükseltme veya üyelik yönetimi yapma yeteneğine de sahip değildir. Aksine, Lido DAO, Oracle Makine listesini oylama yoluyla korur.
Oracle Makine'nin işlevleri son derece sınırlıdır - yalnızca aşağıdaki işlemleri gerçekleştirebilir: Raporlar sunmak; bu raporlar, farklı protokollerin hedefleri için tasarlanmış belirleyici, denetlenmiş ve açık kaynaklı algoritmalara sıkı bir şekilde uymaktadır; belirli durumlarda rapor sonuçlarını uygulamak için işlemler gerçekleştirmek (örneğin, protokolün günlük rebase işlemi).
Eğer 9 Oracle Makine'den 5'i hacklenirse, en kötü durum ne olur? Bu durumda, hacklenen Oracle Makine'ler kötü niyetli raporlar sunmak için bir araya gelebilir, ancak herhangi bir rapor, zincir üzerinde zorunlu olarak uygulanacak protokolün mantıksal kontrolünden geçmelidir.
Bu rapor bu makul kontrol önlemlerini ihlal ederse, işleme süresi uzayacaktır (belki de asla) "hesaplanamaz", çünkü rapordaki değerlerin belirli bir zaman diliminde (birkaç gün veya bir kaç hafta) izin verilen değer değişim aralığına uyması gerekmektedir.
En kötü senaryoda, bu stETH gibi bir rebase'in (ister pozitif ister negatif) etkili olması için daha uzun bir süre gerektirmesi anlamına gelebilir, bu da stETH sahiplerini etkileyebilir, ancak çoğu sahip için etkisi önemsizdir, yalnızca birisi DeFi'de stETH'yi kaldıraçlı olarak kullanıyorsa.
Diğer olasılıklar da vardır: Eger kötü niyetli Oracle Makine ve onun ortakları belirli bilgilere sahipse veya konsensüs katmanında büyük miktarda ceza verme (örneğin, büyük ölçekli el koyma) yeteneğine sahipse, ekonomik fayda sağlamak için yürütme katmanı stETH güncellemelerindeki gecikmeleri kullanabilirler.
Örneğin, büyük ölçekli bir el koyma gerçekleşirse, bazı kişiler negatif rebase etkili olmadan önce, merkeziyetsiz borsa (DEX) aracılığıyla kısmi stETH satışı yapabilir. Ancak bu, kullanıcıların Lido aracılığıyla doğrudan başlattığı çekim işlemlerini etkilemeyecek, çünkü protokolün "acil durum modu" (bunker mode) devreye girecek ve çekim sürecinin adil bir şekilde yürütülmesini sağlayacaktır.
Anlık ve Tam Şeffaflık
Başından sonuna kadar, Lido ekosisteminin tüm katılımcıları - ister katkıda bulunanlar, ister düğüm işletmecileri, isterse Oracle Makine işletmecileri olsun - her zaman şeffaflık ve iyi niyeti öncelikli hale getirmiş, stake edenlerin haklarını ve ekosistemin sağlıklı gelişimini öncelikle korumuşlardır.
Katılımcılar, altyapı kesintilerinin neden olduğu staking kayıplarını tazmin etmek, proaktif bir şekilde doğrulayıcı düğümlerden çıkmak ya da hızlı bir şekilde kapsamlı bir kaza raporu yayınlamak gibi, ayrıntılı bir son analiz raporu yayınlamayı her zaman bir öncelik olarak görmektedirler. Şeffaflık, her zaman en önemli unsur olmuştur.
Sürekli İterasyon ve Güncelleme
Lido, her zaman teknoloji Ar-Ge'nin ön saflarında yer alarak, sıfır bilgi kanıtı (ZK) teknolojisini kullanarak Oracle Makine mekanizmasının güvenliğini ve güvenilmezlik seviyesini artırmaya kendini adamıştır. Daha başlangıç aşamalarında, ekip 20.000 dolardan fazla özel fon ayırarak, sıfır bilgi kanıtı teknolojisi aracılığıyla konsensüs katmanı verilerinin güvene ihtiyaç duymadan doğrulanmasını desteklemiştir.
Bu teknik keşifler, SuccinctLabs ekibi tarafından geliştirilen SP1 sıfır bilgi oracle "çift kontrol" mekanizmasının yıl içinde resmi olarak piyasaya sürülmesini sağladı. Bu mekanizma, potansiyel olumsuz rebase işlemleri için ek bir güvenlik doğrulama katmanı sağlamak amacıyla doğrulanabilir konsensüs katmanı verileri kullanır.
Bu tür sıfır bilgi teknolojileri hala gelişim aşamasındadır; ilgili sıfır bilgi sanal makineleri (zkVM) yalnızca gerçek dünya testlerinden geçmekle kalmayıp, aynı zamanda yavaş işlem hızı ve yüksek hesaplama maliyeti gibi sınırlamaları da vardır ve güvenilir Oracle Makine'lerin yerini tamamen alamamaktadır. Ancak uzun vadede, bu tür çözümlerin mevcut Oracle Makine'lerin güveni en az düzeyde tutmak için alternatif bir çözüm olma potansiyeli bulunmaktadır.
Oracle Makine teknolojisi son derece karmaşık olup DeFi alanındaki uygulama senaryoları çeşitlilik göstermektedir. Lido protokolünde, Oracle Makine, merkeziyetsiz bir yapı, görev ayrımı mekanizması ve çok katmanlı doğrulama sistemi ile dikkatlice tasarlanmış bir ana bileşen olarak, potansiyel risklerin etki alanını önemli ölçüde azaltmaktadır.
The content is for reference only, not a solicitation or offer. No investment, tax, or legal advice provided. See Disclaimer for more risks disclosure.
1.4 ETH hırsızlığının arkasında: Lido güvenlik mekanizması sektöre bir ders verdi
Yazı: @IsdrsP (Lido Doğrulayıcı Düğüm Yöneticisi)
Derleyen: Nicky, Foresight News
10 Mayıs'ta sabah erken saatlerde Oracle Makine hizmet sağlayıcısı Chorus One, Lido Oracle Makine'nin bir sıcak cüzdanının Hacker tarafından saldırıya uğradığını ve 1.46 ETH'nin çalındığını açıkladı. Ancak güvenlik denetimlerine göre, bu izole olayın etkisi sınırlıdır; ilgili cüzdanın tasarımı zaten yalnızca hafif operasyonel amaçlar için yapılmıştır.
Oracle Makine saldırıya uğraması gerçekten kötü bir durum gibi görünüyor. Ancak, Lido'nun mimari tasarımı, paydaşların değer anlayışı ve güvenliğe odaklanmış katkıda bulunanlar kültürü, bu tür olayların etkisinin son derece sınırlı olmasını sağlıyor - Oracle Makine tamamen kırılmış olsa bile, felaket niteliğinde sonuçlar doğurmayacaktır.
Peki, Lido'nun gerçekten ne gibi benzersiz özellikleri var?
Düşünceli Tasarım ve Katmanlı Koruma Mekanizmaları
Lido'nun Oracle Makinesi, konsensüs katmanındaki bilgileri yürütme katmanına iletmekten ve protokol dinamiklerini rapor etmekten sorumludur. Kullanıcı fonlarını kontrol etmezler. Tek bir arıza olan Oracle Makinesi yalnızca küçük bir soruna neden olur, hatta tahkim süreci (quorum) ihlal edilse bile felaket sonuçlar doğurmaz.
Tek bir saldırıya uğramış Oracle Makine hangi kötü niyetli eylemleri deneyebilir?
A) Kötü niyetli rapor gönderildi (ancak dürüst Oracle Makine tarafından göz ardı edilecektir);
B) Belirli Oracle Makine adresinin ETH bakiyesini tüketti (bu adres yalnızca işlem operasyonları için kullanılır ve stake edenlerin fonlarını barındırmaz).
Oracle Makine究竟承担什么职责?
Lido'nun Oracle Makinesi esasen 5/9 konsensüs sağlaması gereken 9 bağımsız katılımcıdan oluşan dağıtık bir mekanizmadır. Temel olarak protokol durum raporlarıyla ilgilenir, mevcut ana işlevleri şunlardır:
• Token enflasyon ödüllerinin dağıtımı (rebase)
• Çekim işlemleri
• Doğrulama düğümü çıkışı ve performans izleme, CSM (Topluluk Güvenlik Modülü) için referans olarak
Bu Oracle Makine'ler, protokole gözlemledikleri durumu "rapor" olarak sunacaklar. Bu raporlar, günlük toplam ödüllerin veya cezaların hesaplanması, stETH bakiyesinin güncellenmesi, çekim taleplerinin işlenmesi ve nihayetinde onaylanması, doğrulayıcı çıkış başvurularının hesaplanması ve doğrulayıcıların performansının ölçülmesi için kullanılır.
Temelde, Lido Oracle Makine, insanların genellikle anladığı "çok imza"dan farklıdır. Oracle Makine, ne stake edenlerin ne de protokolün fonlarına erişemez, ne de herhangi bir protokol sözleşmesinin yükseltilmesini kontrol edebilir; ayrıca kendisini yükseltme veya üyelik yönetimi yapma yeteneğine de sahip değildir. Aksine, Lido DAO, Oracle Makine listesini oylama yoluyla korur.
Oracle Makine'nin işlevleri son derece sınırlıdır - yalnızca aşağıdaki işlemleri gerçekleştirebilir: Raporlar sunmak; bu raporlar, farklı protokollerin hedefleri için tasarlanmış belirleyici, denetlenmiş ve açık kaynaklı algoritmalara sıkı bir şekilde uymaktadır; belirli durumlarda rapor sonuçlarını uygulamak için işlemler gerçekleştirmek (örneğin, protokolün günlük rebase işlemi).
Eğer 9 Oracle Makine'den 5'i hacklenirse, en kötü durum ne olur? Bu durumda, hacklenen Oracle Makine'ler kötü niyetli raporlar sunmak için bir araya gelebilir, ancak herhangi bir rapor, zincir üzerinde zorunlu olarak uygulanacak protokolün mantıksal kontrolünden geçmelidir.
Bu rapor bu makul kontrol önlemlerini ihlal ederse, işleme süresi uzayacaktır (belki de asla) "hesaplanamaz", çünkü rapordaki değerlerin belirli bir zaman diliminde (birkaç gün veya bir kaç hafta) izin verilen değer değişim aralığına uyması gerekmektedir.
En kötü senaryoda, bu stETH gibi bir rebase'in (ister pozitif ister negatif) etkili olması için daha uzun bir süre gerektirmesi anlamına gelebilir, bu da stETH sahiplerini etkileyebilir, ancak çoğu sahip için etkisi önemsizdir, yalnızca birisi DeFi'de stETH'yi kaldıraçlı olarak kullanıyorsa.
Diğer olasılıklar da vardır: Eger kötü niyetli Oracle Makine ve onun ortakları belirli bilgilere sahipse veya konsensüs katmanında büyük miktarda ceza verme (örneğin, büyük ölçekli el koyma) yeteneğine sahipse, ekonomik fayda sağlamak için yürütme katmanı stETH güncellemelerindeki gecikmeleri kullanabilirler.
Örneğin, büyük ölçekli bir el koyma gerçekleşirse, bazı kişiler negatif rebase etkili olmadan önce, merkeziyetsiz borsa (DEX) aracılığıyla kısmi stETH satışı yapabilir. Ancak bu, kullanıcıların Lido aracılığıyla doğrudan başlattığı çekim işlemlerini etkilemeyecek, çünkü protokolün "acil durum modu" (bunker mode) devreye girecek ve çekim sürecinin adil bir şekilde yürütülmesini sağlayacaktır.
Anlık ve Tam Şeffaflık
Başından sonuna kadar, Lido ekosisteminin tüm katılımcıları - ister katkıda bulunanlar, ister düğüm işletmecileri, isterse Oracle Makine işletmecileri olsun - her zaman şeffaflık ve iyi niyeti öncelikli hale getirmiş, stake edenlerin haklarını ve ekosistemin sağlıklı gelişimini öncelikle korumuşlardır.
Katılımcılar, altyapı kesintilerinin neden olduğu staking kayıplarını tazmin etmek, proaktif bir şekilde doğrulayıcı düğümlerden çıkmak ya da hızlı bir şekilde kapsamlı bir kaza raporu yayınlamak gibi, ayrıntılı bir son analiz raporu yayınlamayı her zaman bir öncelik olarak görmektedirler. Şeffaflık, her zaman en önemli unsur olmuştur.
Sürekli İterasyon ve Güncelleme
Lido, her zaman teknoloji Ar-Ge'nin ön saflarında yer alarak, sıfır bilgi kanıtı (ZK) teknolojisini kullanarak Oracle Makine mekanizmasının güvenliğini ve güvenilmezlik seviyesini artırmaya kendini adamıştır. Daha başlangıç aşamalarında, ekip 20.000 dolardan fazla özel fon ayırarak, sıfır bilgi kanıtı teknolojisi aracılığıyla konsensüs katmanı verilerinin güvene ihtiyaç duymadan doğrulanmasını desteklemiştir.
Bu teknik keşifler, SuccinctLabs ekibi tarafından geliştirilen SP1 sıfır bilgi oracle "çift kontrol" mekanizmasının yıl içinde resmi olarak piyasaya sürülmesini sağladı. Bu mekanizma, potansiyel olumsuz rebase işlemleri için ek bir güvenlik doğrulama katmanı sağlamak amacıyla doğrulanabilir konsensüs katmanı verileri kullanır.
Bu tür sıfır bilgi teknolojileri hala gelişim aşamasındadır; ilgili sıfır bilgi sanal makineleri (zkVM) yalnızca gerçek dünya testlerinden geçmekle kalmayıp, aynı zamanda yavaş işlem hızı ve yüksek hesaplama maliyeti gibi sınırlamaları da vardır ve güvenilir Oracle Makine'lerin yerini tamamen alamamaktadır. Ancak uzun vadede, bu tür çözümlerin mevcut Oracle Makine'lerin güveni en az düzeyde tutmak için alternatif bir çözüm olma potansiyeli bulunmaktadır.
Oracle Makine teknolojisi son derece karmaşık olup DeFi alanındaki uygulama senaryoları çeşitlilik göstermektedir. Lido protokolünde, Oracle Makine, merkeziyetsiz bir yapı, görev ayrımı mekanizması ve çok katmanlı doğrulama sistemi ile dikkatlice tasarlanmış bir ana bileşen olarak, potansiyel risklerin etki alanını önemli ölçüde azaltmaktadır.
İçerik kaynağı: