Yazar: Sandeep
Derleyen: Jia Huan, ChainCatcher
Bu hafta sonu endişe vericiydi. Üç hafta içinde üç adet çapraz zincir köprü güvenlik olayı yaşandı. Bu günlerde bir saldırganın detaylı yöntemini değil, bu tüm olayların ardında gizli olan kalıpları düşünüyorum.
1 Nisan'da Drift, 285 milyon dolarlık kayıp yaşadı.
13 Nisan'da Polkadot Hyperbridge, bir tekrar kanıtıyla 1 milyar desteksiz token üretti; hedef zincirin likiditesi zaten düşük olmasaydı, kayıplar bu sayıdan çok daha fazla olurdu.
18 Nisan'da KelpDAO, 292 milyon dolarlık kayıp yaşadı. Bundan önce Wormhole, Ronin, Harmony, BNB Bridge, Nomad ve Multichain yer aldı.
Öncelikle, bu stresli hafta sonu boyunca aktif olarak karşı çıkan her ekip için tam bir saygı duyuyorum. Kimse bir acil durumla uğraşırken ona zarar vermek istemiyorum.
Benzer bir durumla tümümüz karşılaştık ve şu anda düzeltme yayınlamakta olan ekip çok büyük çaba gösteriyor. Kelp'in acil durum durdurma çok imzalı mekanizması, aksi takdirde 200 milyon dolar daha fazla kayıp yaşanabilecek iki sonraki varlık çekme girişimini engelledi.
Burada vurgulamak istediğim şey, bu hafta sonu yaşanan olayların sadece Kelp sorunu olmadığıdır. Bu, tüm sektörün uzun zamandır yaptığı bir tasarım seçimidir. Şu anda çoğu kripto paranın çapraz zincir altyapısı hâlâ bir noterlik gibi davranmaktadır.
DVN, relayer set, oracle committee veya çok imzalı olarak adlandırılsın, temelde küçük bir komitenin bir zincirdeki faaliyetleri izleyip başka bir zincirde bunu doğrulamasıdır.
Bu komite veya altındaki fiyat verileri bozulduğunda, noter, yalanlara karşı herhangi bir çekimserlik göstermeden destek verecektir. Protokol adı değişse de, güven varsayımı hiç değişmemiştir.
@moo9000 Buna en uygun ismi: Çok imzalı Finans (MultisigFi).
Bu ifade çok doğru. Altta yatan komiteye ne ad verirseniz verin, güven modeli aynıdır ve geçen üç haftadaki olaylar, bu modelin ölçeklendirildiğinde nasıl çöktüğünü acı verici bir şekilde ortaya koymuştur.
Son bir Dune veri taraması, aktif LayerZero uygulamalarının %47'sinin 1/1 doğrulayıcı yapılandırması altında, %45'inin 2/2 yapılandırması altında çalıştığını ve sadece %5'ten azının daha güçlü güvenlik yapılandırmalarını kullandığını ortaya koydu.
Bu, şu anda üretime alınan onda dokuzunun geçiş uygulamaları için, 1 ila 2 kırılmış imzalayıcının kullanıcı fonları ile saldırganlar arasındaki tek güvenlik duvarı olduğu anlamına gelir.
Beş yıl önce, bu belki de kabul edilebilir bir varsayılan güvenlik ayarıydı. O dönemde çapraz zincir köprüleri yalnızca milyonlarca dolarlık varlık aktarıyordu ve kimse bunları endüstriyel ölçeklerde test etmiyordu.
Ancak bu 2026 yılında hiçbir anlam ifade etmiyor. Aynı tasarım şimdi milyarlarca dolarlık varlık aktarımı yapıyor! Ayrıca, AI destekli araçlar, makine hızında sürekli olarak operasyonel yapı hataları keşfediyor. Saldırı yüzeyi katlanarak genişledi, güvenlik modeli ise yerinde durdu.
Açıkçası, bu bir Polygon makalesi değil, diğer tüm taraflarla karşı karşıya getirmek için yazılmış bir makale. Yıllar önce, kendi ürünlerimizde bu güven varsayımının erken versiyonlarını inşa ettik. Bundan ders aldık ve tüm sektör bu dersi aldı.
Yolun boyunca, bazılarımız komite modeli üzerinde inşa etmeye devam ederken, diğerleri tüm şirketi ZK (sıfır bilgi kanıtı) üzerine koydu.
ZK üzerine yaptığımız yatırımlar boş sözler değil: 2024 yılının Temmuz ayında Agglayer köprüsü için ZK kanıtları hayata geçirildi, bir yıldan fazla süredir üretimde ve her gün büyük ölçekli çapraz zincir işlemlerini sonuçlandırıyor. Dürüst olmak gerekirse, bu hafta sonu yaşananlar bu argümana olan inancımı daha da pekiştirdi.
ZK kanıtı, önceki komitenin yaptığı işi devraldı. Bu, bir hesaplamanın gerçekten doğru bir şekilde yürütüldüğünü kanıtlayan küçük bir şifreli fiş gibi, dünyadaki herhangi bir makine birkaç milisaniye içinde bunu doğrulayabilir.
Ya doğrulama başarılı olur ve transfer tamamlanır, ya da matematiksel doğrulama başarısız olur ve varlıklar hiç hareket etmez. Satış yapan bir operatör ikna edilemez, RPC zehirlenemez, uygun sayıda katılımcı koordine edilmesine gerek yoktur ve kimse cumartesi sabahı 3'te odada paranızın güvenliğini belirlemek için oturmaz.
Bunun üzerinde, "Kötüniyetçi Kanıt" (Pessimistic Proof) olarak adlandırdığımız şey yer alır. En basit anlama şekli: Kimseye güvenmeyen bir zincir üzerindeki muhasebe.
Agglayer'e bağlanan her zincir, gelen ve giden varlıkları dinamik olarak kaydeden bir defter sahibidir; her çekim son onaylanmadan önce defter dengede olmalıdır. Bir zincir, ne kadar nedenle olursa olsun ve üst akış mesajları sahte olsun olmasın, kayıtlardan daha fazla bir varlığı asla çekemez.
Matematik kuralları bu tür bir şeyin olmasını izin vermez. Agglayer, Polygon Plonky3 üzerine kurulan Succinct SP1 kanıt sistemi aracılığıyla bunu zorlar.
Geçen hafta sonunun senaryosu Agglayer'de çalıştırılırsa, pessimistic proof, depo kaydı olmadığı için çekimleri anında engelleyecektir ve böylece fonlar asla aktarılmaz.
Aynı muhasebe mekanizması, Wormhole'un sonsuz para basma açıklarını, BNB Bridge'in sonsuz para basma açıklarını ve Hyperbridge'in tekrarlı kanıt açıklarını da tespit edebilir.
Bu açıklar birbirinden tamamen farklı olsa da, hepsi aynı soruna indirgenir: çapraz zincir köprüleri, diğer uçta hiçbir temele sahip olmayan varlıkları serbest bırakır. Agglayer, herhangi bir sonuçlanma gerçekleşmeden önce bu durumların tümünü önleyecektir.
Bu sadece teori değil. DeFi'nin büyük bir kısmı bu hafta sonu duraksadı, ancak Agglayer yaklaşık 200 milyon dolarlık köprü işlem hacmini zararsız şekilde yönetti.
Katana, Agglayer'e doğrudan bağlanarak olayın tamamı boyunca sıfır risk maruziyetine sahip kaldı. Kök neden açıklandığından önce, güvenlik ekibimiz Polygon ekosistemindeki tüm LayerZero entegrasyonlarını durdurdu ve ürün ile destek ekibimiz hafta sonu boyunca kurumsal ortaklarla sürekli iletişimde kaldı.
Yaklaşık altı yıl boyunca inşa edildi. Polygon üzerinde 2,4 trilyon dolarlık işlem tamamlandı. 7 milyar işlem. %99,99 uptime. Agglayer üzerinde hiç çapraz zincir köprüsü açığı yok. Bu yüzden Agglayer’i inşa etmek için yıllar harcadık; güvenlik her zaman öncelikli.
Bu rakamları göstermemin nedeni övünmek değil, kripto paranın büyük ödeme hacmini taşıyabilecek durumda olduğunu kurumsal bir kuruma itirazsız söyleyebilmek için bu somut başarıları sunmak.
Komitenin çapraz zincir köprülerini daha düşük maliyetle ve daha hızlı kurması nedeniyle, ekibin bunları oluşturmak için çaba göstermesini anlıyorum; biz de erken sürümleri kendimiz kurduk. Ancak, şimdi saldırganların yapabilecekleri şeyler gerçekten değişti.
2022'den beri Lazarus organizasyonu bu tasarımları hedef alıyor ve yavaşlamıyor. AI destekli denetim, şimdiye kadar karmaşık katmanların altında gizlenmiş yapılandırma hatalarını tespit edebiliyor. Bu saldırılar kaybolmayacak. Matematik, komitenin zayıf noktalarını nihayet yakalayacak.
Son iki veya üç yıl içinde, bu sektör her yıl trilyonlarca dolarlık işlem hacmi结算 etti. Bankaları ve ödeme şirketlerini, hâlâ hafta sonu sabahları sadece bir veya iki imzalayıcıya dayanarak doğru kararlar veren sistemlere büyük miktarlarda para yerleştirmeye zorluyoruz. İşte talebimiz; bunu yüksek sesle söyleyin, ne kadar absürt olduğunu anlayacaksınız.
Daha iyi yapmalıyız ve zaten nasıl yapacağımızı biliyoruz.
Bununla birlikte, LayerZero'nun şu anda tüm endüstride 1/1 ayarını (tek imza) devre dışı bırakması doğru bir karar ve bu, çapraz zincir güvenliğini çok daha artıracaktır; tamamen destekliyorum. Diğer takımlar da komitelerinin tasarımını güçlendirmeye devam edecektir. Bu çalışma çok önemlidir.
Ancak daha büyük değişim mimaride. ZK kanıtları yorulmaz, sosyal mühendislik saldırılarına maruz kalmaz ve kötü bir hafta sonu geçirmez. Matematik ya doğrudur ya yanlıştır; eğer yanlışsa, hiçbir şey sonuçlanmaz.
Bu, sektörün ilerlediği yön; şimdi, bir ay önceye göre daha hızlı adımlar atılıyor ve bu, her bir yapımcı ve zincire giren her kurum için iyi bir haber.
Bu hafta, her bir çapraz zincir altyapısı oluşturan ekip, kendisine şu soruyu sormalı: Gerçekten bir komiteye ihtiyacım var mı? Mevcut komiteleri güçlendirmek, ikinci bir tercihtir.
Agglayer açık kaynaktır. Protokol ücreti yoktur. Lisans kısıtlaması yoktur. Güvenilir kanıt mekanizmasından kriptografik doğrulamaya geçmeye hazırlanan her takım entegrasyon yapabilir. Şu anda bir çapraz zincir köprüsü çalıştırıyorsanız ve geçen üç haftadaki olaylar, güven modelinizi yeniden düşünmenize neden olduysa, lütfen bize ulaşın.
Bu, biriktirdiğimiz rekabet avantajı değil, tüm endüstride kullanılması gereken altyapı.
Kripto para paranın gelecek on yılının kaderi, şimdi daha karmaşık mimarileri kabul etmeye hazır takımlar tarafından belirlenecek. Kriptografik kanıtlar, noter ofislerinin kurulmasından daha zor. Ancak bunlar hafta sonları çökmeyecek ve kripto para paranın taşınması istenen trilyonlarca düzeyde ölçeklenebilecek.
Bir komite mi istiyorsunuz, yoksa bir matematiksel ispat mı? Biz ikincisini seçtik. Daha fazla kişinin de bunu seçmesini umuyoruz.
Bu hafta sonu boyunca ZK çapraz zincir üzerindeki inancım daha da pekişti. Zor zamanlarda, net bir mimari şekilleniyor.