Sabahın erken saatlerinde, bir bilgisayar korsanı Lido oracle multisig'deki bir adresi hackledi ve 1.4 ETH çaldıktan sonra nerede olduğunu ortaya çıkardı. Hırsızlığın Lido üzerinde önemli bir etkisi var mı? Bu makale, @IsdrsP (Lido Doğrulama Düğümü Süpervizörü) tarafından yazılan bir makaleden alınmıştır ve Nicky, Foresight News tarafından derlenmiş, derlenmiş ve katkıda bulunmuştur. (Özet: stETH sahiplerine "karar veto yetkisi" verin!) Lido'nun yeni teklifi veya DeFi yönetişim güç yapısını yeniden düzenleme) (arka plan eki: Aave ve Lido'nun toplam TVL'si ilk kez 70 milyar doları aşarak DeFi dünyasının yarısını işgal etti) 10 Mayıs sabahının erken saatlerinde, oracle hizmet sağlayıcısı Chorus One, Lido oracle'ın sıcak cüzdanının hacklendiğini ve bunun sonucunda 1,46 ETH'nin çalındığını açıkladı. Bununla birlikte, güvenlik denetimlerine göre, bu münferit olayın etkisi sınırlıydı ve ilgili cüzdanlar yalnızca hafif operasyonlar için tasarlandı. Bir kahine yapılan saldırı kulağa gerçekten kötü geliyor. Bununla birlikte, Lido'nun mimarisi, paydaş değerleri ve güvenlik odaklı katılımcı kültürü, böyle bir olayın etkisinin son derece sınırlı olduğu anlamına gelir—oracle tamamen ihlal edilse bile, bunun yıkıcı sonuçları olmayacaktır. Peki, Lido'yu bu kadar benzersiz kılan nedir? İyi düşünülmüş tasarım ve koruma katmanları Lido'nun oracle'ı, bilgileri konsensüs katmanından yürütme katmanına iletmekten ve protokol dinamiklerini raporlamaktan sorumludur. Kullanıcı fonlarını kontrol etmezler. Tek hatalı bir oracle yalnızca küçük sorunlara neden olabilir ve çekirdek ihlal edilse bile bunun feci sonuçları olmayacaktır. Güvenliği ihlal edilmiş tek bir oracle hangi kötü amaçlı eylemlere teşebbüs edebilir? A) kötü niyetli raporlar göndermezler (ancak dürüst kahinler tarafından göz ardı edilirler); B) Söz konusu oracle adresinin (yalnızca işlemleri gerçekleştirmek için kullanılan ve stake edenin fonlarını tutmayan) ETH bakiyesini boşaltın. Oracle'ın sorumluluğu tam olarak nedir? Lido'nun oracle'ı esasen 9 bağımsız katılımcıdan (5/9 konsensüs gereklidir) oluşan dağıtılmış bir mekanizmadır, esas olarak protokol durum raporlamasından sorumludur ve mevcut temel işlevler şunları içerir: ・Token enflasyon ödül dağıtımı (yeniden hesaplama) ・Para çekme işlemi işleme ・CSM (Topluluk Güvenlik Modülü) tarafından referans için doğrulama düğümü çıkışı ve performans izleme Bu oracle'lar, gözlemlenen durumlarının bir "raporunu" protokole sunar. Bu raporlar, günlük olarak biriken ödülleri veya cezaları hesaplamak, stETH bakiyelerini güncellemek, para çekme taleplerini işlemek ve sonuçlandırmak, doğrulayıcı çıkış taleplerini hesaplamak ve doğrulayıcı performansını ölçmek için kullanılır. Özünde, Lido oracle, yaygın olarak "multisig" olarak anlaşılandan farklıdır. Oracle'ların ne staker'lara ne de protokol fonlarına erişimi vardır, ne de herhangi bir protokol sözleşmesinin yükseltilmesini kontrol edebilirler, ne de kendilerini yükseltebilirler veya üyelikleri yönetebilirler. Bunun yerine, Lido DAO oylama yoluyla bir oracle listesi tutar. Oracle'ın yetenekleri son derece sınırlıdır - yalnızca aşağıdakileri yapabilir: farklı protokol hedefleri için tasarlanmış deterministik, denetlenmiş ve açık kaynaklı algoritmaları sıkı bir şekilde takip eden raporlar sunmak; Raporlanan sonuçları uygulamak için belirli durumlarda işlemleri yürütün (örneğin, bir sözleşmenin günlük yeniden hesaplama işlemleri). 9 oracle'dan 5'i ihlal edilirse ne olur? Bu durumda, ihlal edilen oracle kötü niyetli raporlar göndermek için komplo kurabilir, ancak herhangi bir raporun zincir üzerinde zorunlu protokol makul kontrolünden geçmesi gerekir. Bir rapor bu inandırıcılık kontrollerini ihlal ederse, rapordaki değerlerin belirli bir süre (günler veya haftalar) için izin verilen değer aralığına uyması gerektiğinden, işlem süresi uzatılır (ve hiçbir zaman "çözülemez"). En kötü senaryoda, bu, stETH benzeri yeniden hesaplamaların (olumlu veya olumsuz) yürürlüğe girmesinin daha uzun süreceği anlamına gelebilir, bu da stETH sahiplerini etkiler, ancak birisi DeFi'de stETH'yi kullanmadığı sürece çoğu sahip üzerinde minimum etkiye sahiptir. Başka olasılıklar da var: Kötü niyetli kahinler ve işbirlikçileri bazı bilgilere sahipse veya fikir birliği düzeyinde büyük cezalar (büyük ölçekli cezalar gibi) uygulama yeteneğine sahiplerse, finansal kazanç için yürütme katmanında stETH'nin güncellenmesindeki gecikmeden yararlanabilirler. Örneğin, büyük ölçekli bir müsadere durumunda, bazı insanlar negatif yeniden hesaplama yürürlüğe girmeden önce stETH'lerinin bir kısmını merkezi olmayan bir borsa (DEX) aracılığıyla satabilir. Ancak, para çekme işleminin adil bir şekilde yürütülmesini sağlamak için protokolün "sığınak modu" etkinleştirileceğinden, bu durum doğrudan kullanıcılar tarafından Lido aracılığıyla başlatılan para çekme işlemlerini etkilemeyecektir. Gerçek zamanlı ve kapsamlı şeffaflık Baştan sona, ister katkıda bulunanlar, ister düğüm operatörleri veya oracle operatörleri olsun, Lido ekosistemindeki tüm katılımcılar her zaman şeffaflığı ve iyi niyeti ön planda tutmuş, stake edenlerin hak ve çıkarlarına ve tüm ekosistemin sağlığına öncelik vermiştir. İster proaktif olarak ayrıntılı otopsi raporları yayınlıyor, ister altyapı kesintisinden kaynaklanan stake kayıplarını telafi ediyor, ister önleyici nedenlerle doğrulayıcılardan proaktif olarak çıkıyor veya kapsamlı olay raporlarını hızlı bir şekilde yayınlıyor olsun, şeffaflık her zaman en önemli öncelik olmuştur. Sürekli yinelemeli yükseltmeler Lido, her zaman teknoloji araştırma ve geliştirmenin ön saflarında yer almıştır ve oracle mekanizmalarının güvenliğini ve güvenilirliğini artırmak için sıfır bilgi kanıtı (ZK) teknolojisini kullanmaya kendini adamıştır. Ekip, daha ilk aşamada, sıfır bilgi kanıtı teknolojisi aracılığıyla konsensüs katmanı verilerinin güvenilir bir şekilde doğrulanmasını desteklemek için 200.000 dolardan fazla özel fon yatırımı yaptı. Bu teknik keşifler sonunda SuccinctLabs ekibi tarafından geliştirilen ve bu yıl içinde resmi olarak piyasaya sürülecek olan SP1 sıfır bilgi oracle "çifte doğrulama" mekanizmasına yol açtı. Bu mekanizma, doğrulanabilir konsensüs katmanı verileri aracılığıyla potansiyel olarak negatif yeniden temellendirme işlemleri için ek bir güvenlik doğrulama katmanı sağlar. Şu anda, bu tür sıfır bilgi teknolojisi hala geliştirme aşamasındadır ve ilgili sıfır bilgi sanal makinesinin (zkVM) yalnızca gerçek savaş testinden geçmesi gerekmekle kalmaz, aynı zamanda yavaş bilgi işlem hızı ve yüksek bilgi işlem maliyeti sınırlamalarına da sahiptir ve güvenilir oracle'ların tamamen yerini alamaz. Ancak uzun vadede, bu tür çözümler mevcut oracle'lara göre güveni en aza indirgenmiş bir alternatif olmayı vaat ediyor. Oracle teknolojisi karmaşıktır ve DeFi alanında çeşitli kullanım durumlarına sahiptir. Lido protokolünde oracle'lar, etkili bir merkezi olmayan mimari, görevler ayrılığı ve çok katmanlı bir doğrulama sistemi aracılığıyla potansiyel risklerin kapsamını önemli ölçüde azaltmak için temel bileşenler olarak dikkatlice tasarlanmıştır. İlgili raporlar Polymarket, oracle'lar tarafından kontrol ediliyor! "Doğru ve yanlış" kaybedeni üzerine 7 milyon dolardan fazla bahis kazandı Binance Launchpool'un yeni madeni para madenciliğini listeleme $Red, modüler oracle RedStone'un özellikleri nelerdir? Ethereum vs Solana: Lido ve Solayer'dan, iki staking staker modeli arasındaki fark [1.4 ETH hırsızlığının arkasında: Lido'nun güvenlik mekanizması kripto endüstrisine bir ders verdi] Bu makale ilk olarak BlockTempo'nun "Dinamik Trend - En Etkili Blockchain Haber Medyası" nda yayınlandı.
The content is for reference only, not a solicitation or offer. No investment, tax, or legal advice provided. See Disclaimer for more risks disclosure.
1.4 ETH hırsızlığının arkasında: Lido güvenlik mekanizması şifreleme sektörüne bir ders verdi
Sabahın erken saatlerinde, bir bilgisayar korsanı Lido oracle multisig'deki bir adresi hackledi ve 1.4 ETH çaldıktan sonra nerede olduğunu ortaya çıkardı. Hırsızlığın Lido üzerinde önemli bir etkisi var mı? Bu makale, @IsdrsP (Lido Doğrulama Düğümü Süpervizörü) tarafından yazılan bir makaleden alınmıştır ve Nicky, Foresight News tarafından derlenmiş, derlenmiş ve katkıda bulunmuştur. (Özet: stETH sahiplerine "karar veto yetkisi" verin!) Lido'nun yeni teklifi veya DeFi yönetişim güç yapısını yeniden düzenleme) (arka plan eki: Aave ve Lido'nun toplam TVL'si ilk kez 70 milyar doları aşarak DeFi dünyasının yarısını işgal etti) 10 Mayıs sabahının erken saatlerinde, oracle hizmet sağlayıcısı Chorus One, Lido oracle'ın sıcak cüzdanının hacklendiğini ve bunun sonucunda 1,46 ETH'nin çalındığını açıkladı. Bununla birlikte, güvenlik denetimlerine göre, bu münferit olayın etkisi sınırlıydı ve ilgili cüzdanlar yalnızca hafif operasyonlar için tasarlandı. Bir kahine yapılan saldırı kulağa gerçekten kötü geliyor. Bununla birlikte, Lido'nun mimarisi, paydaş değerleri ve güvenlik odaklı katılımcı kültürü, böyle bir olayın etkisinin son derece sınırlı olduğu anlamına gelir—oracle tamamen ihlal edilse bile, bunun yıkıcı sonuçları olmayacaktır. Peki, Lido'yu bu kadar benzersiz kılan nedir? İyi düşünülmüş tasarım ve koruma katmanları Lido'nun oracle'ı, bilgileri konsensüs katmanından yürütme katmanına iletmekten ve protokol dinamiklerini raporlamaktan sorumludur. Kullanıcı fonlarını kontrol etmezler. Tek hatalı bir oracle yalnızca küçük sorunlara neden olabilir ve çekirdek ihlal edilse bile bunun feci sonuçları olmayacaktır. Güvenliği ihlal edilmiş tek bir oracle hangi kötü amaçlı eylemlere teşebbüs edebilir? A) kötü niyetli raporlar göndermezler (ancak dürüst kahinler tarafından göz ardı edilirler); B) Söz konusu oracle adresinin (yalnızca işlemleri gerçekleştirmek için kullanılan ve stake edenin fonlarını tutmayan) ETH bakiyesini boşaltın. Oracle'ın sorumluluğu tam olarak nedir? Lido'nun oracle'ı esasen 9 bağımsız katılımcıdan (5/9 konsensüs gereklidir) oluşan dağıtılmış bir mekanizmadır, esas olarak protokol durum raporlamasından sorumludur ve mevcut temel işlevler şunları içerir: ・Token enflasyon ödül dağıtımı (yeniden hesaplama) ・Para çekme işlemi işleme ・CSM (Topluluk Güvenlik Modülü) tarafından referans için doğrulama düğümü çıkışı ve performans izleme Bu oracle'lar, gözlemlenen durumlarının bir "raporunu" protokole sunar. Bu raporlar, günlük olarak biriken ödülleri veya cezaları hesaplamak, stETH bakiyelerini güncellemek, para çekme taleplerini işlemek ve sonuçlandırmak, doğrulayıcı çıkış taleplerini hesaplamak ve doğrulayıcı performansını ölçmek için kullanılır. Özünde, Lido oracle, yaygın olarak "multisig" olarak anlaşılandan farklıdır. Oracle'ların ne staker'lara ne de protokol fonlarına erişimi vardır, ne de herhangi bir protokol sözleşmesinin yükseltilmesini kontrol edebilirler, ne de kendilerini yükseltebilirler veya üyelikleri yönetebilirler. Bunun yerine, Lido DAO oylama yoluyla bir oracle listesi tutar. Oracle'ın yetenekleri son derece sınırlıdır - yalnızca aşağıdakileri yapabilir: farklı protokol hedefleri için tasarlanmış deterministik, denetlenmiş ve açık kaynaklı algoritmaları sıkı bir şekilde takip eden raporlar sunmak; Raporlanan sonuçları uygulamak için belirli durumlarda işlemleri yürütün (örneğin, bir sözleşmenin günlük yeniden hesaplama işlemleri). 9 oracle'dan 5'i ihlal edilirse ne olur? Bu durumda, ihlal edilen oracle kötü niyetli raporlar göndermek için komplo kurabilir, ancak herhangi bir raporun zincir üzerinde zorunlu protokol makul kontrolünden geçmesi gerekir. Bir rapor bu inandırıcılık kontrollerini ihlal ederse, rapordaki değerlerin belirli bir süre (günler veya haftalar) için izin verilen değer aralığına uyması gerektiğinden, işlem süresi uzatılır (ve hiçbir zaman "çözülemez"). En kötü senaryoda, bu, stETH benzeri yeniden hesaplamaların (olumlu veya olumsuz) yürürlüğe girmesinin daha uzun süreceği anlamına gelebilir, bu da stETH sahiplerini etkiler, ancak birisi DeFi'de stETH'yi kullanmadığı sürece çoğu sahip üzerinde minimum etkiye sahiptir. Başka olasılıklar da var: Kötü niyetli kahinler ve işbirlikçileri bazı bilgilere sahipse veya fikir birliği düzeyinde büyük cezalar (büyük ölçekli cezalar gibi) uygulama yeteneğine sahiplerse, finansal kazanç için yürütme katmanında stETH'nin güncellenmesindeki gecikmeden yararlanabilirler. Örneğin, büyük ölçekli bir müsadere durumunda, bazı insanlar negatif yeniden hesaplama yürürlüğe girmeden önce stETH'lerinin bir kısmını merkezi olmayan bir borsa (DEX) aracılığıyla satabilir. Ancak, para çekme işleminin adil bir şekilde yürütülmesini sağlamak için protokolün "sığınak modu" etkinleştirileceğinden, bu durum doğrudan kullanıcılar tarafından Lido aracılığıyla başlatılan para çekme işlemlerini etkilemeyecektir. Gerçek zamanlı ve kapsamlı şeffaflık Baştan sona, ister katkıda bulunanlar, ister düğüm operatörleri veya oracle operatörleri olsun, Lido ekosistemindeki tüm katılımcılar her zaman şeffaflığı ve iyi niyeti ön planda tutmuş, stake edenlerin hak ve çıkarlarına ve tüm ekosistemin sağlığına öncelik vermiştir. İster proaktif olarak ayrıntılı otopsi raporları yayınlıyor, ister altyapı kesintisinden kaynaklanan stake kayıplarını telafi ediyor, ister önleyici nedenlerle doğrulayıcılardan proaktif olarak çıkıyor veya kapsamlı olay raporlarını hızlı bir şekilde yayınlıyor olsun, şeffaflık her zaman en önemli öncelik olmuştur. Sürekli yinelemeli yükseltmeler Lido, her zaman teknoloji araştırma ve geliştirmenin ön saflarında yer almıştır ve oracle mekanizmalarının güvenliğini ve güvenilirliğini artırmak için sıfır bilgi kanıtı (ZK) teknolojisini kullanmaya kendini adamıştır. Ekip, daha ilk aşamada, sıfır bilgi kanıtı teknolojisi aracılığıyla konsensüs katmanı verilerinin güvenilir bir şekilde doğrulanmasını desteklemek için 200.000 dolardan fazla özel fon yatırımı yaptı. Bu teknik keşifler sonunda SuccinctLabs ekibi tarafından geliştirilen ve bu yıl içinde resmi olarak piyasaya sürülecek olan SP1 sıfır bilgi oracle "çifte doğrulama" mekanizmasına yol açtı. Bu mekanizma, doğrulanabilir konsensüs katmanı verileri aracılığıyla potansiyel olarak negatif yeniden temellendirme işlemleri için ek bir güvenlik doğrulama katmanı sağlar. Şu anda, bu tür sıfır bilgi teknolojisi hala geliştirme aşamasındadır ve ilgili sıfır bilgi sanal makinesinin (zkVM) yalnızca gerçek savaş testinden geçmesi gerekmekle kalmaz, aynı zamanda yavaş bilgi işlem hızı ve yüksek bilgi işlem maliyeti sınırlamalarına da sahiptir ve güvenilir oracle'ların tamamen yerini alamaz. Ancak uzun vadede, bu tür çözümler mevcut oracle'lara göre güveni en aza indirgenmiş bir alternatif olmayı vaat ediyor. Oracle teknolojisi karmaşıktır ve DeFi alanında çeşitli kullanım durumlarına sahiptir. Lido protokolünde oracle'lar, etkili bir merkezi olmayan mimari, görevler ayrılığı ve çok katmanlı bir doğrulama sistemi aracılığıyla potansiyel risklerin kapsamını önemli ölçüde azaltmak için temel bileşenler olarak dikkatlice tasarlanmıştır. İlgili raporlar Polymarket, oracle'lar tarafından kontrol ediliyor! "Doğru ve yanlış" kaybedeni üzerine 7 milyon dolardan fazla bahis kazandı Binance Launchpool'un yeni madeni para madenciliğini listeleme $Red, modüler oracle RedStone'un özellikleri nelerdir? Ethereum vs Solana: Lido ve Solayer'dan, iki staking staker modeli arasındaki fark [1.4 ETH hırsızlığının arkasında: Lido'nun güvenlik mekanizması kripto endüstrisine bir ders verdi] Bu makale ilk olarak BlockTempo'nun "Dinamik Trend - En Etkili Blockchain Haber Medyası" nda yayınlandı.