CoinDesk Türkiye Analiz: Ronin Dirildi - Merkeziyetsizlik Yarası Kapanır mı?

Blockchainleri ölçeklendirmek için kullanılan sidechainler, rollup gibi daha farklı ölçeklendirme opsiyonlarından farklı olarak birer köprü kullanımını gerektirir. Ronin köprüsü, Ronin sidechain’ine para göndermek, buradan para almak için kullanılıyor. 

Ronin ağı, 23 Mart tarihinde o dönemki değerleriyle toplamda yaklaşık 625 milyon dolar eden 173 bin 600 ether (ETH) ve 25 milyon 500 bin USDC’nin çalındığı devasa bir saldırıya uğradı. Ronin, merkeziyetsiz finans ekosisteminde dolar cinsinden yapılmış en büyük saldırının heefi olarak Rekt’in lider tablosundaki yerini koruyor. 

Bir zayıf nokta olarak “merkeziyetsizlik” 

Merkeziyetsiz finans alanında kaydedilen hack saldırılarının birçoğu, saldırganların bir teknik problemi, akıllı sözleşmedeki bir bugı suistimal etmesinden kaynaklanıyor. Ronin ağına düzenlenen saldırının ise teknik boyutundan daha çok insani tarafı ağır basıyor ve bu, sidechainlerle ilgili önemli bir soru işaretine ışık vuruyor: Merkeziyetsizlik. 

Sidechainler, belli bir ana blockchaine parallel şekilde çalışan blockchainlerdir. Ancak bunlar; kendilerine özgü konsensus algoritmalarının, işlemleri doğrulayan, blok üreten, blockchaini muhafaza eden validatörlerinin olmasıyla ana blockchainden ayrılır. Sidechainlerin kullanılmasındaki amaç, ana blockchaindeki tıkanıkları atlatmak, bu sayede işlem hızında artış; işlem ücretinde ise düşüş elde etmektir. 

Merkeziyetsizlik, sidechainlerin en sert eleştirildiği yerlerden biridir. Bunlardaki validatör sayısının çok kısıtlı olması ve validatörlük hakkının, yalnızca belli kriterleri karşılayan partilere imtiyaz olarak sunulması, bunları paralel olarak çalıştıkları ana blockchaine kıyasla çok daha merkezi kılar. Ayrıca bunların, kendilerine ait algoritmalarla çalışıyor oldukları için ana blockchainin sunduğu güvenlik olanaklarından mahrum olması, Ethereum’un kurucularından Vitalik Buterin’in de bir Reddit gönderisinde dikkat çektiği gibi, sidechain kullanımını riskli kılar. CoinDesk Türkiye’ye konuşan Open Money Teknoloji ve Yatırım A.Ş. CEO’su Osman Kuzucu, ana blockchainler ile sidechainler arasındaki merkeziyet farkını şöyle yorumluyor: 

“Blockchain ve kripto varlıklar genellikle merkeziyetsiz yapılar, ya da en azından merkeziyetsiz olarak çalışması hedeflenen varlıklar. Ancak blockchain köprüleri, ronin köprüsünde olduğu gibi, tamamen merkezi yapılar. Her ne kadar validatörler ya da köprünün paydaşları merkeziyetsiz ya da dağıtık sistemler gibi görünse de günün sonunda köprü işlemlerinin tamamlanması için o blockchain ağı çoklu imzayı desteklemiyorsa tüm yük tek bir gizli anahtara biniyor ve bu anahtar sızdırıldığında, ya da bu anahtara bir şekilde ulaşıldığı zaman maalesef güvenlik açıkları ortaya çıkabiliyor.”      

Sidechainler bu riskler kabul edilerek geliştirilir ve Ronin ağı, bunların içerisindeki en büyüklerden birisiydi. Onu en popüler play-to-earn oyunlarından Axie Infinity’nin geliştiricisi olan Sky Mavis, 2020 yılında geliştirmeye başladı ve ağ, Şubat 2021’de kullanıma açıldı. Eğer bir sidechain, bilhassa bir projeye adanmış olacak şekilde geliştiriliyorsa o sidechain, işbu projenin gereksinimlerine, değişkenlerine ve ölçeğine göre özel olarak şekillendirilebilir. Ronin ağı, tamamen Axie Infinity’nin ihtiyaçlarını karşılamak, kullanıcılara daha iyi bir oyun deneyimi sunmak için tasarlandı. Axie Infinity kullanıcıları bu sayede, sistemin üstüne çok fazla yük bindiği durumlarda bile, Ethereum blockchainde yapacaklarına kıyasla daha hızlı ve ucuz şekilde işlem yapabiliyor. 

Ronin ağı, Proof of Authority algoritmasını kullanır ve ağdaki validatörler, para yatırma/çekme işlemlerini bu algoritma uyarınca değerlendirir. Sahip olduğu yüz binlerce validatör ile merkeziyetsizliğini pekiştiren Ethereum gibi ana blockchainlerden farklı olarak, Ronin ağında seçili isimlerin yer aldığı, yalnızca dokuz üyelik bir validatör grubu bulunuyordu. Ağdaki para yatırma/çekme işlemlerinin onaylanması için ise bunlardan sadece beşinin uzlaşmaya varması yetiyordu. 

Evin anahtarı tek örgütün elinde 

Axie Infinity’nin dijital tokenı olan AXS, Kasım 2021 tarihinde 164,90 dolara yükselerek kendi fiyat rekorunu kırdı. Oyunun popülaritesinin zirve yaptığı o dönemde, Ronin ağının üstündeki kullanıcı yükü artış gösterdi. O dönemde ağdaki toplam dokuz düğümden (node) dört tanesini yöneten Sky Mavis, bu sorunu çözmek için aynı dönemde bir tane düğümü yöneten Axie DAO’dan yardım istedi ve bir RPC düğümü oluşturdu. Bu planın işe yarayabilmesi için Axie DAO’nun, kendi imza yetkisini kullanabilmesi adına Sky Mavis’e vekalet vermesi gerekti. Plan, yalnızca bir ay boyunca uygulandı. Ancak Axie DAO’nun, Sky Mavis’e verdiği vekalet, plan rafa kalktıktan sonra dahi geri alınmadı. 

Ağdaki validatör sayısının dokuz ile kısıtlı olması, bu dokuz düğümden dört tanesinin tek bir kuruluş tarafından yönetilmesi, bu dört düğümün, farklı bir düğüm ile bu şekilde vekalet aracılığıyla birleşmiş olması, Ronin ağının merkeziyetsizliğini tehlikeye atarak ağda büyük bir güvenlik açığı yarattı. 

Bir grup saldırgan, o dönemki bir Sky Mavis çalışanına başarılı bir oltalama saldırısı düzenleyip, şirket altyapısına sızdı ve Sky Mavis’in düğümlerine erişim sağladı. Sky Mavis’in sahip olduğu vekalet sebebiyle saldırganlar, Sky Mavis düğümleri üzerinden Axie DAO’nun imza yetkisini de ele geçirdi. Böylece işlem yapmak için gerekli otoriteyi sağlayan saldırganlar, önce 173 bin 600 ETH’yi, ardından 25 milyon 500 bin USDC’yi çaldılar. 

Saldırganlar, paranın bir kısmını kendi cüzdanlarında tutarken, bir kısmını FTX, Crypto.com gibi merkezi şekilde yönetilen borsalara gönderdiler. Bu, onların kimliğine ve amacına dair soru işaretleri yaratırken, FBI tarafından yapılan açıklamada saldırganların Kuzey Kore merkezli Lazarus Group olduğu belirtildi. Örgütün kullandığı cüzdanlara ABD Hazine Bakanlığı tarafından yaptırım kararı alındı. 

Yaraları sarma ve açıkları kapatma vakti 

Ronin ekibi, 23 Mart tarihindeki bu saldırıyı ancak 29 Mart tarihinde, bir kullanıcı köprüden 5 bin ETH çekmeye çalışıp sorun yaşadığında keşfetti. Merkeziyetsizlikten verdiği ödün ve saldırıyı ancak günler sonra anlamış olması ile eleştirilen Ronin ekibi, “Validatör grubunun küçük olması, ağa saldırmayı kolaylaştırdı ve yaşadığımız saldırıyı mümkün kılan temel şey bu oldu.” açıklamasında bulunarak, iyileşme sürecini başlattı. 

Sky Mavis, saldırı ortaya çıktıktan sekiz gün sonra, saldırıdan etkilenen kullanıcıların zararlarını karşılayabilmek için 150 milyon dolar fonlama aldığını açıkladı. Şirkete katkıda bulunanlar arasında başta Binance olmak üzere a16z, Dialectic, Paradigm ve Accel yer aldı. Axie Infinity’yi, Binance Launchpad’in 17. projesi olarak Kasım 2020’de ağırlayan Binance’in CEO’su Changpeng Zhao, şirkete verdikleri destekle ilgili olarak şunları söyledi: 

“Global ekosistemin büyüyüp, olgunlaşabilmesi için, özellikle güvenlik konusunda birbirimizle birlikte çalışmalıyız. Sky Mavis ekibinin, kendileriyle Axie Infinity projesi için, Binance Launchpad’de çalıştığımızdan beri sergilediği takdire şayan büyümeyi görüyoruz. Sky Mavis’in, bu endüstriye değer katacağına inanıyor, yakın tarihte yaşadıkları sorunu çözmeye çalışırken kendilerine yardımcı olmamız gerektiğini düşünüyoruz.”

Binance ayrıca saldırıdan etkilenmiş Ronin kullanıcılarının, ağda kalan paralarını çekebilmeleri için 2 Nisan’da bir köprü açtı. Kuzucu’ya göre Ronin’in, böyle büyük çaplı bir saldırı sonrasında iyileşme sürecine girmiş olması, blockchain ekosisteminin tamamı için anlam taşıyor: 

“Burada saldırının blockchain ekosistemini nasıl etkilediğini ya da fonlar kurtarılamamış / geri ödenememiş olsa nasıl etkilenecek olduğunu anlayabilmek önemli. Bu çapta bir kayıp geri ödenmemiş olsaydı muhtemelen yatırımcıların bir çoğu tekrar kripto paralara yönelmeyecek, farklı kripto paraları satın almaktan da uzak duracak, üstelik ellerinde bulundurdukları diğer kripto varlıkları da satarak sistemin dışına çıkacaklardı. O nedenle böyle bir kaybın ekosisteme etkisi de çok büyük olacağı için blockchain alanında yüksek miktarda yatırımı olan fonlar hızlıca süreci toparlamak için birlikte çalıştılar diyebiliriz.”

Ronin ekibi, saldırı tespit edildikten sonra Ronin köprüsünü ve Ronin tabanlı merkeziyetsiz borsa Katana’yı geçici olarak kapatma kararı aldı. İyileşme çalışmalarının birkaç hafta sürmesi ve güncellemenin nisan ayının ortasına kadar hazır olması planlanırken, bu güncelleme önce mayıs ayının ortasına, daha sonra ise 28 Haziran tarihine kadar ertelendi. 

Ronin köprüsü, bu tarihte yapılan çalışmanın ardından yeniden kullanıma hazır hale geldi. Köprü kullanıma girmeden önce ağ, biri CertiK, biri Verichains olmak üzere iki blockchain denetçisi tarafından denetlendi. 

Ronin’e getirilen güncelleme sonrasında artık ağdaki yönetim sürecinin merkeziyetsiz bir oylama mekanizması ile yürütüleceği açıklandı. İşlem onaylama süreci, şüpheli işlemlerin önüne geçebilmek adına kademeleştirildi. Bu doğrultuda, Birinci Kademe bir işlemin onaylanması validatörlerin en az yüzde 70’inin imzasını, İkinci Kademe (en az 1 milyon dolarlık) bir işlemin onaylanması, imzaların en az yüzde 90’ını, Üçüncü Kademe (en az 10 milyon dolarlık) bir işlemin onaylanması ise hem imzaların en az yüzde 90’ını hem de manuel bir inceleme sürecini gerektiriyor. 

Ayrıca Ronin köprüsüne ilk aşamada 50 milyon dolar değerinde olacak şekilde bir günlük para çekme limiti getirildi. 

Sky Mavis ekibi, merkeziyetsizlik zaafını gidermek adına Ronin ağındaki validatör grubunu büyütme kararı aldı. Saldırı yaşandıktan sonra sıfırlanan validatörlerin sayısı önce 9’dan 11’e, günümüz itibarıyla ise 16’ya çıkarıldı. Bu sayının kısa vadede 21’e; uzun vadede ise 100’e çıkarılması hedefleniyor. 

Ronin ağı, hem mart ayında yapılan saldırının hem dijital varlık ekosistemi genelinde görülen düşüş trendinin etkilerini açık bir şekilde hissediyor. Ağdaki günlük aktif adres sayısı, Kasım 2021’de 1.1 milyonun üstüne çıkmışken günümüzde 46 bine kadar düşmüş durumda. Ronin yine de şu ana kadar yapılmış tüm NFT satışlarının hacim sıralamasında Ethereum blockchainin gerisinde, Solana’nın ise ilerisinde, ikinci sırada yer alırken, Axie Infinity de satış hacmi bakımından NFT koleksiyonları arasındaki liderliğini koruyor. Korunan bir diğer şey ise, merkeziyetsizliğin açtığı bu yaranın kapanıp kapanmayacağı sorusunu sarmalayan belirsizlik.