Güvenlik ve Gizlilik

Güvenlik ve Gizlilik Garantileri

Agora, gizlilik ve doğrulanabilirlik için en yüksek standartları sunmak için kriptografik güvenliği blockchain değiştirilemezliğiyle birleştirir

Güvenlik Öncelikli

Güvenlik ve gizlilik Agora'da isteğe bağlı özellikler değildir—bunlar temel gereksinimlerdir. Platformumuz, oy veren anonimliğini sağlarken tam şeffaflık ve doğrulanabilirliği koruyan kriptografik garantiler üzerine kuruludur.

Merkezi otoritelere güvene dayanan geleneksel sistemlerin aksine, Agora güvenlik özelliklerini garanti etmek için matematiksel kanıtlar kullanır. Bu garantiler, blockchain güvenli kaldığı sürece backend sistemleri tehlikeye girse bile geçerlidir.

Güvenlik modelimiz üç sütun üzerine kuruludur: Gizlilik için Sıfır Bilgi Kanıtları, Değiştirilemezlik için Blockchain ve Otomatik doğrulama için Akıllı Sözleşmeler.

Sıfır Bilgi Kanıtları

Semaphore ZKP'ler, oy veren kimliğinin oy seçiminden kriptografik olarak ayrıldığını sağlar. Hiçbir varlık bir oyu bir oy verene bağlayamaz.

Güvenlik Garantileri:

  • Kimlik taahhüdü asla kişisel bilgiyi açığa çıkarmaz
  • ZK kanıtı kimlik açıklaması olmadan uygunluğu doğrular
  • Nullifier anonimliği korurken çift oylamayı önler
  • İstemci tarafı kanıt üretimi sırları yerel tutar

Blockchain Değiştirilemezliği

Tüm oylar Ethereum'a kaydedilir, değiştirilemez veya silinemez, değiştirilemez, sahtekarlığa karşı korumalı bir kayıt oluşturur.

Güvenlik Garantileri:

  • Blockchain konsensüsü tarafından kriptografik olarak güvence altına alınmış
  • Kamuya açık doğrulanabilir oy kayıtları
  • Tek nokta arızası yok
  • Tarihsel bütünlük sonsuza kadar korunur

Tasarım Gizliliği

Mimari, kişisel verilerin asla oylarla saklanmadığını garanti eder. Kimlik ve oy seçimi kalıcı olarak ayrılır.

Güvenlik Garantileri:

  • Kimlik ve oylar arasında korelasyon yok
  • Kimlik taahhütleri oylardan ayrı saklanır
  • Backend oyları kullanıcılara bağlayamaz
  • Gerçek anonim katılım

Kamuya Açık Doğrulanabilirlik

Herkes oy veren gizliliğini tehlikeye atmadan oy sayılarını ve bütünlüğü doğrulayabilir. Anonimlikten ödün vermeden şeffaflık.

Güvenlik Garantileri:

  • Denetim için kamuya açık blockchain kayıtları
  • Zincir üzeri ZK kanıt doğrulama
  • Merkle ağacı kök doğrulama
  • Şeffaf oy toplama

Gizlilik Garantileri

Kimlik Koruması

Oy veren kimlikleri asla oylarla saklanmaz. Sadece orijinal kimliği açığa çıkarmak için geri alınamayan kimlik taahhütleri (hash'ler) kullanılır.

Oy Anonimliği

Sıfır bilgi kanıtları, tüm sistem verilerine erişim olsa bile, bir oyu belirli bir oy verene bağlamanın matematiksel olarak imkansız olduğunu garanti eder.

Korelasyon Yok

Aynı kullanıcıdan gelen birden fazla oy korelasyon yapılamaz. Aynı kimlik kullanılsa bile her oy bağımsız olarak anonimdir.

Zorlama Direnci

Oylar kimliklere bağlanamayacağı için, oy verenler oy tercihlerine göre zorlanamaz veya korkutulamaz.

Güvenlik Önlemleri

Kriptografik Güvenlik

  • Semaphore ZK devreleri denetlenmiş ve savaşta test edilmiş
  • Kimlik üretimi için EdDSA imzaları
  • Taahhütler için Poseidon hash fonksiyonu
  • 20 derinliğinde Merkle ağacı (1M+ oy vereni destekler)

Akıllı Sözleşme Güvenliği

  • Standart güvenlik için OpenZeppelin sözleşmeleri
  • Kapsamlı girdi doğrulama
  • Yeniden giriş koruması
  • Erişim kontrolü ve sahiplik yönetimi

Altyapı Güvenliği

  • Tüm iletişimler için HTTPS/TLS şifreleme
  • Güvenli anahtar yönetimi
  • Hız sınırlama ve DDoS koruması
  • Düzenli güvenlik denetimleri ve güncellemeler

Denetim ve Doğrulama

Agora'nın güvenlik modeli şeffaflık ve doğrulanabilirlik için tasarlanmıştır. Tüm kritik bileşenler açık kaynaklıdır ve bağımsız olarak denetlenebilir:

Akıllı Sözleşmeler

  • Açık kaynaklı Solidity sözleşmeleri
  • Etherscan'de kamuya açık doğrulanabilir
  • Üçüncü taraf denetim önerileri

ZK Devreleri

  • Semaphore protokolü
  • Circom devre kaynak kodu mevcut
  • Güvenilir kurulum töreni katılımı

Güvenlik En İyi Uygulamaları

Kullanıcılar her zaman akıllı sözleşme adreslerini doğrulamalı, resmi frontend'leri kullanmalı ve özel anahtarlarını güvende tutmalıdır. Kimlik sırrınızı veya özel anahtarlarınızı asla kimseyle paylaşmayın.

Tehdit Modeli ve Azaltmalar

Backend Tehlikesi

Tehdit: Saldırgan backend veritabanına ve sunucularına erişim kazanır.
Azaltma: ZK kanıtları backend tehlikeye girse bile oyların anonim kalmasını sağlar. Kimlik sırları asla sunuculara gönderilmez. Blockchain doğrulaması backend'den bağımsızdır.

Blockchain Saldırısı

Tehdit: %51 saldırısı veya akıllı sözleşme istismarı.
Azaltma: Ethereum'un güvenlik modeli ve akıllı sözleşme en iyi uygulamaları. Değiştirilemez kayıtlar geriye dönük tahrifatı önler. Kamuya açık doğrulanabilirlik anormalliklerin tespit edilmesini sağlar.

Kimlik Korelasyonu

Tehdit: Metadata veya zamanlama analizi yoluyla oyları kimliklere bağlama girişimleri.
Azaltma: ZK kanıtları herhangi bir korelasyonu önler. Nullifier'lar kimliği açığa çıkarmadan çift oylamayı önler. Merkle ağacı yapısı bireysel üyelikleri gizler.

Kapsamlı Risk Analizi

Teknik Riskler

ZK Kanıt Karmaşıklığı

Risk: ZK kanıt üretimi, özellikle mobil cihazlarda önemli hesaplama kaynakları gerektirir. Karmaşık kanıtların üretilmesi 10-30 saniye sürebilir.
Azaltma: İlerleme göstergeleriyle istemci tarafı kanıt üretimi. Optimize edilmiş Semaphore devreleri. Gelecekte mobil optimizasyonlar planlanmıştır.

Gas Maliyetleri

Risk: Ethereum ana ağı gas maliyetleri yüksek olabilir (anket oluşturma başına tahmini 800K-5M gas, oy başına ~200K-500K gas). Yüksek gas fiyatları erişilebilirliği sınırlayabilir.
Azaltma: Katman 2 çözümleri planlanmıştır (Polygon, Arbitrum, Base). Akıllı sözleşmelerde gas optimizasyonu. Sübvansiyonlu maliyetler için işlem aktarıcısı.

Ölçeklenebilirlik Sınırlamaları

Risk: 20 derinliğindeki Merkle ağacı anket başına 1.048.576'ya kadar oy vereni destekler. Çok büyük anketler performans zorluklarıyla karşılaşabilir.
Azaltma: Büyük anketler için toplu işleme. Zincir üzeri doğrulama ile zincir dışı toplama. Gelecekte daha büyük ağaç derinlikleri için destek.

Akıllı Sözleşme Güvenlik Açıkları

Risk: Akıllı sözleşmelerdeki potansiyel hatalar veya istismarlar oy bütünlüğünü tehlikeye atabilir.
Azaltma: Standart güvenlik için OpenZeppelin sözleşmeleri. Kapsamlı test. Planlanan üçüncü taraf denetimler. Kritik fonksiyonlar için resmi doğrulama.

Düzenleyici ve Yasal Riskler

Oylama Düzenlemeleri

Risk: Farklı yargı bölgeleri elektronik oylama için değişen düzenlemelere sahiptir. Bazıları belirli sertifikalar veya uyumluluk gerektirebilir.
Azaltma: Bağlayıcı olmayan anketler ve anketler için tasarlanmış platform. Bağlayıcı oy kullanım durumları için yasal danışmanlık. Uyumluluk çerçevesi geliştirme.

Menkul Kıymetler Düzenlemeleri

Risk: AGR tokeni bazı yargı bölgelerinde menkul kıymetler düzenlemelerine tabi olabilir.
Azaltma: Platform kullanımı için yardımcı token olarak tasarlanmış token. Token yapısının yasal incelemesi. Geçerli düzenlemelere uyumluluk.

Veri Koruma Yasaları

Risk: GDPR, CCPA ve diğer veri koruma düzenlemeleri kullanıcı verilerine uygulanabilir.
Azaltma: Tasarım gizliliği mimarisi. Minimal veri toplama. ZK kanıtları aracılığıyla anonimleştirme. Uyumluluk çerçevesi geliştirme.

Pazar ve Benimsenme Riskleri

Düşük Benimsenme

Risk: Kullanıcılar değer görmüyorsa veya çok karmaşık buluyorsa platform ivme kazanmakta zorlanabilir.
Azaltma: Kullanıcı dostu arayüzler. Eğitici içerik. Teşvik mekanizmaları (token ödülleri). Stratejik ortaklıklar. Topluluk oluşturma.

Rekabet

Risk: Yerleşik platformlar (Snapshot, Aragon) veya yeni rakipler pazar payını ele geçirebilir.
Azaltma: Benzersiz değer önerisi (ZKP ile gerçek anonimlik). Sürekli yenilik. Güçlü topluluk katılımı. Teknik üstünlük.

Token Fiyat Volatilitesi

Risk: AGR token fiyat volatilitesi platform ekonomisini ve kullanıcı teşviklerini etkileyebilir.
Azaltma: Deflasyonist model yukarı yönlü baskı yaratır. Hazine yönetimi. Kullanım odaklı token tasarımı. Uzun vadeli değer önerisi.

Operasyonel Riskler

Altyapı Arızaları

Risk: Backend sunucular, veritabanları veya blockchain ağ sorunları hizmeti kesintiye uğratabilir.
Azaltma: Yedekli altyapı. İzleme ve uyarı. Afet kurtarma planları. Blockchain merkezi olmayan yapısı tek nokta arızalarını azaltır.

Anahtar Personel Riski

Risk: Anahtar ekip üyelerinin kaybı geliştirme ve operasyonları etkileyebilir.
Azaltma: Dokümantasyon ve bilgi paylaşımı. Ekip genişletme. Topluluk katkıları. Gelecekte merkezi olmayan yapı.

Hazine Yönetimi

Risk: Kötü hazine yönetimi rezervleri tüketebilir ve sürdürülebilirliği etkileyebilir.
Azaltma: Otomatik dinamik ödül sistemi. Minimum rezerv gereksinimleri (%40). Şeffaf hazine raporlama. Gelecekte DAO yönetişimi.