En ce qui concerne le nom L2BEAT, la plupart des gens en ont peut-être entendu parler, mais ils ne savent pas grand-chose de ce qu'il fait. Pendant longtemps avant 2023, L2BEAT avait souvent l'impression que « la plate-forme de visualisation de données d'Ethereum Layer 2 ». En dehors de l'affichage des données TVL et de la classification des solutions techniques de la piste L2, tout le monde semblait avoir peu de compréhension des fonctions de L2beat. . Cependant, avec la montée progressive du Layer2 Risk Rating Index lancé en juin de cette année, L2BEAT, une organisation de niche comparable à l'"Ethereum L2 Rating Agency", est devenue connue de plus en plus de personnes.
Lorsque le mot « agence de notation » est évoqué, il y a une métaphore très frappante dans le livre « Le monde est plat » : « Nous vivons dans un monde de deux superpuissances, l'une est les États-Unis et l'autre est une agence de notation. États-Unis Vous pouvez détruire un pays avec des bombes, et les agences de notation peuvent détruire un pays avec des dégradations de leurs obligations ; il est parfois difficile de dire lequel est le plus puissant.
De la crise financière asiatique de 1997 à la crise des prêts hypothécaires à risque de 2007, les agences de notation de Wall Street ont joué un rôle central, et sont même devenues un important promoteur de ces événements pervers. Dans le Web3, un cercle qui met l'accent sur la « méfiance » en surface mais qui s'appuie en réalité sur le « consensus social », la « notation des risques » est un élément important qui ne peut être évité. Qu’il s’agisse d’audit de code de contrat ou d’analyse de transactions en chaîne, leur valeur n’est pas moins précieuse que les preuves sans connaissance et les algorithmes de consensus, voire pire.
Pour le nouveau domaine de la blockchain modulaire, un ensemble d'indicateurs objectifs et complets d'évaluation des risques, capables de distinguer les différentes couches 2, est particulièrement important, surtout maintenant que le système L2 transporte près de 10 milliards de dollars d'actifs. problème pratique incontournable pour découvrir les risques potentiels de la L2 et mieux prévenir le public.
Dans un blog de forum en 2022, **Vitalik a mentionné que presque tous les Rollups ne sont actuellement pas matures et que la plupart d'entre eux utilisent des moyens auxiliaires appelés Training Wheels (roues auxiliaires) pour assurer le fonctionnement normal des Rollups. **La « roue d'entraînement » reflète dans quelle mesure le projet Rollup s'appuie sur « l'intervention manuelle » et le « consensus social ». Moins L2 s'appuie sur la roue d'entraînement, plus elle est « sans confiance » et plus le risque est faible ; sinon, le risque est plus élevé.
Par exemple, la plupart des rollups optimistes, dont Optimism, ne disposent pas de systèmes anti-fraude en ligne, ce qui augmente considérablement le niveau de risque ; il existe également de nombreux L2 tels que Immutable X qui implémentent DA (disponibilité des données) sous la chaîne ETH, ou comme Starknet, il lui manque une fonctionnalité de retrait forcé/d’échange forcé qui peut être appelée à tout moment. Pour la couche 2, les conditions ci-dessus sont nécessaires pour garantir qu'elle est « égale à la sécurité de l'ETH ». Bien sûr, en plus de cela, presque toutes les parties au projet L2 se sont actuellement laissées une « porte dérobée », s'appuyant sur un ensemble de multi-signatures pour gérer le code du contrat L2 sur Ethereum, et peuvent modifier le hachage de statut à tout moment, ce qui est aussi énorme.Le danger caché.
Afin de mieux distinguer et définir Rollup, Vitalik et al.** ont divisé Rollup en trois niveaux, à savoir l'étape 0, l'étape 1 et l'étape 2, en fonction du degré de dépendance d'un projet Rollup sur les roues auxiliaires/l'intervention humaine. **Plus tard, L2beat a révisé ce système de classification grâce à la sollicitation de la communauté, qui peut être résumée grossièrement comme suit :
Stage0 - entièrement dépendant des roues d'entraînement, un Rollup doit répondre aux normes minimales :
**·**Ce projet s'appelle Rollup.
**·**Les transactions de cumul doivent être "en chaîne" (les données liées au processus de transition d'état L2 doivent être divulguées à L1, et la racine d'état de hachage de l'état L2 doit également être divulguée ;)
· Un lot de nœuds complets Rollup avec des autorisations ouvertes et un code open source doit être configuré, ce qui peut aider les utilisateurs à connaître l'état de tous les comptes sur L2 (y compris le solde, les heures de transaction, etc.).
Les projets L2 qui remplissent toutes les conditions ci-dessus seront marqués comme Stage 0 par L2beat, c'est-à-dire qu'ils répondent à la norme minimale d'un Rollup, sinon ils ne seront pas considérés comme un Rollup (comme Arbitrum Nova).
Et Stage1 - Rollup qui repose en partie sur des roues auxiliaires présente les caractéristiques suivantes :
**·**Le système de preuve de fraude/preuve de validité doit être lancé pour garantir la validité de la transition d'état L2 ;
**·**S'il s'agit d'un Rollup optimiste, il doit y avoir au moins 5 nœuds L2 contrôlés de manière non officielle et pouvant émettre des preuves de fraude (la liste blanche des challengers comprend au moins 5 entités autres que le Rollup officiel).
Par exemple, depuis novembre 2022, la liste blanche des challengers d'Arbitrum One comprend 9 entités : Consensys, Ethereum Foundation, L2BEAT, Mycelium, Offchain Labs, P2P, Quicknode, DLRC, Unit410.
**·**À tout moment, l'utilisateur peut contourner le séquenceur (opérateur) et **retirer de force les actifs de L2 à L1 pour garantir que les actifs ne seront pas gelés ; **Si le séquenceur lance une attaque de censure, En refusant de traiter certaines transactions, l'utilisateur peut soumettre de force la transaction dans la séquence de transactions Rollup sur L1. A part publier le mauvais Stateroot, le séquenceur ne trouve aucun autre moyen de faire le mal.
**·Rollup peut mettre en place un comité de sécurité, géré par un groupe de multi-signatures, et a le pouvoir de forcer la mise à niveau du contrat Rollup en cas d'urgence, ou d'interférer avec le Hachage de statut L2 enregistré sur le contrat. Mais la clé privée multi-signature du comité doit être suffisamment dispersée et le seuil doit être suffisamment élevé. Vitalik lui-même estime que cette valeur devrait être d'au moins 6/8, c'est-à-dire que si plusieurs signatures sont gérées par plus de 8 personnes, le seuil effectif est de 75 %.
· Les mises à niveau de contrat cumulatif qui ne sont pas autorisées par le comité via des signatures multiples sont soumises à un délai de verrouillage d'au moins 7 jours. De cette manière, si Rollup rencontre une proposition de mise à jour malveillante telle qu'une attaque de gouvernance (voir l'incident d'attaque de gouvernance Tornado Cash), les utilisateurs peuvent disposer d'au moins 7 jours pour retirer des fonds en toute sécurité.
Seuls Arbitrum One, dYdX et zkSync Lite parmi les rollups grand public actuels ont satisfait aux exigences de l'étape 1, tandis que d'autres rollups grand public en sont encore à l'étape 0.
Étape 2——Abandonnez complètement les roues d'entraînement et devenez un Rollup complet :
· De manière optimiste, les nœuds L2 qui peuvent publier des preuves de fraude dans le réseau Rollup devraient être sans autorisation et annuler le paramètre de liste blanche (à cet égard, Arbitrum One a récemment lancé un protocole appelé BOLD) ;
**·**Toutes les mises à niveau du contrat Rollup sont soumises à un délai de verrouillage d'au moins 30 jours, ou le contrat ne peut pas être mis à niveau du tout. Cela signifie qu'en cas de mise à niveau malveillante de Rollup, les utilisateurs L2 disposent d'au moins 30 jours pour retirer leurs fonds en toute sécurité.
Afin de mieux comprendre les indicateurs d'évaluation des risques répertoriés par L2BEAT, nous pouvons sélectionner trois instances de Rollup avec différents niveaux de sécurité pour analyse.
Stage0-Base,Stage1-Stage One,Stage2-Fuel:
Base est l'un des principaux projets sur la piste optimiste Rollup. Il s'appuie sur le contrat sur L1 pour enregistrer le hachage d'état L2 Stateroot, traiter les fonds entrants et sortants de L2 et utilise Ethereum pour atteindre la disponibilité des données (DA), qui a un relation de transition avec L1.
Le trieur de base doit divulguer les données de transaction de L2 à L1. Plus précisément, le trieur initie une transaction à l'adresse spécifiée sur Ethereum toutes les quelques minutes. Dans les données supplémentaires personnalisables Calldata de la transaction, enregistrez un lot de données de transaction compressées. Étant donné que les nœuds complets L2 synchroniseront automatiquement le bloc L1, ils peuvent surveiller la transaction envoyée par le trieur, analyser les données de transaction L2 dans leurs données d'appel, puis connaître le dernier état du trieur L2 et calculer l'état correct. Stateroot est comparé au Stateroot soumis par le séquenceur sur L1.
Actuellement, Base ne dispose pas d'un système anti-fraude en ligne. Il n'y a aucune garantie que le Stateroot L2 enregistré dans le contrat L1 soit correct, mais les utilisateurs capables d'exécuter des nœuds complets L2 peuvent découvrir où se trouve l'erreur. temps ; de plus, Base n'a pas d'anti-censure telle que les retraits obligatoires. Le schéma d'attaque, si le séquenceur est en panne pendant une longue période ou rejette délibérément les demandes des utilisateurs, les utilisateurs L2 ne pourront pas retirer de fonds en toute sécurité vers L1, donc il présente un énorme risque de sécurité.
De toute évidence, un tel Rollup n'est pas sûr au niveau de la conception du mécanisme, mais les utilisateurs et les membres de la communauté L2 peuvent émettre des avertissements via les réseaux sociaux si nécessaire pour sensibiliser la Fondation Ethereum et même les régulateurs tels que la SEC au danger. c'est-à-dire que, grâce à un degré élevé de transparence des données et à une supervision spontanée par les membres de la communauté, la « fermentation de l'opinion publique » et l'« intervention manuelle » et la « responsabilité juridique » qui en résulte sont utilisées pour limiter le comportement pervers du parti du projet L2, qui appartient au niveau le plus bas. niveau de garantie de sécurité, car il ne peut pas arrêter le mal à l'avance, mais ne peut rendre des comptes qu'après que le mal s'est produit.
Mais en fait, le « consensus social » est aussi la condition de base pour assurer la sécurité de la blockchain (si quelqu'un tente de forker Ethereum de manière malveillante, la communauté Ethereum utilisera également le consensus social pour déterminer quelle chaîne de fork doit être suivie), et les acteurs malveillants Considérant les conséquences d'être exposé pour ce que j'ai fait, la plupart du temps je n'ose pas me lever et prendre des risques (bien sûr, FTX, ZT, Mentougou et autres échanges sont exclus).
Lorsque nous changeons l'objet d'enquête en Arbitrum One, nous pouvons immédiatement voir la différence entre celui-ci et Base. Par exemple, il a lancé un système anti-fraude disponible et mis en place une liste blanche de challengers, qui comprend des nœuds gérés par 9 entités différentes, dont la Fondation Ethereum et L2beat. Tant que le séquenceur publie le mauvais hachage d'état Stateroot sur L1, le défi Le nœud de minerai émettra une preuve de fraude, qui peut garantir que le Stateroot L2 enregistré dans le contrat Rollup est correct ;
Dans le même temps, **Arbitrum One dispose d'un mécanisme de transaction forcée pour faire face à l'attaque par révision du séquenceur, qui permet aux utilisateurs d'appeler la fonction d'inclusion forcée du contrat Sequencer Inbox sur L1 pour soumettre directement les instructions de transaction à L1 ; si dans les 24 heures. , le séquenceur ne traite pas cette transaction/retrait qui nécessite une « inclusion obligatoire », l'instruction de transaction/retrait sera directement incluse dans la séquence de transaction Rollup, ce qui crée une « sortie sécurisée » permettant aux utilisateurs de forcer le retrait de L2.
Il convient de souligner ici que dans le projet Rollup de niveau Stage1, tant que les utilisateurs peuvent connaître le statut de tous les comptes L2 et construire une preuve Merkle correspondant au solde de leur propre compte, ils peuvent forcer les retraits via la fonction spécifiée dans le Rollup. contrat (cette fonction est généralement appelée la capsule d'évasion Escape Hetch). Quant à savoir comment connaître l'état du compte sur L2, cela dépend s'il existe ou non un nœud complet dans le réseau Rollup qui ouvre les données au monde extérieur (presque tous les L2 ont de tels nœuds).
De plus, le comportement de mise à niveau du contrat d'Arbitrum One est limité par divers facteurs. Par exemple, les propositions normales de mise à niveau de contrat doivent d'abord passer la décision de vote de la gouvernance en chaîne. Après avoir dépassé le seuil de vote, elles seront limitées par des verrous temporels (il est un délai de 12 jours). ), sera automatiquement exécuté ultérieurement. Si la proposition de mise à niveau du contrat contient une logique de code malveillant, elle peut être rejetée par le comité de sécurité (exécuté via multi-signature).
**Cependant, le comité de sécurité d'Arbitrum One lui-même peut dépasser le délai de verrouillage.**Par exemple, tant que la multi-signature est passée le 12 septembre, le comité de sécurité peut immédiatement mettre à jour le code du contrat ou modifier de force le L2 Stateroot enregistré dans le contrat Rollup.
Quant à savoir pourquoi le Comité de sécurité a un si grand pouvoir, Vitalik a expliqué un jour :
"Certains Rollups peuvent utiliser plusieurs fonctions de transition d'état indépendantes, par exemple, il y a deux émetteurs de preuve de fraude avec des opinions différentes, ou plusieurs nœuds Prover soumettent des preuves de validité différentes, ou le trieur essaie de bifurquer le grand livre L2, ou la preuve de validité n'est pas "
Bien entendu, Vitalik n'a énuméré que quelques "situations dangereuses" simples : étant donné que le contrat Rollup peut être attaqué par des pirates informatiques et que le séquenceur peut être piraté à tout moment (ou qu'il peut y avoir un espion), des mesures d'intervention d'urgence sont évidemment nécessaires.
Selon Vitalik, s'il s'agit d'un Rollup complet, le contrat peut être mis à niveau, mais il doit y avoir un délai de verrouillage de plus de 30 jours pour donner aux utilisateurs et aux membres de la communauté suffisamment de temps de réaction.
Évidemment, étant donné que le comité de sécurité d'Arbitrum peut immédiatement mettre à niveau le contrat après l'approbation de plusieurs signatures, si le code de la nouvelle version contient une logique métier malveillante, il peut théoriquement supprimer les actifs de l'utilisateur en L2. Par conséquent, **Arbitrum One ne répond pas à la définition de Vitalik d'un Rollup complet, mais le niveau de risque est relativement faible. **
Lorsque nous voulons examiner le "perfect rollup", il n'y a que deux projets sur L2BEAT qui répondent aux critères : Fuel V1 et DeGate. Parmi eux, Fuel V1 est le premier rollup optimiste à lancer un système anti-fraude. Sa soumission de preuve de fraude est sans autorisation, et tout le monde peut exécuter le nœud et émettre des preuves de fraude si nécessaire. Dans le même temps, le contrat Fuel V1 est codé en dur et ne peut pas être mis à niveau du tout. Le comité ne peut pas interférer avec le Stateroot L2 enregistré sur le contrat Rollup, il n'y a donc pas de risque dit de comité de sécurité.
Fuel V1 a atteint le niveau de risque le plus bas, mais chaque itération de mise à jour nécessite un redéploiement du contrat et oblige les utilisateurs à migrer manuellement les actifs vers la nouvelle version, ce qui est essentiellement une refonte d'un nouveau projet. La conséquence en est la fragmentation de la liquidité. Réduit considérablement la flexibilité. Parce que le modèle de programmation adopte UTXO et n'est pas compatible avec EVM, et que le fondateur est ensuite passé à l'équipe Celestia et pour d'autres raisons, le développement de Fuel a progressivement stagné et la construction écologique n'était pas satisfaisante.
Dans l’ensemble, le prix à payer pour rechercher une sécurité absolue est une mise à jour et une itération peu pratiques, et au moment où la technologie de preuve de fraude et de validité n’est pas encore parfaite, le maintien d’un certain degré d’évolutivité du contrat peut être indispensable pour la fonctionnalité Rollup.
Pour longtemps dans le futur, on peut prévoir la situation suivante : La plupart des Rollups n'abandonneront pas le comité de sécurité multi-signature, et les contrats L2 seront « immédiatement évolutifs » pendant longtemps ( Un certain ZK Rollup le projet n'a jamais renoncé à la multi-signature du Comité de sécurité, et s'est ensuite directement tourné vers de nouveaux projets). Compte tenu de la difficulté de développer un système de preuve de fraude, la plupart des Rollups optimistes non leaders pourraient ne pas être en mesure de lancer une preuve de fraude à court terme (il y a une forte probabilité qu'ils ne puissent pas le faire d'ici fin 2023). ), et Arbitrum One sera à l'avant-garde de la piste Rollup pendant longtemps, même s'il ne l'a pas encore. Il n'a pas le plus haut niveau de sécurité, mais il dispose d'un système anti-fraude relativement complet, et le comité de sécurité multi- La signature est raisonnablement dispersée (la multi-signature 9/12 a été attribuée à 12 membres de la communauté, y compris les membres du projet ARB) et possède également le plus grand écosystème DApp - avec plus de 440 applications. Reste à savoir si Base, dont la sécurité est faible et qui s'appuie davantage sur le marketing, pourra poursuivre la dynamique de croissance des derniers mois. Si Base parvient à surpasser Arbitrum One en termes de volume de TVL, cela pourrait conduire à l'effondrement de la foi « sans confiance » elle-même.
Bien entendu, le plus important est que nous aurons toujours besoin d’agences de notation des risques comme L2BEAT. Dans cette époque turbulente et chaotique, un ensemble d’indicateurs de notation des risques clairs et complets garantira toujours la prospérité du système Ethereum et même de l’ensemble du Web3. clé.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Re-comprendre la couche 2 et le cumul à partir de l'indicateur d'évaluation des risques L2BEAT
En ce qui concerne le nom L2BEAT, la plupart des gens en ont peut-être entendu parler, mais ils ne savent pas grand-chose de ce qu'il fait. Pendant longtemps avant 2023, L2BEAT avait souvent l'impression que « la plate-forme de visualisation de données d'Ethereum Layer 2 ». En dehors de l'affichage des données TVL et de la classification des solutions techniques de la piste L2, tout le monde semblait avoir peu de compréhension des fonctions de L2beat. . Cependant, avec la montée progressive du Layer2 Risk Rating Index lancé en juin de cette année, L2BEAT, une organisation de niche comparable à l'"Ethereum L2 Rating Agency", est devenue connue de plus en plus de personnes.
Lorsque le mot « agence de notation » est évoqué, il y a une métaphore très frappante dans le livre « Le monde est plat » : « Nous vivons dans un monde de deux superpuissances, l'une est les États-Unis et l'autre est une agence de notation. États-Unis Vous pouvez détruire un pays avec des bombes, et les agences de notation peuvent détruire un pays avec des dégradations de leurs obligations ; il est parfois difficile de dire lequel est le plus puissant.
De la crise financière asiatique de 1997 à la crise des prêts hypothécaires à risque de 2007, les agences de notation de Wall Street ont joué un rôle central, et sont même devenues un important promoteur de ces événements pervers. Dans le Web3, un cercle qui met l'accent sur la « méfiance » en surface mais qui s'appuie en réalité sur le « consensus social », la « notation des risques » est un élément important qui ne peut être évité. Qu’il s’agisse d’audit de code de contrat ou d’analyse de transactions en chaîne, leur valeur n’est pas moins précieuse que les preuves sans connaissance et les algorithmes de consensus, voire pire.
Pour le nouveau domaine de la blockchain modulaire, un ensemble d'indicateurs objectifs et complets d'évaluation des risques, capables de distinguer les différentes couches 2, est particulièrement important, surtout maintenant que le système L2 transporte près de 10 milliards de dollars d'actifs. problème pratique incontournable pour découvrir les risques potentiels de la L2 et mieux prévenir le public.
Dans un blog de forum en 2022, **Vitalik a mentionné que presque tous les Rollups ne sont actuellement pas matures et que la plupart d'entre eux utilisent des moyens auxiliaires appelés Training Wheels (roues auxiliaires) pour assurer le fonctionnement normal des Rollups. **La « roue d'entraînement » reflète dans quelle mesure le projet Rollup s'appuie sur « l'intervention manuelle » et le « consensus social ». Moins L2 s'appuie sur la roue d'entraînement, plus elle est « sans confiance » et plus le risque est faible ; sinon, le risque est plus élevé.
Par exemple, la plupart des rollups optimistes, dont Optimism, ne disposent pas de systèmes anti-fraude en ligne, ce qui augmente considérablement le niveau de risque ; il existe également de nombreux L2 tels que Immutable X qui implémentent DA (disponibilité des données) sous la chaîne ETH, ou comme Starknet, il lui manque une fonctionnalité de retrait forcé/d’échange forcé qui peut être appelée à tout moment. Pour la couche 2, les conditions ci-dessus sont nécessaires pour garantir qu'elle est « égale à la sécurité de l'ETH ». Bien sûr, en plus de cela, presque toutes les parties au projet L2 se sont actuellement laissées une « porte dérobée », s'appuyant sur un ensemble de multi-signatures pour gérer le code du contrat L2 sur Ethereum, et peuvent modifier le hachage de statut à tout moment, ce qui est aussi énorme.Le danger caché.
Afin de mieux distinguer et définir Rollup, Vitalik et al.** ont divisé Rollup en trois niveaux, à savoir l'étape 0, l'étape 1 et l'étape 2, en fonction du degré de dépendance d'un projet Rollup sur les roues auxiliaires/l'intervention humaine. **Plus tard, L2beat a révisé ce système de classification grâce à la sollicitation de la communauté, qui peut être résumée grossièrement comme suit :
Stage0 - entièrement dépendant des roues d'entraînement, un Rollup doit répondre aux normes minimales :
**·**Ce projet s'appelle Rollup.
**·**Les transactions de cumul doivent être "en chaîne" (les données liées au processus de transition d'état L2 doivent être divulguées à L1, et la racine d'état de hachage de l'état L2 doit également être divulguée ;)
· Un lot de nœuds complets Rollup avec des autorisations ouvertes et un code open source doit être configuré, ce qui peut aider les utilisateurs à connaître l'état de tous les comptes sur L2 (y compris le solde, les heures de transaction, etc.).
Les projets L2 qui remplissent toutes les conditions ci-dessus seront marqués comme Stage 0 par L2beat, c'est-à-dire qu'ils répondent à la norme minimale d'un Rollup, sinon ils ne seront pas considérés comme un Rollup (comme Arbitrum Nova).
Et Stage1 - Rollup qui repose en partie sur des roues auxiliaires présente les caractéristiques suivantes :
**·**Le système de preuve de fraude/preuve de validité doit être lancé pour garantir la validité de la transition d'état L2 ;
**·**S'il s'agit d'un Rollup optimiste, il doit y avoir au moins 5 nœuds L2 contrôlés de manière non officielle et pouvant émettre des preuves de fraude (la liste blanche des challengers comprend au moins 5 entités autres que le Rollup officiel).
Par exemple, depuis novembre 2022, la liste blanche des challengers d'Arbitrum One comprend 9 entités : Consensys, Ethereum Foundation, L2BEAT, Mycelium, Offchain Labs, P2P, Quicknode, DLRC, Unit410.
**·**À tout moment, l'utilisateur peut contourner le séquenceur (opérateur) et **retirer de force les actifs de L2 à L1 pour garantir que les actifs ne seront pas gelés ; **Si le séquenceur lance une attaque de censure, En refusant de traiter certaines transactions, l'utilisateur peut soumettre de force la transaction dans la séquence de transactions Rollup sur L1. A part publier le mauvais Stateroot, le séquenceur ne trouve aucun autre moyen de faire le mal.
**·Rollup peut mettre en place un comité de sécurité, géré par un groupe de multi-signatures, et a le pouvoir de forcer la mise à niveau du contrat Rollup en cas d'urgence, ou d'interférer avec le Hachage de statut L2 enregistré sur le contrat. Mais la clé privée multi-signature du comité doit être suffisamment dispersée et le seuil doit être suffisamment élevé. Vitalik lui-même estime que cette valeur devrait être d'au moins 6/8, c'est-à-dire que si plusieurs signatures sont gérées par plus de 8 personnes, le seuil effectif est de 75 %.
· Les mises à niveau de contrat cumulatif qui ne sont pas autorisées par le comité via des signatures multiples sont soumises à un délai de verrouillage d'au moins 7 jours. De cette manière, si Rollup rencontre une proposition de mise à jour malveillante telle qu'une attaque de gouvernance (voir l'incident d'attaque de gouvernance Tornado Cash), les utilisateurs peuvent disposer d'au moins 7 jours pour retirer des fonds en toute sécurité.
Seuls Arbitrum One, dYdX et zkSync Lite parmi les rollups grand public actuels ont satisfait aux exigences de l'étape 1, tandis que d'autres rollups grand public en sont encore à l'étape 0.
Étape 2——Abandonnez complètement les roues d'entraînement et devenez un Rollup complet :
· De manière optimiste, les nœuds L2 qui peuvent publier des preuves de fraude dans le réseau Rollup devraient être sans autorisation et annuler le paramètre de liste blanche (à cet égard, Arbitrum One a récemment lancé un protocole appelé BOLD) ;
**·**Toutes les mises à niveau du contrat Rollup sont soumises à un délai de verrouillage d'au moins 30 jours, ou le contrat ne peut pas être mis à niveau du tout. Cela signifie qu'en cas de mise à niveau malveillante de Rollup, les utilisateurs L2 disposent d'au moins 30 jours pour retirer leurs fonds en toute sécurité.
Afin de mieux comprendre les indicateurs d'évaluation des risques répertoriés par L2BEAT, nous pouvons sélectionner trois instances de Rollup avec différents niveaux de sécurité pour analyse.
Stage0-Base,Stage1-Stage One,Stage2-Fuel:
Base est l'un des principaux projets sur la piste optimiste Rollup. Il s'appuie sur le contrat sur L1 pour enregistrer le hachage d'état L2 Stateroot, traiter les fonds entrants et sortants de L2 et utilise Ethereum pour atteindre la disponibilité des données (DA), qui a un relation de transition avec L1.
Le trieur de base doit divulguer les données de transaction de L2 à L1. Plus précisément, le trieur initie une transaction à l'adresse spécifiée sur Ethereum toutes les quelques minutes. Dans les données supplémentaires personnalisables Calldata de la transaction, enregistrez un lot de données de transaction compressées. Étant donné que les nœuds complets L2 synchroniseront automatiquement le bloc L1, ils peuvent surveiller la transaction envoyée par le trieur, analyser les données de transaction L2 dans leurs données d'appel, puis connaître le dernier état du trieur L2 et calculer l'état correct. Stateroot est comparé au Stateroot soumis par le séquenceur sur L1.
Actuellement, Base ne dispose pas d'un système anti-fraude en ligne. Il n'y a aucune garantie que le Stateroot L2 enregistré dans le contrat L1 soit correct, mais les utilisateurs capables d'exécuter des nœuds complets L2 peuvent découvrir où se trouve l'erreur. temps ; de plus, Base n'a pas d'anti-censure telle que les retraits obligatoires. Le schéma d'attaque, si le séquenceur est en panne pendant une longue période ou rejette délibérément les demandes des utilisateurs, les utilisateurs L2 ne pourront pas retirer de fonds en toute sécurité vers L1, donc il présente un énorme risque de sécurité.
De toute évidence, un tel Rollup n'est pas sûr au niveau de la conception du mécanisme, mais les utilisateurs et les membres de la communauté L2 peuvent émettre des avertissements via les réseaux sociaux si nécessaire pour sensibiliser la Fondation Ethereum et même les régulateurs tels que la SEC au danger. c'est-à-dire que, grâce à un degré élevé de transparence des données et à une supervision spontanée par les membres de la communauté, la « fermentation de l'opinion publique » et l'« intervention manuelle » et la « responsabilité juridique » qui en résulte sont utilisées pour limiter le comportement pervers du parti du projet L2, qui appartient au niveau le plus bas. niveau de garantie de sécurité, car il ne peut pas arrêter le mal à l'avance, mais ne peut rendre des comptes qu'après que le mal s'est produit.
Mais en fait, le « consensus social » est aussi la condition de base pour assurer la sécurité de la blockchain (si quelqu'un tente de forker Ethereum de manière malveillante, la communauté Ethereum utilisera également le consensus social pour déterminer quelle chaîne de fork doit être suivie), et les acteurs malveillants Considérant les conséquences d'être exposé pour ce que j'ai fait, la plupart du temps je n'ose pas me lever et prendre des risques (bien sûr, FTX, ZT, Mentougou et autres échanges sont exclus).
Lorsque nous changeons l'objet d'enquête en Arbitrum One, nous pouvons immédiatement voir la différence entre celui-ci et Base. Par exemple, il a lancé un système anti-fraude disponible et mis en place une liste blanche de challengers, qui comprend des nœuds gérés par 9 entités différentes, dont la Fondation Ethereum et L2beat. Tant que le séquenceur publie le mauvais hachage d'état Stateroot sur L1, le défi Le nœud de minerai émettra une preuve de fraude, qui peut garantir que le Stateroot L2 enregistré dans le contrat Rollup est correct ;
Dans le même temps, **Arbitrum One dispose d'un mécanisme de transaction forcée pour faire face à l'attaque par révision du séquenceur, qui permet aux utilisateurs d'appeler la fonction d'inclusion forcée du contrat Sequencer Inbox sur L1 pour soumettre directement les instructions de transaction à L1 ; si dans les 24 heures. , le séquenceur ne traite pas cette transaction/retrait qui nécessite une « inclusion obligatoire », l'instruction de transaction/retrait sera directement incluse dans la séquence de transaction Rollup, ce qui crée une « sortie sécurisée » permettant aux utilisateurs de forcer le retrait de L2.
Il convient de souligner ici que dans le projet Rollup de niveau Stage1, tant que les utilisateurs peuvent connaître le statut de tous les comptes L2 et construire une preuve Merkle correspondant au solde de leur propre compte, ils peuvent forcer les retraits via la fonction spécifiée dans le Rollup. contrat (cette fonction est généralement appelée la capsule d'évasion Escape Hetch). Quant à savoir comment connaître l'état du compte sur L2, cela dépend s'il existe ou non un nœud complet dans le réseau Rollup qui ouvre les données au monde extérieur (presque tous les L2 ont de tels nœuds).
De plus, le comportement de mise à niveau du contrat d'Arbitrum One est limité par divers facteurs. Par exemple, les propositions normales de mise à niveau de contrat doivent d'abord passer la décision de vote de la gouvernance en chaîne. Après avoir dépassé le seuil de vote, elles seront limitées par des verrous temporels (il est un délai de 12 jours). ), sera automatiquement exécuté ultérieurement. Si la proposition de mise à niveau du contrat contient une logique de code malveillant, elle peut être rejetée par le comité de sécurité (exécuté via multi-signature).
**Cependant, le comité de sécurité d'Arbitrum One lui-même peut dépasser le délai de verrouillage.**Par exemple, tant que la multi-signature est passée le 12 septembre, le comité de sécurité peut immédiatement mettre à jour le code du contrat ou modifier de force le L2 Stateroot enregistré dans le contrat Rollup.
Quant à savoir pourquoi le Comité de sécurité a un si grand pouvoir, Vitalik a expliqué un jour :
"Certains Rollups peuvent utiliser plusieurs fonctions de transition d'état indépendantes, par exemple, il y a deux émetteurs de preuve de fraude avec des opinions différentes, ou plusieurs nœuds Prover soumettent des preuves de validité différentes, ou le trieur essaie de bifurquer le grand livre L2, ou la preuve de validité n'est pas "
Bien entendu, Vitalik n'a énuméré que quelques "situations dangereuses" simples : étant donné que le contrat Rollup peut être attaqué par des pirates informatiques et que le séquenceur peut être piraté à tout moment (ou qu'il peut y avoir un espion), des mesures d'intervention d'urgence sont évidemment nécessaires.
Selon Vitalik, s'il s'agit d'un Rollup complet, le contrat peut être mis à niveau, mais il doit y avoir un délai de verrouillage de plus de 30 jours pour donner aux utilisateurs et aux membres de la communauté suffisamment de temps de réaction.
Évidemment, étant donné que le comité de sécurité d'Arbitrum peut immédiatement mettre à niveau le contrat après l'approbation de plusieurs signatures, si le code de la nouvelle version contient une logique métier malveillante, il peut théoriquement supprimer les actifs de l'utilisateur en L2. Par conséquent, **Arbitrum One ne répond pas à la définition de Vitalik d'un Rollup complet, mais le niveau de risque est relativement faible. **
Lorsque nous voulons examiner le "perfect rollup", il n'y a que deux projets sur L2BEAT qui répondent aux critères : Fuel V1 et DeGate. Parmi eux, Fuel V1 est le premier rollup optimiste à lancer un système anti-fraude. Sa soumission de preuve de fraude est sans autorisation, et tout le monde peut exécuter le nœud et émettre des preuves de fraude si nécessaire. Dans le même temps, le contrat Fuel V1 est codé en dur et ne peut pas être mis à niveau du tout. Le comité ne peut pas interférer avec le Stateroot L2 enregistré sur le contrat Rollup, il n'y a donc pas de risque dit de comité de sécurité.
Fuel V1 a atteint le niveau de risque le plus bas, mais chaque itération de mise à jour nécessite un redéploiement du contrat et oblige les utilisateurs à migrer manuellement les actifs vers la nouvelle version, ce qui est essentiellement une refonte d'un nouveau projet. La conséquence en est la fragmentation de la liquidité. Réduit considérablement la flexibilité. Parce que le modèle de programmation adopte UTXO et n'est pas compatible avec EVM, et que le fondateur est ensuite passé à l'équipe Celestia et pour d'autres raisons, le développement de Fuel a progressivement stagné et la construction écologique n'était pas satisfaisante.
Dans l’ensemble, le prix à payer pour rechercher une sécurité absolue est une mise à jour et une itération peu pratiques, et au moment où la technologie de preuve de fraude et de validité n’est pas encore parfaite, le maintien d’un certain degré d’évolutivité du contrat peut être indispensable pour la fonctionnalité Rollup.
Pour longtemps dans le futur, on peut prévoir la situation suivante : La plupart des Rollups n'abandonneront pas le comité de sécurité multi-signature, et les contrats L2 seront « immédiatement évolutifs » pendant longtemps ( Un certain ZK Rollup le projet n'a jamais renoncé à la multi-signature du Comité de sécurité, et s'est ensuite directement tourné vers de nouveaux projets). Compte tenu de la difficulté de développer un système de preuve de fraude, la plupart des Rollups optimistes non leaders pourraient ne pas être en mesure de lancer une preuve de fraude à court terme (il y a une forte probabilité qu'ils ne puissent pas le faire d'ici fin 2023). ), et Arbitrum One sera à l'avant-garde de la piste Rollup pendant longtemps, même s'il ne l'a pas encore. Il n'a pas le plus haut niveau de sécurité, mais il dispose d'un système anti-fraude relativement complet, et le comité de sécurité multi- La signature est raisonnablement dispersée (la multi-signature 9/12 a été attribuée à 12 membres de la communauté, y compris les membres du projet ARB) et possède également le plus grand écosystème DApp - avec plus de 440 applications. Reste à savoir si Base, dont la sécurité est faible et qui s'appuie davantage sur le marketing, pourra poursuivre la dynamique de croissance des derniers mois. Si Base parvient à surpasser Arbitrum One en termes de volume de TVL, cela pourrait conduire à l'effondrement de la foi « sans confiance » elle-même.
Bien entendu, le plus important est que nous aurons toujours besoin d’agences de notation des risques comme L2BEAT. Dans cette époque turbulente et chaotique, un ensemble d’indicateurs de notation des risques clairs et complets garantira toujours la prospérité du système Ethereum et même de l’ensemble du Web3. clé.