**L2BEAT** という名前については、ほとんどの人が聞いたことがあるかもしれませんが、その機能についてはあまり知りません。 2023年までの長らく、L2BEATに対する人々の印象は「イーサリアムレイヤー2のデータ可視化プラットフォーム」というイメージが多く、TVLデータの表示やL2トラックの技術ソリューション分類を除けば、L2BEATの機能についてはほとんど理解していなかったように思います。 L2ビートです。しかし、今年 6 月に開始された **Layer2 Risk Rating Index** の段階的な上昇により、**「イーサリアム L2 評価機関」** に匹敵するニッチな組織である L2BEAT が、ますます多くの人に知られるようになりました。「格付け会社」という言葉が言及されるとき、『世界はフラット』という本には非常に鮮やかな比喩があります。米国 爆弾で国を破壊することもできるし、格付け会社が債券の格下げで国を破壊することもできるが、どちらがより強力であるかを判断するのは難しい場合がある。」1997 年のアジア金融危機から 2007 年のサブプライム住宅ローン危機に至るまで、ウォール街の格付け会社は極めて重要な役割を果たし、さらにはこれらの悪質な出来事の重要な推進力となってきました。表面的には「信頼性のなさ」を強調しながらも、実際は「社会的合意」に依存するWeb3においては、「リスク格付け」は避けては通れない重要なリンクである。契約コードの監査であれ、チェーン トランザクション分析であれ、その価値はゼロ知識証明やコンセンサス アルゴリズムに劣らない、あるいはそれ以上です。モジュラーブロックチェーンの新しい分野では、さまざまなレイヤー 2 を区別できる一連の客観的かつ包括的なリスク評価指標が特に重要です。特に L2 システムが数百億ドル近くの資産を運用している場合、これを改善する方法はすでに確立されています。 L2 の潜在的なリスクを発見し、国民に警告することは避けられない現実的な問題です。**Vitalik 氏は 2022 年のフォーラム ブログで、現時点ではほとんどすべてのロールアップが成熟しておらず、そのほとんどがロールアップの正常な動作を確保するためにトレーニング ホイール (補助輪) と呼ばれる補助手段を使用していると述べました。 **「補助輪」は、ロールアップ プロジェクトが「手動介入」と「社会的合意」にどの程度依存しているかを反映しています。L2 の補助輪への依存度が低いほど、「信頼性が低く」なり、リスクが低くなります。そうしないと、リスクが高くなります。たとえば、Optimism を含むほとんどの楽観的なロールアップには、リスク レベルが大幅に高まるオンライン不正防止システムがありません。また、ETH チェーンの下で DA (データ可用性) を実装する Immutable X や、Starknet のような L2 も多くあります。 、いつでも呼び出すことができる強制引き出し/強制トレード機能がありません。 Layer2 の場合、「ETH と同等のセキュリティ」を確保するには上記の条件が必要です。もちろん、これらに加えて、ほとんどすべての L2 プロジェクト関係者は、イーサリアム上の L2 のコントラクト コードを管理するために一連のマルチ署名に依存する「バック ドア」を残しており、いつでもステータス ハッシュを変更できます。これも巨大で、隠れた危険が潜んでいます。Rollup をより適切に区別して定義するために、Vitalik ら** は、Rollup プロジェクトの補助輪/人間の介入への依存度に基づいて、Rollup を 3 つのレベル、つまりステージ 0、ステージ 1、およびステージ 2 に分割しました。 **その後、L2beat はコミュニティからの意見を募り、この分類スキームを修正しました。大まかに次のように要約できます。**ステージ 0 - 補助輪に完全に依存しており、ロールアップが満たすべき最低基準: *****·**このプロジェクトはそれ自体を Rollup と呼びます。**·**ロールアップ トランザクションは「オンチェーン」である必要があります (L2 状態遷移プロセスに関連するデータは L1 に開示される必要があり、L2 状態のハッシュ ステートルートも開示される必要があります)。**·** ユーザーが L2 上のすべてのアカウントのステータス (残高、トランザクション数などを含む) を把握できるように、オープン権限とオープン ソース コードを備えたロールアップ フル ノードのバッチをセットアップする必要があります。上記の条件をすべて満たす L2 プロジェクトのみが、L2beat によってステージ 0 としてマークされます。これは、ロールアップの最低基準を満たしていることを意味します。それ以外の場合は、ロールアップとはみなされません (Arbitrum Nova など)。また、**ステージ 1 - 部分的に補助輪に依存するロールアップ**には、次の特徴があります。**·**L2 状態遷移の正当性を保証するには、不正防止/正当性証明システムがオンラインである必要があります。**·**楽観的ロールアップの場合、不正証明書を発行できる非公式に制御される L2 ノードが少なくとも 5 つ必要です (チャレンジャー ホワイトリストには公式ロールアップ以外のエンティティが少なくとも 5 つ含まれます)。たとえば、2022 年 11 月の時点で、Arbitrum One のチャレンジャー ホワイトリスト メンバーには、Consensys、Ethereum Foundation、L2BEAT、Mycelium、Offchain Labs、P2P、Quicknode、DLRC、Unit410 の 9 つのエンティティが含まれています。**·**ユーザーはいつでもシーケンサー (オペレーター) をバイパスし、**資産が凍結されないように、L2 の資産を L1 に強制的に引き出すことができます。**シーケンサーが検閲攻撃を開始した場合、特定のトランザクションの処理を拒否すると、ユーザーはそのトランザクションを L1 のロールアップ トランザクション シーケンスに強制的に送信できます。間違った Stateroot を公開する以外に、シーケンサーは悪事を働く他の方法を見つけることができません。**·****R****ollup は、複数署名のグループによって管理されるセキュリティ委員会を設置することができ、緊急事態においてロールアップ契約のアップグレードを強制したり、ロールアップ契約を妨害したりする権限を持っています。契約に記録された L2 ステータス ハッシュ。ただし、委員会の複数署名の秘密鍵は十分に分散され、しきい値が十分に高くなければなりません。 Vitalik 氏自身は、この値は少なくとも 6/8 であるべきだと考えています。つまり、複数の署名が 8 人を超える人によって管理されている場合、有効なしきい値は 75% になります。**·** マルチ署名を通じて委員会によって承認されていないロールアップ契約のアップグレードには、少なくとも 7 日間のタイムロック遅延が発生します。このようにして、Rollup がガバナンス攻撃などの悪意のあるアップデート提案に遭遇した場合 (Tornado Cash ガバナンス攻撃事件を参照)、ユーザーには安全に資金を引き出すために少なくとも 7 日間の猶予が与えられます。現在、**Arbitrum One、dYdX、および zkSync Lite** のみがステージ 1 の要件に達しており、他の主流のロールアップはまだステージ 0 にあります。**ステージ 2——補助輪を完全に放棄し、完全なロールアップになります**:**·** 楽観的に考えると、ロールアップ ネットワークで不正証明を発行できる L2 ノードはパーミッションレスであり、ホワイトリスト設定をキャンセルする必要があります (これに関して、Arbitrum One は最近 BOLD と呼ばれるプロトコルを開始しました)。**·**すべてのロールアップ契約のアップグレードには、少なくとも 30 日間のタイムロック遅延が発生し、そうでない場合は契約をまったくアップグレードできません。これは、ロールアップの悪意のあるアップグレードが発生した場合、L2 ユーザーは少なくとも 30 日間は安全に資金を引き出すことができることを意味します。L2BEAT によってリストされたリスク評価指標をより深く理解するために、分析のために異なるセキュリティ レベルを持つ 3 つのロールアップ インスタンスを選択できます。**ステージ0-ベース、ステージ1-ステージ1、ステージ2-燃料:**Base は楽観的なロールアップ トラックの主要プロジェクトの 1 つで、L1 のコントラクトに依存して L2 状態ハッシュ Stateroot を記録し、L2 内外で資金を処理し、イーサリアムを使用してデータ可用性 (DA) を実現します。 L1 とのブリッジ関係。Base シーケンサーは L2 から L1 までのトランザクション データを公開する必要があります。具体的には、シーケンサーはイーサリアム上の指定されたアドレスに対して数分ごとにトランザクションを開始します。Transcation のカスタマイズ可能な追加データ Calldata に、圧縮されたトランザクション データのバッチを記録します。 L2 フル ノードは L1 ブロックを自動的に同期するため、シーケンサーによって送信されたトランザクションを監視し、その Calldata で L2 トランザクション データを解析し、L2 シーケンサーの最新のステータスを学習して正しいステータスを計算できます。 L1 のシーケンサーによって送信された Stateroot を使用します。**現在、Base にはオンラインの不正防止システムがありません。**L1 コントラクトに記録された L2 ステートルートが正しいという保証はありませんが、L2 フル ノードを実行する能力のあるユーザーは、時間内にエラーを発見できます。また、Base には強制出金などの検閲耐性がありませんが、攻撃計画としては、シーケンサーが長時間ダウンしたり、ユーザーのリクエストを意図的に拒否したりすると、L2 のユーザーが安全に L1 に資金を出金できなくなるため、危険が及ぶ可能性があります。大きなセキュリティリスク。明らかに、そのようなロールアップはメカニズムの設計レベルでは安全ではありませんが、ユーザーと L2 コミュニティのメンバーは、必要に応じてソーシャル メディアを通じて警告を発し、イーサリアム財団や SEC などの規制当局に危険性を認識させることができます。高度なデータの透明性とコミュニティメンバーによる自発的な監督を通じて、「世論の発酵」と「手動介入」、そしてその後の「法的責任」を利用して、最下層に属するL2プロジェクト当事者の邪悪な行為を制限します。セキュリティ保証のレベルは、悪を事前に阻止することはできず、悪が発生した後にのみ責任を負うことができるためです。しかし実際には、「社会的合意」はブロックチェーンのセキュリティを確保するための基本条件でもあります (誰かが悪意を持ってイーサリアムをフォークしようとした場合、イーサリアムコミュニティも社会的合意を利用してどのフォークチェーンに従うべきかを決定します)。自分の行為が暴露された場合の結果を考えると、ほとんどの場合、私は立ち上がってリスクを冒す勇気はありません(もちろん、FTX、ZT、メントーグー、その他の取引所は除外されます)。調査対象を Arbitrum One に変更すると、Base との違いがすぐにわかります。たとえば、利用可能な不正防止システムを立ち上げ、イーサリアム財団や L2beat を含む 9 つの異なるエンティティによって実行されるノードを含むチャレンジャー ホワイトリストを設定しました。シーケンサーが間違った状態ハッシュ Stateroot を L1 に公開する限り、チャレンジは鉱石ノードは不正証明を発行します。これにより、ロールアップ コントラクトに記録された L2 Stateroot が正しいことを確認できます。同時に、**Arbitrum One にはシーケンサー レビュー攻撃に対処するための強制トランザクション メカニズム**があり、ユーザーは 24 時間以内であれば、L1 上のシーケンサー インボックス コントラクトの強制包含機能を呼び出してトランザクション指示を直接 L1 に送信できます。 「強制組み込み」を必要とするこのトランザクション/出金を処理するには、トランザクション/出金命令がロールアップ トランザクション シーケンスに直接組み込まれ、ユーザーが L2 から強制的に出金するための「安全な出口」が作成されます。ここで強調しておく必要があるのは、Stage1 レベルのロールアップ プロジェクトでは、**ユーザーが L2 の全体的な口座ステータスを把握し、自分の口座残高に対応するマークル プルーフを構築できる限り、指定された関数を使用できるということです。強制引き出しのためのロールアップ契約** (この機能は一般にエスケープ ヘッチと呼ばれます)。 L2 上のアカウントのステータスを知る方法については、ロールアップ ネットワーク内にデータを外部に公開する完全なノードがあるかどうかによって異なります (ほぼすべての L2 にそのようなノードがあります)。さらに、Arbitrum One の契約アップグレード動作はさまざまな要因によって制限されます。たとえば、通常の契約アップグレード提案は、まずオンチェーン ガバナンスの投票決定を通過する必要があります。投票しきい値を通過した後は、タイム ロックによって制限されます (は 12 日間の遅延です)。) が自動的に実行される前に。契約アップグレードの提案に悪意のあるコード ロジックが含まれている場合、セキュリティ委員会によって拒否される可能性があります (マルチ署名によって実行されます)。**ただし、Arbitrum One セキュリティ委員会自体はタイムロック制限を回避できます。** たとえば、9 月 12 日に複数の署名が可決されている限り、セキュリティ委員会は直ちに契約コードをアップグレードしたり、契約コードを強制的に変更したりすることができます。ロールアップ契約に記録されている L2 Stateroot。**安全委員会がこれほど大きな権限を持っている理由について、ヴィタリック氏はかつて次のように説明しました。**「一部のロールアップは、異なる意見を持つ 2 つの不正証明発行者、異なる有効性証明を提出する複数の証明者ノード、L2 台帳をフォークしようとするシーケンサー、または有効性証明書がチェーンに送信されないなど、複数の独立した状態遷移関数を使用する場合があります。 「7 日以内に、L2 システムの完全な崩壊につながる可能性があります。** セキュリティ委員会は、この危険な状況で決定を下し、手動介入を使用してそれを導くことができます。システムは正しい結果を使用します。**」もちろん、Vitalik 氏は簡単な「危険な状況」をいくつか挙げただけで、ロールアップ契約がハッカーに攻撃される可能性や、シーケンサーがいつでもハッキングされる可能性がある(またはスパイがいる可能性がある)ことを考慮すると、緊急対応策が必要であることは明らかです。Vitalik 氏によると、完全なロールアップであれば契約をアップグレードできますが、ユーザーやコミュニティ メンバーに十分な反応時間を与えるために 30 日以上のタイムロック遅延が必要です。明らかに、Arbitrum のセキュリティ委員会は複数署名の承認後すぐに契約をアップグレードできるため、新しいバージョンのコードに悪意のあるビジネス ロジックが含まれている場合、理論的には L2 にあるユーザーの資産が奪われる可能性があります。したがって、**Arbitrum One は Vitalik の完全なロールアップの定義を満たしていませんが、リスク レベルは比較的低いです。 **「完璧なロールアップ」を調べたい場合、基準を満たす L2BEAT 上のプロジェクトは **Fuel V1 と DeGate** の 2 つだけです。その中で、Fuel V1 は、不正証明システムを立ち上げた最初の楽観的ロールアップであり、その不正証明の送信はパーミッションレスであり、必要に応じて誰もがノードを実行して不正証明を発行できます。同時に、Fuel V1 契約はハードコーディングされているためアップグレードはまったくできず、委員会はロールアップ契約に記録されている L2 Stateroot に干渉できないため、いわゆるセキュリティ委員会のリスクはありません。Fuel V1 は最低のリスク レベルに達しましたが、更新を繰り返すたびにコントラクトを再デプロイする必要があり、ユーザーは資産を新しいバージョンに手動で移行する必要があります。本質的には、新しいプロジェクトをやり直すことになります。この結果、断片化が生じます。流動性が低下し、柔軟性が大幅に低下します。 EVM と互換性のない UTXO を使用したプログラミング モデル、その後創設者が Celestia チームに移行したことなどの複数の理由により、Fuel の開発は徐々に停滞し、そのエコロジカルな構築も満足のいくものではありませんでした。全体として、絶対的なセキュリティを追求する代償として、更新の反復が不便になります。不正防止や正当性証明の技術がまだ完成していない現在、ある程度の契約のアップグレード可能性を維持することは、Rollup に必須の機能かもしれません。将来の長期にわたって、次のような状況が予想されます: **ほとんどのロールアップはセキュリティ委員会によるさらなる署名を放棄せず、L2 契約は長期間にわたって「即時アップグレード可能」になるでしょう** ( 特定の ZK ロールアップ プロジェクトは、セキュリティ委員会によるさらなる署名を決して諦めず、直接新しいプロジェクトに取り組むようになりました)。不正証明システムの開発の難しさを考慮すると、楽観的ではないほとんどのロールアップは短期的には不正証明を開始できない可能性があります (2023 年末までにそれができない可能性が高いです) )、Arbitrum One はロールアップ トラックで長い間主導的な位置にありますが、依然として最高レベルのセキュリティを備えているわけではありませんが、比較的完全な不正防止システムと、複数の署名が備わっています。セキュリティ委員会は適度に分散されています (9/12 のマルチ署名、ARB プロジェクト パーティのメンバーを含む 12 人のコミュニティ メンバーに割り当てられています)。同時に、440 を超えるアプリケーションを備えた最大の DApp エコシステムもあります。しかし、セキュリティが貧弱でマーケティングへの依存度が高いBaseが過去数カ月の成長の勢いを継続できるかどうかは、まだ時間が経てば検証されるべきだ。 TVLのボリュームでBaseがArbitrum Oneを上回ることができれば、それは「不信」信仰そのものの崩壊につながる可能性がある。もちろん、最も重要なことは、L2BEAT のようなリスク格付け機関が常に必要であるということです。この激動と混沌の時代において、一連の明確で包括的なリスク格付け指標は、イーサリアム システム、さらにはイーサリアム全体の活発な発展を常に保証します。 Web3.の鍵。
L2BEATリスク評価指標からLayer2とRollupを再理解する
L2BEAT という名前については、ほとんどの人が聞いたことがあるかもしれませんが、その機能についてはあまり知りません。 2023年までの長らく、L2BEATに対する人々の印象は「イーサリアムレイヤー2のデータ可視化プラットフォーム」というイメージが多く、TVLデータの表示やL2トラックの技術ソリューション分類を除けば、L2BEATの機能についてはほとんど理解していなかったように思います。 L2ビートです。しかし、今年 6 月に開始された Layer2 Risk Rating Index の段階的な上昇により、「イーサリアム L2 評価機関」 に匹敵するニッチな組織である L2BEAT が、ますます多くの人に知られるようになりました。
「格付け会社」という言葉が言及されるとき、『世界はフラット』という本には非常に鮮やかな比喩があります。米国 爆弾で国を破壊することもできるし、格付け会社が債券の格下げで国を破壊することもできるが、どちらがより強力であるかを判断するのは難しい場合がある。」
1997 年のアジア金融危機から 2007 年のサブプライム住宅ローン危機に至るまで、ウォール街の格付け会社は極めて重要な役割を果たし、さらにはこれらの悪質な出来事の重要な推進力となってきました。表面的には「信頼性のなさ」を強調しながらも、実際は「社会的合意」に依存するWeb3においては、「リスク格付け」は避けては通れない重要なリンクである。契約コードの監査であれ、チェーン トランザクション分析であれ、その価値はゼロ知識証明やコンセンサス アルゴリズムに劣らない、あるいはそれ以上です。
モジュラーブロックチェーンの新しい分野では、さまざまなレイヤー 2 を区別できる一連の客観的かつ包括的なリスク評価指標が特に重要です。特に L2 システムが数百億ドル近くの資産を運用している場合、これを改善する方法はすでに確立されています。 L2 の潜在的なリスクを発見し、国民に警告することは避けられない現実的な問題です。
**Vitalik 氏は 2022 年のフォーラム ブログで、現時点ではほとんどすべてのロールアップが成熟しておらず、そのほとんどがロールアップの正常な動作を確保するためにトレーニング ホイール (補助輪) と呼ばれる補助手段を使用していると述べました。 **「補助輪」は、ロールアップ プロジェクトが「手動介入」と「社会的合意」にどの程度依存しているかを反映しています。L2 の補助輪への依存度が低いほど、「信頼性が低く」なり、リスクが低くなります。そうしないと、リスクが高くなります。
たとえば、Optimism を含むほとんどの楽観的なロールアップには、リスク レベルが大幅に高まるオンライン不正防止システムがありません。また、ETH チェーンの下で DA (データ可用性) を実装する Immutable X や、Starknet のような L2 も多くあります。 、いつでも呼び出すことができる強制引き出し/強制トレード機能がありません。 Layer2 の場合、「ETH と同等のセキュリティ」を確保するには上記の条件が必要です。もちろん、これらに加えて、ほとんどすべての L2 プロジェクト関係者は、イーサリアム上の L2 のコントラクト コードを管理するために一連のマルチ署名に依存する「バック ドア」を残しており、いつでもステータス ハッシュを変更できます。これも巨大で、隠れた危険が潜んでいます。
Rollup をより適切に区別して定義するために、Vitalik ら** は、Rollup プロジェクトの補助輪/人間の介入への依存度に基づいて、Rollup を 3 つのレベル、つまりステージ 0、ステージ 1、およびステージ 2 に分割しました。 **その後、L2beat はコミュニティからの意見を募り、この分類スキームを修正しました。大まかに次のように要約できます。
**ステージ 0 - 補助輪に完全に依存しており、ロールアップが満たすべき最低基準: **
***·**このプロジェクトはそれ自体を Rollup と呼びます。
**·**ロールアップ トランザクションは「オンチェーン」である必要があります (L2 状態遷移プロセスに関連するデータは L1 に開示される必要があり、L2 状態のハッシュ ステートルートも開示される必要があります)。
· ユーザーが L2 上のすべてのアカウントのステータス (残高、トランザクション数などを含む) を把握できるように、オープン権限とオープン ソース コードを備えたロールアップ フル ノードのバッチをセットアップする必要があります。
上記の条件をすべて満たす L2 プロジェクトのみが、L2beat によってステージ 0 としてマークされます。これは、ロールアップの最低基準を満たしていることを意味します。それ以外の場合は、ロールアップとはみなされません (Arbitrum Nova など)。
また、ステージ 1 - 部分的に補助輪に依存するロールアップには、次の特徴があります。
**·**L2 状態遷移の正当性を保証するには、不正防止/正当性証明システムがオンラインである必要があります。
**·**楽観的ロールアップの場合、不正証明書を発行できる非公式に制御される L2 ノードが少なくとも 5 つ必要です (チャレンジャー ホワイトリストには公式ロールアップ以外のエンティティが少なくとも 5 つ含まれます)。
たとえば、2022 年 11 月の時点で、Arbitrum One のチャレンジャー ホワイトリスト メンバーには、Consensys、Ethereum Foundation、L2BEAT、Mycelium、Offchain Labs、P2P、Quicknode、DLRC、Unit410 の 9 つのエンティティが含まれています。
**·**ユーザーはいつでもシーケンサー (オペレーター) をバイパスし、**資産が凍結されないように、L2 の資産を L1 に強制的に引き出すことができます。**シーケンサーが検閲攻撃を開始した場合、特定のトランザクションの処理を拒否すると、ユーザーはそのトランザクションを L1 のロールアップ トランザクション シーケンスに強制的に送信できます。間違った Stateroot を公開する以外に、シーケンサーは悪事を働く他の方法を見つけることができません。
**·Rollup は、複数署名のグループによって管理されるセキュリティ委員会を設置することができ、緊急事態においてロールアップ契約のアップグレードを強制したり、ロールアップ契約を妨害したりする権限を持っています。契約に記録された L2 ステータス ハッシュ。ただし、委員会の複数署名の秘密鍵は十分に分散され、しきい値が十分に高くなければなりません。 Vitalik 氏自身は、この値は少なくとも 6/8 であるべきだと考えています。つまり、複数の署名が 8 人を超える人によって管理されている場合、有効なしきい値は 75% になります。
· マルチ署名を通じて委員会によって承認されていないロールアップ契約のアップグレードには、少なくとも 7 日間のタイムロック遅延が発生します。このようにして、Rollup がガバナンス攻撃などの悪意のあるアップデート提案に遭遇した場合 (Tornado Cash ガバナンス攻撃事件を参照)、ユーザーには安全に資金を引き出すために少なくとも 7 日間の猶予が与えられます。
現在、Arbitrum One、dYdX、および zkSync Lite のみがステージ 1 の要件に達しており、他の主流のロールアップはまだステージ 0 にあります。
ステージ 2——補助輪を完全に放棄し、完全なロールアップになります:
· 楽観的に考えると、ロールアップ ネットワークで不正証明を発行できる L2 ノードはパーミッションレスであり、ホワイトリスト設定をキャンセルする必要があります (これに関して、Arbitrum One は最近 BOLD と呼ばれるプロトコルを開始しました)。
**·**すべてのロールアップ契約のアップグレードには、少なくとも 30 日間のタイムロック遅延が発生し、そうでない場合は契約をまったくアップグレードできません。これは、ロールアップの悪意のあるアップグレードが発生した場合、L2 ユーザーは少なくとも 30 日間は安全に資金を引き出すことができることを意味します。
L2BEAT によってリストされたリスク評価指標をより深く理解するために、分析のために異なるセキュリティ レベルを持つ 3 つのロールアップ インスタンスを選択できます。
ステージ0-ベース、ステージ1-ステージ1、ステージ2-燃料:
Base は楽観的なロールアップ トラックの主要プロジェクトの 1 つで、L1 のコントラクトに依存して L2 状態ハッシュ Stateroot を記録し、L2 内外で資金を処理し、イーサリアムを使用してデータ可用性 (DA) を実現します。 L1 とのブリッジ関係。
Base シーケンサーは L2 から L1 までのトランザクション データを公開する必要があります。具体的には、シーケンサーはイーサリアム上の指定されたアドレスに対して数分ごとにトランザクションを開始します。Transcation のカスタマイズ可能な追加データ Calldata に、圧縮されたトランザクション データのバッチを記録します。 L2 フル ノードは L1 ブロックを自動的に同期するため、シーケンサーによって送信されたトランザクションを監視し、その Calldata で L2 トランザクション データを解析し、L2 シーケンサーの最新のステータスを学習して正しいステータスを計算できます。 L1 のシーケンサーによって送信された Stateroot を使用します。
**現在、Base にはオンラインの不正防止システムがありません。**L1 コントラクトに記録された L2 ステートルートが正しいという保証はありませんが、L2 フル ノードを実行する能力のあるユーザーは、時間内にエラーを発見できます。また、Base には強制出金などの検閲耐性がありませんが、攻撃計画としては、シーケンサーが長時間ダウンしたり、ユーザーのリクエストを意図的に拒否したりすると、L2 のユーザーが安全に L1 に資金を出金できなくなるため、危険が及ぶ可能性があります。大きなセキュリティリスク。
明らかに、そのようなロールアップはメカニズムの設計レベルでは安全ではありませんが、ユーザーと L2 コミュニティのメンバーは、必要に応じてソーシャル メディアを通じて警告を発し、イーサリアム財団や SEC などの規制当局に危険性を認識させることができます。高度なデータの透明性とコミュニティメンバーによる自発的な監督を通じて、「世論の発酵」と「手動介入」、そしてその後の「法的責任」を利用して、最下層に属するL2プロジェクト当事者の邪悪な行為を制限します。セキュリティ保証のレベルは、悪を事前に阻止することはできず、悪が発生した後にのみ責任を負うことができるためです。
しかし実際には、「社会的合意」はブロックチェーンのセキュリティを確保するための基本条件でもあります (誰かが悪意を持ってイーサリアムをフォークしようとした場合、イーサリアムコミュニティも社会的合意を利用してどのフォークチェーンに従うべきかを決定します)。自分の行為が暴露された場合の結果を考えると、ほとんどの場合、私は立ち上がってリスクを冒す勇気はありません(もちろん、FTX、ZT、メントーグー、その他の取引所は除外されます)。
調査対象を Arbitrum One に変更すると、Base との違いがすぐにわかります。たとえば、利用可能な不正防止システムを立ち上げ、イーサリアム財団や L2beat を含む 9 つの異なるエンティティによって実行されるノードを含むチャレンジャー ホワイトリストを設定しました。シーケンサーが間違った状態ハッシュ Stateroot を L1 に公開する限り、チャレンジは鉱石ノードは不正証明を発行します。これにより、ロールアップ コントラクトに記録された L2 Stateroot が正しいことを確認できます。
同時に、Arbitrum One にはシーケンサー レビュー攻撃に対処するための強制トランザクション メカニズムがあり、ユーザーは 24 時間以内であれば、L1 上のシーケンサー インボックス コントラクトの強制包含機能を呼び出してトランザクション指示を直接 L1 に送信できます。 「強制組み込み」を必要とするこのトランザクション/出金を処理するには、トランザクション/出金命令がロールアップ トランザクション シーケンスに直接組み込まれ、ユーザーが L2 から強制的に出金するための「安全な出口」が作成されます。
ここで強調しておく必要があるのは、Stage1 レベルのロールアップ プロジェクトでは、ユーザーが L2 の全体的な口座ステータスを把握し、自分の口座残高に対応するマークル プルーフを構築できる限り、指定された関数を使用できるということです。強制引き出しのためのロールアップ契約 (この機能は一般にエスケープ ヘッチと呼ばれます)。 L2 上のアカウントのステータスを知る方法については、ロールアップ ネットワーク内にデータを外部に公開する完全なノードがあるかどうかによって異なります (ほぼすべての L2 にそのようなノードがあります)。
さらに、Arbitrum One の契約アップグレード動作はさまざまな要因によって制限されます。たとえば、通常の契約アップグレード提案は、まずオンチェーン ガバナンスの投票決定を通過する必要があります。投票しきい値を通過した後は、タイム ロックによって制限されます (は 12 日間の遅延です)。) が自動的に実行される前に。契約アップグレードの提案に悪意のあるコード ロジックが含まれている場合、セキュリティ委員会によって拒否される可能性があります (マルチ署名によって実行されます)。
ただし、Arbitrum One セキュリティ委員会自体はタイムロック制限を回避できます。 たとえば、9 月 12 日に複数の署名が可決されている限り、セキュリティ委員会は直ちに契約コードをアップグレードしたり、契約コードを強制的に変更したりすることができます。ロールアップ契約に記録されている L2 Stateroot。
安全委員会がこれほど大きな権限を持っている理由について、ヴィタリック氏はかつて次のように説明しました。
「一部のロールアップは、異なる意見を持つ 2 つの不正証明発行者、異なる有効性証明を提出する複数の証明者ノード、L2 台帳をフォークしようとするシーケンサー、または有効性証明書がチェーンに送信されないなど、複数の独立した状態遷移関数を使用する場合があります。 「7 日以内に、L2 システムの完全な崩壊につながる可能性があります。** セキュリティ委員会は、この危険な状況で決定を下し、手動介入を使用してそれを導くことができます。システムは正しい結果を使用します。**」
もちろん、Vitalik 氏は簡単な「危険な状況」をいくつか挙げただけで、ロールアップ契約がハッカーに攻撃される可能性や、シーケンサーがいつでもハッキングされる可能性がある(またはスパイがいる可能性がある)ことを考慮すると、緊急対応策が必要であることは明らかです。
Vitalik 氏によると、完全なロールアップであれば契約をアップグレードできますが、ユーザーやコミュニティ メンバーに十分な反応時間を与えるために 30 日以上のタイムロック遅延が必要です。
明らかに、Arbitrum のセキュリティ委員会は複数署名の承認後すぐに契約をアップグレードできるため、新しいバージョンのコードに悪意のあるビジネス ロジックが含まれている場合、理論的には L2 にあるユーザーの資産が奪われる可能性があります。したがって、**Arbitrum One は Vitalik の完全なロールアップの定義を満たしていませんが、リスク レベルは比較的低いです。 **
「完璧なロールアップ」を調べたい場合、基準を満たす L2BEAT 上のプロジェクトは Fuel V1 と DeGate の 2 つだけです。その中で、Fuel V1 は、不正証明システムを立ち上げた最初の楽観的ロールアップであり、その不正証明の送信はパーミッションレスであり、必要に応じて誰もがノードを実行して不正証明を発行できます。同時に、Fuel V1 契約はハードコーディングされているためアップグレードはまったくできず、委員会はロールアップ契約に記録されている L2 Stateroot に干渉できないため、いわゆるセキュリティ委員会のリスクはありません。
Fuel V1 は最低のリスク レベルに達しましたが、更新を繰り返すたびにコントラクトを再デプロイする必要があり、ユーザーは資産を新しいバージョンに手動で移行する必要があります。本質的には、新しいプロジェクトをやり直すことになります。この結果、断片化が生じます。流動性が低下し、柔軟性が大幅に低下します。 EVM と互換性のない UTXO を使用したプログラミング モデル、その後創設者が Celestia チームに移行したことなどの複数の理由により、Fuel の開発は徐々に停滞し、そのエコロジカルな構築も満足のいくものではありませんでした。
全体として、絶対的なセキュリティを追求する代償として、更新の反復が不便になります。不正防止や正当性証明の技術がまだ完成していない現在、ある程度の契約のアップグレード可能性を維持することは、Rollup に必須の機能かもしれません。
将来の長期にわたって、次のような状況が予想されます: ほとんどのロールアップはセキュリティ委員会によるさらなる署名を放棄せず、L2 契約は長期間にわたって「即時アップグレード可能」になるでしょう ( 特定の ZK ロールアップ プロジェクトは、セキュリティ委員会によるさらなる署名を決して諦めず、直接新しいプロジェクトに取り組むようになりました)。不正証明システムの開発の難しさを考慮すると、楽観的ではないほとんどのロールアップは短期的には不正証明を開始できない可能性があります (2023 年末までにそれができない可能性が高いです) )、Arbitrum One はロールアップ トラックで長い間主導的な位置にありますが、依然として最高レベルのセキュリティを備えているわけではありませんが、比較的完全な不正防止システムと、複数の署名が備わっています。セキュリティ委員会は適度に分散されています (9/12 のマルチ署名、ARB プロジェクト パーティのメンバーを含む 12 人のコミュニティ メンバーに割り当てられています)。同時に、440 を超えるアプリケーションを備えた最大の DApp エコシステムもあります。しかし、セキュリティが貧弱でマーケティングへの依存度が高いBaseが過去数カ月の成長の勢いを継続できるかどうかは、まだ時間が経てば検証されるべきだ。 TVLのボリュームでBaseがArbitrum Oneを上回ることができれば、それは「不信」信仰そのものの崩壊につながる可能性がある。
もちろん、最も重要なことは、L2BEAT のようなリスク格付け機関が常に必要であるということです。この激動と混沌の時代において、一連の明確で包括的なリスク格付け指標は、イーサリアム システム、さらにはイーサリアム全体の活発な発展を常に保証します。 Web3.の鍵。