Коли справа доходить до назви L2BEAT, більшість людей, можливо, чули про неї, але вони не знають багато про те, що вона робить. Довгий час до 2023 року враження людей про L2BEAT часто було лише «платформою візуалізації даних Ethereum Layer 2». Окрім відображення даних TVL і класифікації технічних рішень треку L2, здавалося, що всі мало розуміли функції L2beat.. Однак із поступовим підвищенням індикаторів оцінки ризику рівня 2, запущених у червні цього року, L2BEAT, нішова організація, яку можна порівняти з «Рейтинговим агентством Ethereum L2», стає відомою все більшій кількості людей.
Коли згадується слово «рейтингове агентство», у книзі «Світ плоский» є дуже яскрава метафора: «Ми живемо у світі двох наддержав, одна — це Сполучені Штати, а інша — рейтингове агентство. Сполучені Штати Ви можете знищити країну за допомогою бомб, а рейтингові агенції можуть знищити країну за допомогою зниження рейтингу облігацій; іноді важко сказати, яка з них могутніша».
Від азіатських фінансових потрясінь у 1997 році до кризи субстандартних іпотечних кредитів у 2007 році рейтингові агенції Уолл-стріт відігравали ключову роль і навіть стали важливим промоутером цих порочних подій. У колі Web3, який звертає увагу на «недовіру» на поверхні і фактично спирається на «соціальний консенсус», «рейтинг ризику» є важливою частиною, якої неможливо уникнути. Незалежно від того, чи це аудит коду контракту чи аналіз ланцюгових транзакцій, їхня цінність не поступається доказам із нульовим знанням і консенсусним алгоритмам, або навіть гірше.
Для нової галузі модульного блокчейну набір об’єктивних і комплексних показників оцінки ризиків, які можуть розрізняти різні Рівні 2, є особливо важливим, особливо коли система L2 містить майже десятки мільярдів доларів активів, як покращити Це вже є неминучою практичною проблемою виявити потенційні ризики L2 і краще попередити громадськість.
У блозі на форумі у 2022 році Віталік зазначив, що майже всі Rollups на даний момент не є зрілими, і більшість використовує допоміжні засоби під назвою Training Wheels (допоміжні колеса), щоб забезпечити нормальну роботу Rollups. «Навчальні колеса» вказують на те, якою мірою проект Rollup покладається на «ручне втручання» та «соціальний консенсус». Чим менше L2 покладається на допоміжні колеса, тим більш «ненадійним» він є та менший ризик; навпаки, тим вищий ризик.
Наприклад, більшість оптимістичних зведених пакетів, включаючи Optimism, не мають онлайн-систем захисту від шахрайства, що значно підвищує рівень ризику; є також багато L2, таких як Immutable X, які реалізують DA (доступність даних) у ланцюжку ETH, або, як Starknet, йому не вистачає функції примусового відкликання/примусової торгівлі, яку можна викликати будь-коли. Для Рівня 2 наведені вище умови необхідні, щоб гарантувати, що він «рівний безпеці ETH». Звичайно, крім цього, майже всі учасники проекту L2 наразі залишили собі «бекдор», покладаючись на набір мультипідписів для керування кодом контракту L2 на Ethereum, і можуть змінити хеш статусу в будь-який час, що Прихована небезпека.
Щоб краще розрізнити та визначити Rollup, Віталік та інші розділили Rollup на три рівні, а саме Етап 0, Етап 1 та Етап 2, на основі ступеня залежності проекту Rollup від навчальних колес/втручання людини. Пізніше L2beat переглянув цю схему класифікації, запросивши думки спільноти, які можна приблизно підсумувати таким чином:
Stage0 - повністю залежить від допоміжних коліс, мінімальні стандарти, яким має відповідати Rollup:
· Проект називається Rollup.
· Транзакції, оброблені Rollup, мають бути «on-chain» (дані, які беруть участь у процесі переходу стану L2, мають бути розкриті L1, а також має бути розкрито хеш-корінь стану L2;)
Необхідно налаштувати пакет повних вузлів Rollup із відкритими дозволами та відкритим вихідним кодом, що може допомогти користувачам знати статус усіх облікових записів на L2 (включаючи баланси, час транзакцій тощо).
Проекти L2, які відповідають усім наведеним вище умовам, будуть позначені L2beat як Stage 0, тобто вони відповідають мінімальному стандарту зведеного пакету, інакше вони не вважатимуться зведеним (наприклад, Arbitrum Nova).
Stage1, Rollup, який частково покладається на допоміжні колеса, має такі характеристики:
Необхідно запустити систему захисту від шахрайства/валідності, щоб забезпечити дійсність переходу стану L2;
·Якщо це оптимістичний зведений пакет, має бути принаймні 5 неофіційно контрольованих вузлів L2, які можуть видавати докази шахрайства (білий список претендентів включає принаймні 5 об’єктів, крім офіційного зведеного).
Наприклад, станом на листопад 2022 року члени білого списку претендентів Arbitrum One включають 9 організацій: Consensys, Ethereum Foundation, L2BEAT, Mycelium, Offchain Labs, P2P, Quicknode, DLRC, Unit410.
У будь-який час користувачі можуть обійти секвенсор (оператора) і примусово вилучити активи з рівня L2 на L1, щоб гарантувати, що активи не будуть заморожені; якщо секвенсор запускає атаку перегляду та відмовляється обробляти певні транзакції, користувач може примусово подати транзакцію до послідовності транзакцій зведення на L1. Секвенсор не може знайти іншого способу зробити зло, окрім публікації неправильного Stateroot.
Rollup може створити комітет безпеки, керований групою мультипідписів, із повноваженнями примусово оновити контракт Rollup у надзвичайних ситуаціях або втручатися в хеш стану L2, записаний у контракті. Але приватний ключ комітету з кількома підписами має бути достатньо розпорошеним, а поріг має бути достатньо високим. Сам Віталік вважає, що це значення має бути не менше 6/8, тобто якщо багатопідписами керують більше 8 осіб, ефективний поріг становить 75%.
· Зведені контрактні оновлення, які не мають мультипідпису, дозволеного комітетом, підлягають щонайменше 7-денній затримці блокування. Таким чином, якщо Rollup виявить зловмисні пропозиції щодо оновлення, наприклад атаки на управління (див. подію атаки на управління Tornado Cash), користувачам можна дати принаймні 7 днів для безпечного виведення коштів.
Наразі лише Arbitrum One, dYdX і zkSync Lite досягли вимог етапу 1, тоді як інші основні зведені пакети все ще перебувають на етапі 0.
Етап 2 — повністю відмовитися від тренувальних коліс і стати повним зведенням:
· З точки зору оптимізму, вузли L2, які можуть публікувати докази шахрайства в мережі Rollup, повинні бути без дозволу та скасовувати налаштування білого списку (у зв’язку з цим Arbitrum One нещодавно запустив протокол під назвою BOLD);
· Усі оновлення контракту Rollup підлягають затримці блокування часу щонайменше на 30 днів, або контракт взагалі не можна оновити. Це означає, що в разі зловмисного оновлення до Rollup користувачі L2 мають принаймні 30 днів для безпечного виведення коштів.
Щоб краще зрозуміти показники рейтингу ризику, перелічені L2BEAT, ми можемо вибрати для аналізу три екземпляри Rollup з різними рівнями безпеки.
Stage0-Base, Stage1-Stage One, Stage2-Fuel:
Base є одним із провідних проектів на оптимістичній траєкторії Rollup. Він покладається на контракт на L1 для запису хешу стану L2 Stateroot, обробки коштів на вході та виході з L2, а також використовує Ethereum для досягнення доступності даних (DA), яка має сполучні відносини з L1.
Базовому секвенсору потрібно розкривати дані транзакцій від L2 до L1. Зокрема, секвенсор ініціює транзакцію на вказану адресу в Ethereum кожні кілька хвилин. У настроюваних додаткових даних Calldata of Transcation записуйте пакет стиснутих даних транзакцій. Оскільки повні вузли L2 автоматично синхронізують блоки L1, вони можуть відстежувати транзакцію, надіслану секвенсором, аналізувати дані транзакції L2 у його Calldata, а потім вивчати останній статус секвенсора L2 і обчислювати правильний статус. Сподіваюся, Stateroot порівнюється із Stateroot, поданим сортувальником на L1.
Наразі Base не має онлайн-системи захисту від шахрайства та не може гарантувати, що L2 Stateroot, записаний у контракті L1, є правильним. Однак користувачі, які мають можливість запускати повні вузли L2, можуть вчасно виявити помилки; крім того, Base не мати план протистояння атакам цензури, таким як примусове зняття коштів.Якщо секвенсор не працює протягом тривалого часу або навмисно відхиляє запити користувачів, користувачі L2 не зможуть безпечно виводити кошти на L1, тому це створює величезний ризик для безпеки.
Очевидно, що такий зведений пакет небезпечний на рівні розробки механізму, але користувачі та члени спільноти L2 можуть видавати попередження через соціальні мережі, коли це необхідно, щоб Ethereum Foundation і навіть регулятори, такі як SEC, усвідомлювали небезпеку. Соціальний консенсус", що завдяки високому ступеню прозорості даних і спонтанному контролю з боку членів спільноти, «бродіння громадської думки» та «ручне втручання» та подальша «юридична відповідальність» використовуються для обмеження злісної поведінки партії проекту L2, яка належить до найнижчого рівня рівень гарантії безпеки, оскільки він не може зупинити зло заздалегідь, а може притягнути до відповідальності лише після того, як зло сталося.
Але насправді «соціальний консенсус» також є основною умовою для забезпечення безпеки блокчейну (якщо хтось спробує зловмисно розгалужити Ethereum, спільнота Ethereum також визначить, який форк-ланцюг слід дотримуватися через соціальний консенсус), і зловмисники, враховуючи, що наслідки того, що мене викрили за те, що я зробив, у більшості випадків я не наважуюсь встати й ризикнути (звичайно, FTX, ZT, Mentougou та інші біржі виключаються).
Коли ми змінюємо об’єкт дослідження на Arbitrum One, ми відразу бачимо різницю між ним і Базою. Наприклад, він запустив доступну систему захисту від шахрайства та створив білий список претендентів, який включає вузли, керовані 9 різними організаціями, включаючи Ethereum Foundation і L2beat.Поки секвенсор публікує неправильний хеш стану Stateroot на L1, виклик Вузол користувача видасть сертифікат шахрайства, щоб переконатися, що L2 Stateroot, записаний у контракті Rollup, правильний;
У той же час Arbitrum One має механізм примусової транзакції для боротьби з атакою перегляду секвенсора, який дозволяє користувачам викликати функцію примусового включення контракту вхідної скриньки секвенсора на L1, щоб надіслати інструкції транзакції безпосередньо на L1; якщо секвенсор не обробляє транзакція протягом 24 годин. Для транзакцій/виведення коштів із «обов’язковим включенням» інструкції щодо транзакції/виведення будуть безпосередньо включені в послідовність транзакцій зведення, що створює «безпечний вихід» для користувачів, щоб примусово зняти кошти з L2.
Тут слід підкреслити, що в проекті Rollup на рівні Stage1, поки користувач може знати загальний статус облікового запису L2 і побудувати Merkle Proof, що відповідає балансу його облікового запису, він може примусово зняти кошти за допомогою вказаної функції в Зведений договір (ця функція зазвичай називається Escape Hetch). Що стосується того, як дізнатися статус облікового запису на L2, це залежить від того, чи є повні вузли, які відкривають дані в мережі Rollup (майже всі L2 мають такі вузли).
Крім того, поведінка Arbitrum One щодо оновлення контракту обмежена низкою факторів. Наприклад, звичайні пропозиції щодо оновлення контракту повинні спочатку пройти рішення про голосування керівного органу мережі. Після проходження порогового значення для голосування вони будуть обмежені часовими блокуваннями (там це 12-денна затримка). ), буде автоматично виконано пізніше. Якщо пропозиція щодо оновлення контракту містить логіку зловмисного коду, вона може бути відхилена комітетом із безпеки (виконується за допомогою мультипідпису).
Однак Комітет з безпеки Arbitrum One сам може подолати ліміт блокування часу. Наприклад, якщо пройдено мультипідпис 9/12, Комітет з безпеки може негайно оновити код контракту або примусово змінити L2 Stateroot, записаний у Контракт згортання.
Щодо того, чому Комітет безпеки має такі великі повноваження, Віталік якось пояснив:
«Деякі зведені пакети можуть використовувати кілька незалежних функцій переходу стану, наприклад, є два емітенти доказів шахрайства з різними думками, або кілька вузлів перевірки подають різні докази дійсності, або сортувальник намагається розгалужити реєстр L2, або не надсилає сертифікат дійсності до ланцюжок протягом 7 днів, може призвести до повного збою системи L2. Комітет безпеки може прийняти рішення в цій небезпечній ситуації та використати ручне втручання, щоб скерувати систему для прийняття правильного результату».
Звісно, Віталік перерахував лише кілька простих «небезпечних ситуацій», враховуючи те, що контракт Rollup може бути атакований хакерами, а секвенсер може бути зламаний у будь-який момент (або там може бути шпигун), екстрені заходи реагування, очевидно, необхідні.
За словами Віталіка, якщо це повний Rollup, контракт можна оновити, але має бути затримка блокування часу понад 30 днів, щоб дати користувачам і членам спільноти достатньо часу для реакції.
Очевидно, оскільки комітет безпеки Arbitrum може негайно оновити контракт після проходження мультипідпису, якщо нова версія коду містить зловмисну бізнес-логіку, вона теоретично може забрати активи L2 користувача. Таким чином, Arbitrum One не відповідає визначенню Віталіка ідеального Rollup, але рівень ризику відносно низький.
Коли ми хочемо перевірити «ідеальне зведення», на L2BEAT є лише два проекти, які відповідають критеріям: Fuel V1 і DeGate. Серед них Fuel V1 є першим оптимістичним Rollup, який запускає систему, стійку до шахрайства. Його подання, що захищає від шахрайства, без дозволу, і кожен може запустити вузол і видавати доказ шахрайства, коли це необхідно. У той же час контракт Fuel V1 жорстко закодований і не може бути оновлений взагалі, а комітет не може втручатися в L2 Stateroot, записаний у контракті Rollup, тому немає так званого ризику комітету безпеки.
Fuel V1 досяг найнижчого рівня ризику, але кожна ітерація оновлення вимагає повторного розгортання контракту, а користувачі повинні вручну перенести активи на нову версію. По суті, це повторне виконання нового проекту. Наслідком цього є фрагментація. значно зменшує гнучкість. Через численні причини, такі як модель програмування з використанням UTXO, яка не сумісна з EVM, і засновник пізніше перейшов до команди Celestia, розвиток Fuel поступово зупинився, а його екологічна конструкція також була незадовільною.
Загалом ціна прагнення до абсолютної безпеки полягає в незручному оновленні та ітерації.Наразі, коли технології захисту від шахрайства та дійсності ще не досконалі, підтримання певного рівня можливості оновлення контракту може бути обов’язковою функцією для Rollup.
На тривалий проміжок часу в майбутньому ми можемо передбачити таку ситуацію: більшість Rollups не відмовляться від комітету безпеки, щоб підписати більше, контракти L2 матимуть «негайну можливість оновлення» протягом тривалого часу (проект ZK Rollup, якого я ніколи не давав на мультипідписі Комітету з безпеки, а пізніше перейшов безпосередньо до роботи над новими проектами). Зважаючи на труднощі з розробкою системи захисту від шахрайства, більшість непровідних оптимістичних Rollups можуть не мати змоги запустити захист від шахрайства в короткостроковій перспективі (є висока ймовірність, що вони не зможуть це зробити до кінця 2023 року). ), і Arbitrum One протягом тривалого часу буде в авангарді Rollup, хоча він ще не має найвищого рівня безпеки, але має відносно повну систему захисту від шахрайства, а Комітет безпеки підпис достатньо розпорошений (мультипідпис 9/12 було призначено 12 членам спільноти, включаючи членів проекту ARB). Він також має найбільшу екосистему DApp з понад 440 програмами. Чи зможе Base, яка має низьку безпеку та більше покладається на маркетинг, продовжити темпи зростання за останні кілька місяців, ще невідомо. Якщо Base зможе перевершити Arbitrum One за розміром TVL, це може призвести до краху самої «недовірливої» віри.
Звичайно, найважливішим є те, що нам завжди потрібні агентства з оцінки ризиків, такі як L2BEAT. У цю неспокійну та хаотичну епоху набір чітких і вичерпних індикаторів оцінки ризиків завжди гарантуватиме процвітання системи Ethereum і навіть усього Web3. ключ.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Як S&P Moody's L2BEAT Web3 оцінює проекти рівня 2?
Автор: Фауст, гік web3
Коли справа доходить до назви L2BEAT, більшість людей, можливо, чули про неї, але вони не знають багато про те, що вона робить. Довгий час до 2023 року враження людей про L2BEAT часто було лише «платформою візуалізації даних Ethereum Layer 2». Окрім відображення даних TVL і класифікації технічних рішень треку L2, здавалося, що всі мало розуміли функції L2beat.. Однак із поступовим підвищенням індикаторів оцінки ризику рівня 2, запущених у червні цього року, L2BEAT, нішова організація, яку можна порівняти з «Рейтинговим агентством Ethereum L2», стає відомою все більшій кількості людей.
Коли згадується слово «рейтингове агентство», у книзі «Світ плоский» є дуже яскрава метафора: «Ми живемо у світі двох наддержав, одна — це Сполучені Штати, а інша — рейтингове агентство. Сполучені Штати Ви можете знищити країну за допомогою бомб, а рейтингові агенції можуть знищити країну за допомогою зниження рейтингу облігацій; іноді важко сказати, яка з них могутніша».
Від азіатських фінансових потрясінь у 1997 році до кризи субстандартних іпотечних кредитів у 2007 році рейтингові агенції Уолл-стріт відігравали ключову роль і навіть стали важливим промоутером цих порочних подій. У колі Web3, який звертає увагу на «недовіру» на поверхні і фактично спирається на «соціальний консенсус», «рейтинг ризику» є важливою частиною, якої неможливо уникнути. Незалежно від того, чи це аудит коду контракту чи аналіз ланцюгових транзакцій, їхня цінність не поступається доказам із нульовим знанням і консенсусним алгоритмам, або навіть гірше.
Для нової галузі модульного блокчейну набір об’єктивних і комплексних показників оцінки ризиків, які можуть розрізняти різні Рівні 2, є особливо важливим, особливо коли система L2 містить майже десятки мільярдів доларів активів, як покращити Це вже є неминучою практичною проблемою виявити потенційні ризики L2 і краще попередити громадськість.
У блозі на форумі у 2022 році Віталік зазначив, що майже всі Rollups на даний момент не є зрілими, і більшість використовує допоміжні засоби під назвою Training Wheels (допоміжні колеса), щоб забезпечити нормальну роботу Rollups. «Навчальні колеса» вказують на те, якою мірою проект Rollup покладається на «ручне втручання» та «соціальний консенсус». Чим менше L2 покладається на допоміжні колеса, тим більш «ненадійним» він є та менший ризик; навпаки, тим вищий ризик.
Наприклад, більшість оптимістичних зведених пакетів, включаючи Optimism, не мають онлайн-систем захисту від шахрайства, що значно підвищує рівень ризику; є також багато L2, таких як Immutable X, які реалізують DA (доступність даних) у ланцюжку ETH, або, як Starknet, йому не вистачає функції примусового відкликання/примусової торгівлі, яку можна викликати будь-коли. Для Рівня 2 наведені вище умови необхідні, щоб гарантувати, що він «рівний безпеці ETH». Звичайно, крім цього, майже всі учасники проекту L2 наразі залишили собі «бекдор», покладаючись на набір мультипідписів для керування кодом контракту L2 на Ethereum, і можуть змінити хеш статусу в будь-який час, що Прихована небезпека.
Щоб краще розрізнити та визначити Rollup, Віталік та інші розділили Rollup на три рівні, а саме Етап 0, Етап 1 та Етап 2, на основі ступеня залежності проекту Rollup від навчальних колес/втручання людини. Пізніше L2beat переглянув цю схему класифікації, запросивши думки спільноти, які можна приблизно підсумувати таким чином:
Stage0 - повністю залежить від допоміжних коліс, мінімальні стандарти, яким має відповідати Rollup:
· Проект називається Rollup.
· Транзакції, оброблені Rollup, мають бути «on-chain» (дані, які беруть участь у процесі переходу стану L2, мають бути розкриті L1, а також має бути розкрито хеш-корінь стану L2;)
Необхідно налаштувати пакет повних вузлів Rollup із відкритими дозволами та відкритим вихідним кодом, що може допомогти користувачам знати статус усіх облікових записів на L2 (включаючи баланси, час транзакцій тощо).
Проекти L2, які відповідають усім наведеним вище умовам, будуть позначені L2beat як Stage 0, тобто вони відповідають мінімальному стандарту зведеного пакету, інакше вони не вважатимуться зведеним (наприклад, Arbitrum Nova).
Stage1, Rollup, який частково покладається на допоміжні колеса, має такі характеристики:
Необхідно запустити систему захисту від шахрайства/валідності, щоб забезпечити дійсність переходу стану L2;
·Якщо це оптимістичний зведений пакет, має бути принаймні 5 неофіційно контрольованих вузлів L2, які можуть видавати докази шахрайства (білий список претендентів включає принаймні 5 об’єктів, крім офіційного зведеного).
Наприклад, станом на листопад 2022 року члени білого списку претендентів Arbitrum One включають 9 організацій: Consensys, Ethereum Foundation, L2BEAT, Mycelium, Offchain Labs, P2P, Quicknode, DLRC, Unit410.
У будь-який час користувачі можуть обійти секвенсор (оператора) і примусово вилучити активи з рівня L2 на L1, щоб гарантувати, що активи не будуть заморожені; якщо секвенсор запускає атаку перегляду та відмовляється обробляти певні транзакції, користувач може примусово подати транзакцію до послідовності транзакцій зведення на L1. Секвенсор не може знайти іншого способу зробити зло, окрім публікації неправильного Stateroot.
Rollup може створити комітет безпеки, керований групою мультипідписів, із повноваженнями примусово оновити контракт Rollup у надзвичайних ситуаціях або втручатися в хеш стану L2, записаний у контракті. Але приватний ключ комітету з кількома підписами має бути достатньо розпорошеним, а поріг має бути достатньо високим. Сам Віталік вважає, що це значення має бути не менше 6/8, тобто якщо багатопідписами керують більше 8 осіб, ефективний поріг становить 75%.
· Зведені контрактні оновлення, які не мають мультипідпису, дозволеного комітетом, підлягають щонайменше 7-денній затримці блокування. Таким чином, якщо Rollup виявить зловмисні пропозиції щодо оновлення, наприклад атаки на управління (див. подію атаки на управління Tornado Cash), користувачам можна дати принаймні 7 днів для безпечного виведення коштів.
Наразі лише Arbitrum One, dYdX і zkSync Lite досягли вимог етапу 1, тоді як інші основні зведені пакети все ще перебувають на етапі 0.
Етап 2 — повністю відмовитися від тренувальних коліс і стати повним зведенням:
· З точки зору оптимізму, вузли L2, які можуть публікувати докази шахрайства в мережі Rollup, повинні бути без дозволу та скасовувати налаштування білого списку (у зв’язку з цим Arbitrum One нещодавно запустив протокол під назвою BOLD);
· Усі оновлення контракту Rollup підлягають затримці блокування часу щонайменше на 30 днів, або контракт взагалі не можна оновити. Це означає, що в разі зловмисного оновлення до Rollup користувачі L2 мають принаймні 30 днів для безпечного виведення коштів.
Щоб краще зрозуміти показники рейтингу ризику, перелічені L2BEAT, ми можемо вибрати для аналізу три екземпляри Rollup з різними рівнями безпеки.
Stage0-Base, Stage1-Stage One, Stage2-Fuel:
Base є одним із провідних проектів на оптимістичній траєкторії Rollup. Він покладається на контракт на L1 для запису хешу стану L2 Stateroot, обробки коштів на вході та виході з L2, а також використовує Ethereum для досягнення доступності даних (DA), яка має сполучні відносини з L1.
Базовому секвенсору потрібно розкривати дані транзакцій від L2 до L1. Зокрема, секвенсор ініціює транзакцію на вказану адресу в Ethereum кожні кілька хвилин. У настроюваних додаткових даних Calldata of Transcation записуйте пакет стиснутих даних транзакцій. Оскільки повні вузли L2 автоматично синхронізують блоки L1, вони можуть відстежувати транзакцію, надіслану секвенсором, аналізувати дані транзакції L2 у його Calldata, а потім вивчати останній статус секвенсора L2 і обчислювати правильний статус. Сподіваюся, Stateroot порівнюється із Stateroot, поданим сортувальником на L1.
Наразі Base не має онлайн-системи захисту від шахрайства та не може гарантувати, що L2 Stateroot, записаний у контракті L1, є правильним. Однак користувачі, які мають можливість запускати повні вузли L2, можуть вчасно виявити помилки; крім того, Base не мати план протистояння атакам цензури, таким як примусове зняття коштів.Якщо секвенсор не працює протягом тривалого часу або навмисно відхиляє запити користувачів, користувачі L2 не зможуть безпечно виводити кошти на L1, тому це створює величезний ризик для безпеки.
Очевидно, що такий зведений пакет небезпечний на рівні розробки механізму, але користувачі та члени спільноти L2 можуть видавати попередження через соціальні мережі, коли це необхідно, щоб Ethereum Foundation і навіть регулятори, такі як SEC, усвідомлювали небезпеку. Соціальний консенсус", що завдяки високому ступеню прозорості даних і спонтанному контролю з боку членів спільноти, «бродіння громадської думки» та «ручне втручання» та подальша «юридична відповідальність» використовуються для обмеження злісної поведінки партії проекту L2, яка належить до найнижчого рівня рівень гарантії безпеки, оскільки він не може зупинити зло заздалегідь, а може притягнути до відповідальності лише після того, як зло сталося.
Але насправді «соціальний консенсус» також є основною умовою для забезпечення безпеки блокчейну (якщо хтось спробує зловмисно розгалужити Ethereum, спільнота Ethereum також визначить, який форк-ланцюг слід дотримуватися через соціальний консенсус), і зловмисники, враховуючи, що наслідки того, що мене викрили за те, що я зробив, у більшості випадків я не наважуюсь встати й ризикнути (звичайно, FTX, ZT, Mentougou та інші біржі виключаються).
Коли ми змінюємо об’єкт дослідження на Arbitrum One, ми відразу бачимо різницю між ним і Базою. Наприклад, він запустив доступну систему захисту від шахрайства та створив білий список претендентів, який включає вузли, керовані 9 різними організаціями, включаючи Ethereum Foundation і L2beat.Поки секвенсор публікує неправильний хеш стану Stateroot на L1, виклик Вузол користувача видасть сертифікат шахрайства, щоб переконатися, що L2 Stateroot, записаний у контракті Rollup, правильний;
У той же час Arbitrum One має механізм примусової транзакції для боротьби з атакою перегляду секвенсора, який дозволяє користувачам викликати функцію примусового включення контракту вхідної скриньки секвенсора на L1, щоб надіслати інструкції транзакції безпосередньо на L1; якщо секвенсор не обробляє транзакція протягом 24 годин. Для транзакцій/виведення коштів із «обов’язковим включенням» інструкції щодо транзакції/виведення будуть безпосередньо включені в послідовність транзакцій зведення, що створює «безпечний вихід» для користувачів, щоб примусово зняти кошти з L2.
Тут слід підкреслити, що в проекті Rollup на рівні Stage1, поки користувач може знати загальний статус облікового запису L2 і побудувати Merkle Proof, що відповідає балансу його облікового запису, він може примусово зняти кошти за допомогою вказаної функції в Зведений договір (ця функція зазвичай називається Escape Hetch). Що стосується того, як дізнатися статус облікового запису на L2, це залежить від того, чи є повні вузли, які відкривають дані в мережі Rollup (майже всі L2 мають такі вузли).
Крім того, поведінка Arbitrum One щодо оновлення контракту обмежена низкою факторів. Наприклад, звичайні пропозиції щодо оновлення контракту повинні спочатку пройти рішення про голосування керівного органу мережі. Після проходження порогового значення для голосування вони будуть обмежені часовими блокуваннями (там це 12-денна затримка). ), буде автоматично виконано пізніше. Якщо пропозиція щодо оновлення контракту містить логіку зловмисного коду, вона може бути відхилена комітетом із безпеки (виконується за допомогою мультипідпису).
Однак Комітет з безпеки Arbitrum One сам може подолати ліміт блокування часу. Наприклад, якщо пройдено мультипідпис 9/12, Комітет з безпеки може негайно оновити код контракту або примусово змінити L2 Stateroot, записаний у Контракт згортання.
Щодо того, чому Комітет безпеки має такі великі повноваження, Віталік якось пояснив:
«Деякі зведені пакети можуть використовувати кілька незалежних функцій переходу стану, наприклад, є два емітенти доказів шахрайства з різними думками, або кілька вузлів перевірки подають різні докази дійсності, або сортувальник намагається розгалужити реєстр L2, або не надсилає сертифікат дійсності до ланцюжок протягом 7 днів, може призвести до повного збою системи L2. Комітет безпеки може прийняти рішення в цій небезпечній ситуації та використати ручне втручання, щоб скерувати систему для прийняття правильного результату».
Звісно, Віталік перерахував лише кілька простих «небезпечних ситуацій», враховуючи те, що контракт Rollup може бути атакований хакерами, а секвенсер може бути зламаний у будь-який момент (або там може бути шпигун), екстрені заходи реагування, очевидно, необхідні.
За словами Віталіка, якщо це повний Rollup, контракт можна оновити, але має бути затримка блокування часу понад 30 днів, щоб дати користувачам і членам спільноти достатньо часу для реакції.
Очевидно, оскільки комітет безпеки Arbitrum може негайно оновити контракт після проходження мультипідпису, якщо нова версія коду містить зловмисну бізнес-логіку, вона теоретично може забрати активи L2 користувача. Таким чином, Arbitrum One не відповідає визначенню Віталіка ідеального Rollup, але рівень ризику відносно низький.
Коли ми хочемо перевірити «ідеальне зведення», на L2BEAT є лише два проекти, які відповідають критеріям: Fuel V1 і DeGate. Серед них Fuel V1 є першим оптимістичним Rollup, який запускає систему, стійку до шахрайства. Його подання, що захищає від шахрайства, без дозволу, і кожен може запустити вузол і видавати доказ шахрайства, коли це необхідно. У той же час контракт Fuel V1 жорстко закодований і не може бути оновлений взагалі, а комітет не може втручатися в L2 Stateroot, записаний у контракті Rollup, тому немає так званого ризику комітету безпеки.
Fuel V1 досяг найнижчого рівня ризику, але кожна ітерація оновлення вимагає повторного розгортання контракту, а користувачі повинні вручну перенести активи на нову версію. По суті, це повторне виконання нового проекту. Наслідком цього є фрагментація. значно зменшує гнучкість. Через численні причини, такі як модель програмування з використанням UTXO, яка не сумісна з EVM, і засновник пізніше перейшов до команди Celestia, розвиток Fuel поступово зупинився, а його екологічна конструкція також була незадовільною.
Загалом ціна прагнення до абсолютної безпеки полягає в незручному оновленні та ітерації.Наразі, коли технології захисту від шахрайства та дійсності ще не досконалі, підтримання певного рівня можливості оновлення контракту може бути обов’язковою функцією для Rollup.
На тривалий проміжок часу в майбутньому ми можемо передбачити таку ситуацію: більшість Rollups не відмовляться від комітету безпеки, щоб підписати більше, контракти L2 матимуть «негайну можливість оновлення» протягом тривалого часу (проект ZK Rollup, якого я ніколи не давав на мультипідписі Комітету з безпеки, а пізніше перейшов безпосередньо до роботи над новими проектами). Зважаючи на труднощі з розробкою системи захисту від шахрайства, більшість непровідних оптимістичних Rollups можуть не мати змоги запустити захист від шахрайства в короткостроковій перспективі (є висока ймовірність, що вони не зможуть це зробити до кінця 2023 року). ), і Arbitrum One протягом тривалого часу буде в авангарді Rollup, хоча він ще не має найвищого рівня безпеки, але має відносно повну систему захисту від шахрайства, а Комітет безпеки підпис достатньо розпорошений (мультипідпис 9/12 було призначено 12 членам спільноти, включаючи членів проекту ARB). Він також має найбільшу екосистему DApp з понад 440 програмами. Чи зможе Base, яка має низьку безпеку та більше покладається на маркетинг, продовжити темпи зростання за останні кілька місяців, ще невідомо. Якщо Base зможе перевершити Arbitrum One за розміром TVL, це може призвести до краху самої «недовірливої» віри.
Звичайно, найважливішим є те, що нам завжди потрібні агентства з оцінки ризиків, такі як L2BEAT. У цю неспокійну та хаотичну епоху набір чітких і вичерпних індикаторів оцінки ризиків завжди гарантуватиме процвітання системи Ethereum і навіть усього Web3. ключ.