Penulis: Faust, geek web3
Pendahuluan: Subteks Blast dalam menghadapi Layer2 ortodoks seperti Polygon zkEVM mungkin "Jenderal pangeran, apakah Anda lebih suka memiliki semacam?"Karena semua orang tidak cukup percaya, inti dari neraka adalah mengandalkan konsensus sosial untuk memastikan keamanan, jadi mengapa repot-repot mengkritik konsentrasi Layer2 Blast tidak cukup tinggi, “mengapa terlalu cemas”?
Diakui, ketergantungan Blast pada 3/5 multisig untuk mengontrol alamat deposit telah banyak dikritik, tetapi sebagian besar Layer 2 juga mengandalkan multisig untuk mengelola kontrak, dan Optimisme bahkan hanya menggunakan satu alamat EOA untuk mengontrol hak eskalasi kontrak. Pada saat Layer 2 arus utama hampir semuanya memiliki risiko keamanan seperti multi-tanda tangan, membanting Blast karena tidak cukup aman lebih seperti “penghinaan” elit teknis untuk proyek penambangan emas.
Tetapi mengesampingkan dua manfaat di atas, pentingnya keberadaan blockchain lebih untuk memecahkan masalah opasitas informasi dalam konsensus sosial / pemerintahan demokratis, dan ketika mengadvokasi supremasi teknologi, kita harus mengakui bahwa konsensus sosial itu sendiri lebih penting daripada teknologi, karena itu adalah fondasi yang menjamin operasi yang efektif dari semua proyek Web3. Dalam analisis terakhir, teknologi melayani konsensus sosial, dan proyek yang tidak dapat dikenali oleh kebanyakan orang, tidak peduli seberapa unggul teknologinya, pada dasarnya hanyalah lampiran yang indah.
Teks: Baru-baru ini, proyek baru Blast yang diluncurkan oleh pendiri Blur telah menjadi populer di seluruh jaringan, protokol “bunga aset” di bawah bendera Layer 2 ini telah menyiapkan alamat setoran pada rantai ETH, dan setelah pengguna menyetor dana ke alamat Blast, dana ini akan digunakan untuk taruhan asli jaringan ETH, menempatkannya di MakerDAO untuk mendapatkan bunga, dll., Dan keuntungan akan dikembalikan kepada pengguna.
Mengandalkan aura pendiri itu sendiri dan gameplay yang menarik, Blast menerima $ 20 juta dalam pembiayaan dari investor yang dipimpin oleh Paradigm, dan juga menarik partisipasi investor ritel yang tak terhitung jumlahnya. **Kurang dari 5 hari setelah diluncurkan, alamat top-up Blast menarik lebih dari $400 juta di TVL. Tidak berlebihan untuk mengatakan bahwa BLast seperti obat kuat di pasar beruang yang panjang, yang langsung membangkitkan hiruk-pikuk orang.
Namun, sementara Blast telah mencapai kesuksesan bertahap, itu juga menarik keraguan banyak ahli. Misalnya, insinyur L2BEAT dan Polygon semuanya mengatakan bahwa Blast saat ini hanyalah kontrak deposit yang digunakan di Ethereum, dan kontrak ini dapat ditingkatkan di bawah kendali 3/5 multisig, dengan kata lain, logika kode kontrak dapat ditulis ulang, dan Rug masih bisa menjadi Rug. Pada saat yang sama, Blast hanya mengklaim menerapkan struktur rollup, tetapi sekarang hanya cangkang kosong, dan bahkan fungsi penarikan tidak akan diluncurkan hingga Februari tahun depan.
Dan Blast juga tak tertahankan untuk menunjukkan kelemahan, **Sebagian besar Rollup bergantung pada satu set kontrak manajemen multi-tanda tangan di belakang mereka untuk meningkatkan izin mereka, dan Layer2 lainnya menuduh “Blast with multi-signature” hanya 50 langkah dan 100 langkah. **
****Layer2 multisig adalah masalah lama ****
Faktanya, multi-tanda tangan kontrak Layer 2 telah menjadi masalah lama. Pada awal Juli tahun ini, L2BEAT melakukan penyelidikan khusus tentang kemampuan upgrade kontrak Rollup, dan yang disebut “dapat ditingkatkan” adalah mengubah alamat kontrak logis yang ditunjukkan oleh kontrak proxy untuk mencapai efek mengubah logika kontrak. **Jika kontrak baru berisi logika berbahaya, Layer 2 dapat mencuri aset pengguna.
(图源:Akademi WTF)
Menurut data L2BEAT, saat ini, rollup mainstream seperti Arbitrum, Optimism, Loopring, ZKSync Lite, ZkSync Era, Starknet, dan Polygon ZKEVM telah mengadopsi kontrak upgrade resmi multi-tanda tangan, yang dapat segera ditingkatkan dengan melewati batas timelock. **
Anehnya, Optimisme dulu hanya menggunakan alamat EOA untuk mengelola peningkatan kontrak, dan bahkan multisig baru ditambahkan pada Oktober tahun ini. Adapun **Polygon zkEVM, yang telah menyerang Blast, juga dapat melakukan “pengambilalihan darurat” dari kontrak Rollup di bawah otorisasi 6/8 multi-tanda tangan, dan mengubah Layer 2 dari tata kelola kontrak menjadi “tata kelola manusia telanjang”. Menariknya, hal ini juga disebutkan oleh insinyur Polygon yang mengkritik Blast di atas, namun dengan cara yang samar-samar.
Jadi apa pentingnya keberadaan “mode darurat” ini?**Mengapa sebagian besar rollup harus meninggalkan tombol panik atau backdoor?**Menurut pernyataan Vitalik sebelumnya, Rollup perlu sering memperbarui kontrak yang diterapkan pada ETH selama proses iterasi, dan sulit untuk beralih secara efisien tanpa memperkenalkan cara yang dapat ditingkatkan seperti kontrak proxy.
Selain itu, kontrak pintar yang menampung sejumlah besar aset mungkin memiliki bug yang tidak mudah dideteksi, dan tidak dapat dihindari bahwa tim pengembangan Layer 2 akan lalai dan jika beberapa kerentanan dieksploitasi oleh peretas, itu dapat menyebabkan pencurian aset dalam jumlah besar. Oleh karena itu, apakah itu Layer 2 atau protokol DeFi, tombol panik sering diatur, dan “anggota komite” campur tangan bila perlu untuk mencegah beberapa peristiwa ganas terjadi. **
Tentu saja, komite Layer 2 seringkali dapat melewati batasan timelock dan segera meningkatkan kode kontrak, tetapi dari sudut pandang tertentu, mereka tampaknya lebih tabu daripada peretas dan faktor eksternal lainnya. Dengan kata lain, bagaimanapun, sulit bagi kontrak pintar yang menampung sejumlah besar aset untuk dibebaskan dari tingkat “asumsi kepercayaan” tertentu, yaitu, asumsi bahwa pengontrol multisig di balik kontrak tidak melakukan kejahatan. Kecuali kontrak dirancang agar tidak dapat ditingkatkan dan tidak ada bug yang dapat mengancam keamanan aset pengguna.
Kenyataannya adalah bahwa Layer 2 arus utama memungkinkan komite mereka sendiri untuk segera memperbarui kontrak, atau memperkenalkan pembatasan timelock yang lebih pendek (misalnya siapa pun yang ingin meningkatkan kontrak dYdX memiliki penundaan setidaknya 48 jam). Jika ditemukan bahwa komite bermaksud untuk menambahkan logika jahat mencuri aset ke versi baru dari kode kontrak, pengguna secara teoritis akan memiliki cukup waktu untuk bereaksi dan segera menarik aset dari Layer 1. **
(Timelock adalah penundaan yang memungkinkan Anda melakukan operasi tertentu)
Tetapi inti masalahnya adalah banyak Layer 2 bahkan tidak memiliki fungsi penarikan paksa yang dapat melewati sequencer Sequencer, sehingga pejabat Layer 2 dapat melakukan kejahatan dengan membiarkan sequencer menolak permintaan penarikan semua orang terlebih dahulu, dan kemudian mentransfer aset pengguna ke akun L2 yang dikendalikan oleh pejabat Layer 2. Setelah itu, pejabat akan memperbarui kontrak Rollup sesuai dengan kebutuhannya sendiri, dan ketika penundaan timelock selesai, semua aset pengguna dapat ditransfer ke rantai ETH.
Tentu saja, situasi sebenarnya mungkin lebih buruk daripada yang saya katakan, karena sebagian besar rollup dapat meningkatkan kontrak tanpa timelock, yang berarti mereka dapat menyelesaikan karpet ratusan juta dolar hampir secara instan.
Layer 2 yang benar-benar tidak dapat dipercaya harus membuat penundaan peningkatan kontrak lebih besar daripada penundaan penarikan paksa
Bahkan, untuk memecahkan masalah trustless / keamanan Layer 2, hal-hal berikut perlu dilakukan:
Dengan menyiapkan outlet penarikan tahan sensor pada Layer 1, pengguna dapat langsung mentransfer aset dari Layer 2 ke rantai ETH tanpa izin dari sequencer. Penundaan penarikan paksa tidak boleh terlalu lama, untuk memastikan bahwa aset pengguna dapat dengan cepat ditarik dari L2;
Siapa pun yang ingin meningkatkan kontrak Layer 2 harus tunduk pada batas penundaan timelock, ** upgrade kontrak harus berlaku lebih lambat dari penarikan wajib. **Misalnya, jika ada penundaan setidaknya 48 jam untuk peningkatan kontrak dYdX, maka penundaan untuk mode pod penarikan/pelarian wajib harus dikurangi menjadi 48 jam. Dengan cara ini, setelah pengguna menemukan bahwa pihak proyek dYdX ingin membius versi baru kontrak dengan kode berbahaya, ia dapat menarik aset dari Layer 2 ke Layer 1 sebelum kontrak diperbarui. **
Saat ini, sebagian besar rollup yang telah meluncurkan mekanisme forced withdrawal/escape pod tidak memenuhi ketentuan di atas. Misalnya, pod penarikan paksa / pelarian dYdX memiliki penundaan maksimum 7 hari, tetapi penundaan peningkatan kontrak komite dYdX hanya 48 jam, yang berarti bahwa komite ** dapat menyelesaikan penyebaran kontrak baru sebelum penarikan paksa pengguna berlaku, dan mencuri aset sebelum pengguna melarikan diri. **
Dari sudut pandang ini, kecuali untuk Bahan Bakar, ZKSpace, dan Degate, rollup lain tidak dapat menjamin bahwa penarikan paksa pengguna akan diproses sebelum kontrak ditingkatkan, dan ada asumsi kepercayaan tingkat tinggi.
Banyak proyek yang mengadopsi skema Validasi (DA diimplementasikan off-chain di Ethereum) memiliki penundaan peningkatan kontrak yang lama (misalnya, 8 hari atau lebih),** tetapi Validium sering mengandalkan node DAC off-chain untuk mempublikasikan data terbaru, dan DAC dapat meluncurkan serangan pemotongan data yang membatalkan penarikan paksa, sehingga tidak memenuhi model keamanan yang dibahas di atas. **
Pada titik ini, tampaknya jelas dan ringkas untuk menyimpulkan bahwa tidak ada solusi Layer 2, kecuali Fuel, ZKSpace, dan DeGate, yang tidak dapat dipercaya. Pengguna mempercayai proyek Layer 2 atau komite keamanan yang dibentuk olehnya untuk tidak melakukan kejahatan, atau mempercayai node DAC dari rantai untuk tidak berkolusi, atau mempercayai sequencer untuk tidak meninjau transaksi Anda (menolak permintaan Anda). Hanya ada 3 Lapisan 2 yang benar-benar memenuhi persyaratan keamanan, tahan sensor, dan tidak dapat dipercaya.
****Keamanan tidak hanya dicapai oleh teknologi, tetapi harus memperkenalkan konsensus sosial ****
Faktanya, topik yang kita bicarakan hari ini bukanlah hal baru, dan esensi dari Layer 2 yang ditunjukkan dalam artikel ini tergantung pada kredibilitas pihak proyek yang telah ditunjukkan oleh banyak orang untuk waktu yang lama. Misalnya, Avalanche dan pendiri Solana telah mengecam hal ini, tetapi masalahnya adalah bahwa asumsi kepercayaan yang ada di Layer 2 ini juga ada di Layer 1 dan bahkan di semua proyek blockchain. **
Misalnya, kita perlu mengasumsikan bahwa node validator yang menyumbang 2/3 dari bobot pasak di jaringan Solana tidak berkolusi, dan kita perlu mengasumsikan bahwa dua kumpulan penambangan teratas, yang merupakan mayoritas kekuatan hash Bitcoin, tidak bergabung untuk meluncurkan serangan 51% untuk memutar kembali rantai terpanjang. Meskipun asumsi ini sulit untuk dipatahkan, “keras” tidak berarti “tidak.”
Setelah rantai publik Layer1 tradisional memiliki perilaku jahat yang menyebabkan kerusakan pada sejumlah besar aset pengguna, ia akan sering meninggalkan rantai yang bermasalah dan memotong rantai baru melalui ** konsensus sosial ** (lihat insiden DAO 2016 yang menyebabkan fork Ethereum menjadi ETH dan ETC). Jika seseorang mencoba membuat garpu jahat, setiap orang juga harus memilih garpu mana yang “lebih dapat diandalkan” untuk diikuti melalui konsensus sosial. (Misalnya, kebanyakan orang tidak mengikuti proyek ETHW)
Konsensus sosial adalah akar penyebab memastikan operasi proyek blockchain yang tertib dan bahkan protokol DeFi yang mereka bawa, dan bahkan mekanisme koreksi kesalahan seperti audit kode kontrak dan anggota komunitas yang mengungkapkan masalah dalam suatu proyek juga merupakan bagian dari konsensus sosial. Namun, desentralisasi, yang dicapai semata-mata oleh teknologi, seringkali tidak memainkan peran terbesar, dan berkali-kali tetap pada tingkat teoretis.
Apa yang benar-benar berperan pada saat kritis seringkali adalah konsensus sosial yang tidak ada hubungannya dengan teknologi, pengawasan opini publik yang tidak ada hubungannya dengan makalah akademis, dan pengakuan massa yang tidak ada hubungannya dengan narasi teknis. **
Kita dapat membayangkan skenario berikut: rantai publik POW yang hanya didengar oleh beberapa ratus orang untuk sementara berada dalam keadaan yang sangat terdesentralisasi, karena tidak ada dominasi satu perusahaan. Namun, jika sebuah perusahaan mesin pertambangan tiba-tiba menginvestasikan semua daya komputasinya ke dalam rantai POW, kekuatan komputasi itu sendiri berkali-kali lipat lebih tinggi daripada semua penambang lain, dan pada saat ini, desentralisasi rantai POW akan hancur seketika. Jika perusahaan mesin penambangan berniat melakukan kejahatan, orang hanya dapat memperbaiki kesalahan tersebut melalui konsensus sosial. **
Di sisi lain, apa yang disebut Layer 2, tidak peduli seberapa rumit desain mekanismenya, tidak dapat menghindari hubungan konsensus sosial, bahkan L2 seperti Fuel, DeGate, dan ZKSpace, yang hampir tidak mungkin bagi pejabat untuk melakukan kejahatan, ** Layer1-Ethereum yang mereka andalkan sangat bergantung pada konsensus sosial / pengawasan opini komunitas-publik. **
SELAIN ITU, KAMI PERCAYA BAHWA KONTRAK TIDAK DAPAT DITINGKATKAN, KARENA KAMI TELAH MENDENGARKAN PERNYATAAN AUDITOR KONTRAK DAN L2BEAT, TETAPI LEMBAGA-LEMBAGA INI MUNGKIN LALAI ATAU BERBOHONG. Meskipun kemungkinan ini sangat rendah, kita harus mengakui bahwa ** masih memperkenalkan asumsi kepercayaan kecil padanya. **
Namun, sifat open-source dari blockchain itu sendiri memungkinkan siapa saja, termasuk peretas, untuk memeriksa apakah kontrak tersebut mengandung logika jahat, yang sebenarnya meminimalkan asumsi kepercayaan, yang sangat mengurangi biaya konsensus sosial. Jika biaya ini dikurangi cukup rendah, kita dapat mengasumsikan bahwa ini “tidak dapat dipercaya”.
Tentu saja, selain tiga yang disebutkan di atas, Layer2 lainnya tidak memiliki apa yang disebut kepercayaan sama sekali, dan yang benar-benar menjamin keamanan pada saat-saat kritis masih merupakan konsensus sosial, dan komponen teknisnya seringkali hanya nyaman bagi orang untuk melakukan pengawasan konsensus sosial. Jika sebuah proyek secara teknis lebih unggul, tetapi tidak diakui secara luas dan tidak dapat menarik komunitas besar, maka tata kelola yang terdesentralisasi dan konsensus sosial itu sendiri tidak akan efektif dalam melaksanakan secara efektif.
Teknologi itu penting, tetapi lebih sering daripada tidak, kemampuan untuk diakui secara luas dan kemampuan untuk mengembangkan budaya masyarakat yang kuat adalah faktor yang lebih penting, lebih berharga, dan lebih kondusif untuk pengembangan proyek daripada teknologi. **
Kami mungkin juga mengambil zkRollup sebagai contoh, saat ini, banyak zkRollups hanya menerapkan sistem bukti validitas dan data DA pada rantai, yang dapat membuktikan bahwa semua transaksi dan transfer pengguna yang mereka proses valid, tidak dipalsukan oleh sequencer, dan tidak ada kejahatan dalam hal “transisi keadaan”, tetapi tidak hanya ada satu skenario di mana Layer2 resmi atau sequencer jahat.
Kita dapat memperkirakan bahwa sistem bukti ZK pada dasarnya hanya sangat mengurangi biaya pengawasan orang terhadap Lapisan 2, tetapi ada banyak hal yang tidak dapat diselesaikan dengan teknologi itu sendiri, dan harus bergantung pada intervensi tata kelola manusia atau konsensus sosial.
Jika pejabat L2 tidak mengatur pintu keluar yang tahan sensor seperti penarikan paksa, atau jika pejabat mencoba untuk meningkatkan kontrak dan mencampurnya dengan logika bahwa aset pengguna dapat dicuri, anggota masyarakat harus bergantung pada konsensus sosial dan fermentasi opini publik untuk memperbaiki kesalahan mereka. Pada saat ini, tampaknya keunggulan teknologi bukan lagi yang paling penting, bukan apakah teknologi penting untuk keamanan, melainkan bahwa desain mekanisme itu sendiri yang nyaman bagi orang untuk melakukan konsensus sosial lebih penting, yang sebenarnya adalah arti sebenarnya dari Layer2 dan bahkan blockchain. **
Dari Blast, yang diawasi semata-mata oleh konsensus sosial, kita harus melihat lebih langsung hubungan antara konsensus sosial dan implementasi teknis, daripada menilai manfaat proyek berdasarkan “L2 mana yang lebih dekat ke Layer 2 di mulut vitalik daripada yang lain”. Ketika sebuah proyek telah mendapatkan persetujuan dan perhatian jutaan orang, konsensus sosial telah terbentuk, dan tidak masalah apakah itu pemasaran atau narasi teknis, karena hasilnya sendiri lebih penting daripada prosesnya.
Memang benar bahwa konsensus sosial itu sendiri merupakan perpanjangan dari politik demokratis, dan dunia nyata telah mengkonfirmasi cacat pemerintahan demokratis, tetapi open source dan transparansi data yang datang dengan blockchain itu sendiri sangat mengurangi biaya konsensus sosial, sehingga “aturan manusia” Web3 pada dasarnya berbeda dari “aturan manusia” dari negara-negara berdaulat nyata. **
Jika kita melihat blockchain itu sendiri sebagai sarana teknis untuk meningkatkan masalah transparansi informasi dalam pemerintahan yang demokratis, daripada hanya mengejar “implementasi kode tanpa kepercayaan” yang tidak pernah berakhir, semuanya tampak jauh lebih optimis dan jelas. Hanya dengan menyingkirkan arogansi dan prasangka yang ditetapkan oleh elit teknis dan merangkul khalayak yang lebih luas, sistem Ethereum Layer2 dapat benar-benar menjadi infrastruktur keuangan kelas dunia untuk adopsi massal.
