Автор: Faust, geek web3
Введение: Подтекст Blast перед лицом ортодоксального Layer2, такого как Polygon zkEVM, может быть таким: "Княжеские генералы, вы бы предпочли иметь что-то вроде этого?"Поскольку все недостаточно доверчивы, суть **** заключается в том, чтобы полагаться на социальный консенсус для обеспечения безопасности, так зачем критиковать концентрацию Layer 2 Бласта недостаточно высокой, “почему он слишком тревожный”?
По общему признанию, зависимость Blast от мультиподписи 3/5 для управления адресами депозитов была широко раскритикована, но большинство Layer 2 также полагаются на мультиподпись для управления контрактами, а Optimism даже использовал только один адрес EOA для контроля привилегий эскалации контрактов. В то время, когда основные уровни 2 почти все имеют риски безопасности, такие как мультиподпись, критика Blast за то, что он недостаточно безопасен, больше похожа на «презрение» технической элиты к золотодобывающему проекту.
Но если оставить в стороне два вышеперечисленных достоинства, то значимость существования блокчейна заключается скорее в решении проблемы информационной непрозрачности в социальном консенсусе/демократическом управлении, и при пропаганде верховенства технологии мы должны признать, что сам по себе социальный консенсус важнее технологии, ведь именно она является фундаментом, гарантирующим эффективную работу всех Web3-проектов. В конечном счете, технологии стоят на службе общественного консенсуса, и проекты, которые не могут быть признаны большинством людей, независимо от того, насколько они превосходят технологии, по сути, являются просто великолепным приложением.
Текст: В последнее время новый проект Blast, запущенный основателем Blur, стал популярен во всей сети, этот протокол «интереса к активам» под баннером Layer 2 установил адрес депозита в цепочке ETH, и после того, как пользователи внесут средства на адрес Blast, эти средства будут использоваться для нативного стейкинга сети ETH, размещения их в MakerDAO для получения процентов и т. д., а прибыль будет возвращена пользователям.
Опираясь на ауру самого основателя и привлекательный игровой процесс, Blast получила финансирование в размере 20 миллионов долларов от инвесторов во главе с Paradigm, а также привлекла участие бесчисленного количества розничных инвесторов. ** Менее чем через 5 дней после запуска адреса пополнения Blast привлекли более 400 миллионов долларов TVL. Не будет преувеличением сказать, что BLast – это как сильное лекарство на затяжном медвежьем рынке, которое мгновенно вызвало у людей бешенство.
Однако, несмотря на то, что Blast добился постепенного успеха, он также вызвал сомнения многих экспертов. Например, инженеры L2BEAT и Polygon все говорили, что текущий Blast — это всего лишь депозитный контракт, развернутый на Ethereum, и этот контракт может быть обновлен под контролем 3/5 multisig, другими словами, логика кода контракта может быть переписана, и Rug по-прежнему может быть Rug. При этом Blast лишь заявляет о реализации роллап-структуры, но сейчас это просто пустая оболочка, и даже функция вывода средств будет запущена не раньше февраля следующего года.
И Blast также невыносимо проявлять слабость, ** Подавляющее большинство роллапов полагаются на набор контрактов управления несколькими подписями, стоящих за ними, чтобы обновить свои разрешения, а другие Layer2 обвиняют «Blast с мультиподписью» всего за 50 шагов и 100 шагов. **
Layer2 multisig — давняя проблема
На самом деле, мультиподпись контрактов уровня 2 является давней проблемой. Еще в июле этого года компания L2BEAT провела специальное расследование на предмет апгрейдируемости контракта Rollup, и так называемый «upgradeable» заключается в изменении адреса логического контракта, на который указывает прокси-контракт, для достижения эффекта изменения логики контракта. **Если новый контракт содержит вредоносную логику, Layer 2 может украсть активы пользователя.
(图源:WTF Academy)
Согласно данным L2BEAT, в настоящее время основные роллапы, такие как Arbitrum, Optimism, Loopring, ZKSync Lite, ZkSync Era, Starknet и Polygon ZKEVM, приняли авторизованные обновляемые контракты с несколькими подписями, которые могут быть обновлены немедленно, обойдя ограничение временной блокировки. **
Удивительно, но раньше Optimism использовал только адрес EOA для управления обновлением контракта, и даже мультиподпись была добавлена только в октябре этого года. Что касается **Polygon zkEVM, который атаковал Blast, он также может осуществить «экстренный захват» контракта Rollup с авторизацией мультиподписи 6/8 и изменить Layer 2 с управления контрактом на «голое человеческое управление». Интересно, что об этом также упоминал инженер Polygon, который раскритиковал Blast выше, но в расплывчатой форме.
Так в чем же смысл существования этого «аварийного режима»?**Почему большинство роллапов должны оставлять себе тревожную кнопку или бэкдор?**Согласно предыдущему заявлению Виталика, роллапам необходимо часто обновлять контракты, развернутые на ETH, во время процесса итерации, и трудно эффективно выполнять итерации без внедрения обновляемых средств, таких как прокси-контракты.
Кроме того, смарт-контракты, в которых размещается большое количество активов, могут иметь ошибки, которые нелегко обнаружить, и команда разработчиков уровня 2 неизбежно проявит халатность, и если некоторые уязвимости будут использованы хакерами, это может привести к краже большого количества активов. Поэтому, будь то протокол уровня 2 или DeFi, часто устанавливается тревожная кнопка, и «члены комитета» вмешиваются, когда это необходимо, чтобы предотвратить некоторые порочные события. **
Конечно, комитеты уровня 2 часто могут обходить ограничения временной блокировки и сразу обновлять код контракта, но с определенной точки зрения они кажутся более табуированными, чем хакеры и другие внешние факторы. Другими словами, в любом случае смарт-контракту, на котором размещено огромное количество активов, сложно быть освобожденным от определенной степени «предположения доверия», то есть предположения о том, что контроллер мультиподписи, стоящий за контрактом, не творит зла. За исключением случаев, когда контракт не подлежит обновлению и в нем нет ошибок, которые могут угрожать безопасности активов пользователя.
Реальность такова, что мейнстримные Layer 2 либо позволяют своим собственным комитетам обновлять контракты немедленно, либо вводят более короткие ограничения по времени блокировки (например, любой, кто хочет обновить контракт dYdX, имеет задержку не менее 48 часов). Если обнаружится, что комитет намерен добавить вредоносную логику кражи активов в новую версию кода контракта, у пользователя теоретически будет достаточно времени, чтобы среагировать и срочно вывести активы из Layer 1. **
(Временная блокировка — это задержка, которая позволяет выполнять определенные операции)
Но суть проблемы заключается в том, что многие Layer 2 даже не имеют функции принудительного вывода средств, которая может обойти секвенсор Layer, поэтому должностное лицо Layer 2 может сделать зло, позволив секвенсору сначала отклонить запрос на вывод средств, а затем перевести активы пользователя на учетную запись L2, контролируемую должностным лицом Layer 2. После этого чиновник обновит контракт Rollup в соответствии с собственными потребностями, и когда задержка временной блокировки закончится, все активы пользователей можно будет перевести в цепочку ETH.
Конечно, реальная ситуация может быть хуже, чем я сказал, потому что большинство роллапов могут обновлять контракты без временных блокировок, а это означает, что они могут завершить ковры на сотни миллионов долларов почти мгновенно.
По-настоящему надежный уровень 2 должен сделать задержку обновления контракта большей, чем задержку принудительного выхода
На самом деле, для того, чтобы решить проблему отсутствия доверия/безопасности уровня 2, необходимо сделать следующее:
Настроив устойчивую к цензуре точку вывода средств на уровне 1, пользователи могут напрямую переводить активы с уровня 2 в цепочку ETH без разрешения секвенсора. Задержка принудительного вывода средств не должна быть слишком долгой, чтобы гарантировать, что активы пользователя могут быть быстро выведены из L2;
Любой, кто хочет обновить контракт уровня 2, должен подпадать под ограничение задержки временной блокировки, ** обновление контракта должно вступить в силу позже, чем обязательный отзыв. **Например, если существует задержка не менее чем на 48 часов для контрактного обновления dYdX, то задержка для обязательного режима вывода/эвакуации капсулы должна быть сокращена до 48 часов. Таким образом, после того, как пользователь обнаружит, что участник проекта dYdX хочет подправить новую версию контракта вредоносным кодом, он может вывести активы со 2-го уровня на 1-й до того, как контракт будет обновлен. **
В настоящее время подавляющее большинство роллапов, запустивших механизм принудительного вывода/эвакуации, не соответствуют вышеуказанным условиям. Например, принудительный вывод/побег dYdX имеет максимальную задержку в 7 дней, но задержка обновления контракта комитета dYdX составляет всего 48 часов, что означает, что комитет ** может завершить развертывание новых контрактов до того, как принудительный выход пользователя вступит в силу, и украсть активы до того, как пользователь сбежит. **
С этой точки зрения, за исключением Fuel, ZKSpace и Degate, другие роллапы не могут гарантировать, что принудительный вывод средств пользователя будет обработан до обновления контракта, и существует высокая степень доверия.
Многие проекты, использующие схему валидации (DA реализован вне блокчейна на Ethereum), имеют длительную задержку обновления контракта (например, 8 дней и более),** но Validium часто полагается на внецепочечные узлы DAC для публикации последних данных, и DAC могут запускать атаки с удержанием данных, которые аннулируют принудительный вывод средств, поэтому они не соответствуют модели безопасности, описанной выше. **
На данный момент кажется очевидным и кратким вывод, что ни одно из решений уровня 2, за исключением Fuel, ZKSpace и DeGate, не является надежным. Пользователи либо доверяют проекту Layer 2 или созданному им комитету безопасности, чтобы не творить зло, либо доверяют узлам DAC вне цепочки в том, что они не вступят в сговор, либо доверяют секвенсору, который не проверит вашу транзакцию (отклонит ваш запрос). Есть только 3 уровня 2, которые действительно отвечают требованиям безопасности, устойчивости к цензуре и надежности.
Безопасность достигается не только с помощью технологий, но и с помощью общественного консенсуса
На самом деле, тема, о которой мы сегодня говорим, не нова, и суть Layer 2, указанная в этой статье, зависит от авторитета стороны проекта, на которую указывало бесчисленное количество людей в течение долгого времени. Например, Avalanche и основатели Solana набросились на это, но проблема в том, что эти предположения о доверии, которые существуют на уровне 2, также существуют на уровне 1 и даже во всех блокчейн-проектах. **
Например, нам нужно предположить, что узлы-валидаторы, на долю которых приходится 2/3 веса стейка в сети Solana, не вступают в сговор, и нам нужно предположить, что два ведущих майнинговых пула, на которые приходится большая часть хеш-мощности Биткоина, не объединяют усилия для запуска атаки 51% для отката самой длинной цепочки. Хотя эти предположения трудно сломать, «трудно» не означает «нет».
Как только традиционная публичная цепочка уровня 1 начинает вести себя неподобающим образом, что наносит ущерб большому количеству пользовательских активов, она часто отказывается от проблемной цепочки и создает новую цепочку с помощью социального консенсуса (см. инцидент The DAO 2016 года, который привел к форку Ethereum на ETH и ETC). Если кто-то попытается сделать вредоносный форк, каждый также должен выбрать, какому «более надежному» форку следовать через социальный консенсус. (Например, большинство людей не следят за проектом ETHW)
Социальный консенсус является основной причиной обеспечения упорядоченной работы блокчейн-проектов и даже протоколов DeFi, которые они используют, и даже механизмы исправления ошибок, такие как аудит кода контрактов и раскрытие членами сообщества проблем в проекте, также являются частью социального консенсуса. Однако децентрализация, которая достигается исключительно технологиями, зачастую играет не самую большую роль, и часто остается на теоретическом уровне.
Что действительно играет роль в критический момент, так это социальный консенсус, который не имеет ничего общего с технологиями, наблюдение за общественным мнением, которое не имеет ничего общего с научными работами, и массовое признание, которое не имеет ничего общего с техническим нарративом. **
Мы можем представить себе следующий сценарий: публичная сеть POW, о которой слышали всего несколько сотен человек, временно находится в сильно децентрализованном состоянии, потому что в ней нет доминирования одной компании. Однако, если компания, занимающаяся майнинговым оборудованием, вдруг вложит всю свою вычислительную мощность в цепочку POW, вычислительная мощность самой компании будет в разы выше, чем у всех остальных майнеров, и в это время децентрализация цепочки POW будет мгновенно разрушена. Если компания, производящая оборудование для майнинга, намерена творить зло, люди могут исправить ошибку только с помощью общественного консенсуса. **
С другой стороны, так называемый Layer 2, каким бы сложным ни был его механизм, не может избежать связи социального консенсуса, даже L2, такой как Fuel, DeGate и ZKSpace, которые практически невозможно для чиновников творить зло, ** Layer1-Ethereum, на который они полагаются, сильно зависит от социального консенсуса/надзора за общественным мнением. **
БОЛЕЕ ТОГО, МЫ СЧИТАЕМ, ЧТО КОНТРАКТ НЕ ПОДЛЕЖИТ ОБНОВЛЕНИЮ, ПОТОМУ ЧТО МЫ ВЫСЛУШАЛИ ЗАЯВЛЕНИЯ АУДИТОРОВ КОНТРАКТОВ И L2BEAT, НО ЭТИ УЧРЕЖДЕНИЯ МОГУТ БЫТЬ НЕБРЕЖНЫМИ ИЛИ ЛГАТЬ. Хотя эта вероятность крайне мала, мы должны признать, что ** все же вносит в нее небольшое предположение о доверии. **
Однако сам блокчейн с открытым исходным кодом позволяет любому, в том числе и хакерам, проверить, содержит ли контракт вредоносную логику, что фактически минимизирует предположение о доверии, что значительно снижает стоимость социального консенсуса. Если эта стоимость снижена достаточно низко, можно считать, что это «не вызывает доверия».
Конечно, помимо трех упомянутых выше, другой Layer2 вообще не обладает так называемым доверием, а то, что действительно гарантирует безопасность в критические моменты, это все-таки социальный консенсус, а техническая составляющая зачастую просто удобна для того, чтобы люди осуществляли надзор за социальным консенсусом. Если проект технически превосходит, но не получает широкого признания и не может привлечь большое сообщество, то его децентрализованное управление и социальный консенсус сами по себе не будут эффективными в эффективном осуществлении.
Технологии важны, но чаще всего способность быть широко признанным и способность развивать сильную культуру сообщества является более важным, более ценным и более благоприятным фактором для развития проекта, чем технологии. **
С таким же успехом мы могли бы взять zkRollup в качестве примера, в настоящее время многие zkRollups реализуют только систему подтверждения валидности и данные DA в цепочке, которые могут доказать, что все пользовательские транзакции и передачи, которые они обрабатывают, являются действительными, а не подделанными секвенсором, и нет никакого зла в вопросе «перехода состояния», но есть не только один сценарий, в котором чиновник или секвенсор Layer2 является злом.
Мы можем приблизительно сказать, что система ZK-доказательств, по сути, лишь значительно снижает затраты на надзор людей за уровнем 2, но есть много вещей, которые не могут быть решены самой технологией, и должны полагаться на вмешательство человеческого управления или общественного консенсуса.
Если чиновник L2 не настроит устойчивые к цензуре выходы, такие как принудительный выход, или если чиновник попытается обновить контракт и смешать его с логикой, что активы пользователей могут быть украдены, членам сообщества придется полагаться на социальный консенсус и брожение общественного мнения, чтобы исправить свои ошибки. На данный момент кажется, что превосходство технологии уже не является самым важным, не столько то, важны ли технологии для безопасности, сколько то, что важнее сама конструкция механизма, которая удобна для людей для осуществления социального консенсуса, что на самом деле и является истинным смыслом Layer2 и даже блокчейна. **
Исходя из Blast, который контролируется исключительно социальным консенсусом, мы должны более непосредственно смотреть на взаимосвязь между социальным консенсусом и технической реализацией, а не судить о достоинствах проекта, основываясь на том, «какой L2 ближе к Layer 2 в устах Виталика, чем другой». Когда проект получил одобрение и внимание миллионов людей, сформировался социальный консенсус, и неважно, маркетинговый это или технический нарратив, потому что сам результат важнее процесса.
Это правда, что социальный консенсус сам по себе является продолжением демократической политики, и реальный мир подтвердил недостатки демократического управления, но открытый исходный код и прозрачность данных, которые приходят с самим блокчейном, значительно снижают стоимость социального консенсуса, поэтому «правило человека» Web3 существенно отличается от «правления человека» реальных суверенных стран. **
** Если мы посмотрим на сам блокчейн как на техническое средство для улучшения вопроса информационной прозрачности в демократическом управлении, а не просто как на бесконечную «реализацию кода без доверия», то все кажется гораздо более оптимистичным и ясным. Только избавившись от высокомерия и предрассудков, зафиксированных технической элитой, и охватив более широкую аудиторию, система Ethereum Layer2 может действительно стать финансовой инфраструктурой мирового класса для массового внедрения.
