Автор: Фауст, гік web3
Вступ: Підтекст Blast перед обличчям ортодоксального Layer2, такого як Polygon zkEVM, може бути таким: «Княжі генерали, чи не хотіли б ви мати щось на кшталт?»Оскільки всі недостатньо довіряють, суть **** полягає в тому, щоб покладатися на соціальний консенсус для забезпечення безпеки, тож навіщо перейматися критикою концентрації Blast Layer2 недостатньо висока, «чому це занадто тривожно»?
Слід визнати, що залежність Blast від мультипідпису 3/5 для контролю адрес депозитів була широко розкритикована, але більшість рівнів 2 також покладаються на мультипідпис для управління контрактами, а Optimism навіть використовував лише одну адресу EOA для контролю привілеїв ескалації контрактів. У той час, коли основний рівень 2 майже всі мають ризики безпеки, такі як мультипідпис, критика Blast за недостатньо безпечну ситуацію більше схожа на «зневагу» технічної еліти до золотодобувного проекту.
Але відкинувши дві вищезгадані переваги, значення існування блокчейну більше полягає у вирішенні проблеми інформаційної непрозорості в соціальному консенсусі/демократичному управлінні, а виступаючи за верховенство технології, ми повинні визнати, що сам соціальний консенсус важливіший за технологію, адже саме він є фундаментом, який гарантує ефективну роботу всіх Web3-проєктів. Врешті-решт, технології знаходяться на службі суспільного консенсусу, і проекти, які не можуть бути визнані більшістю людей, незалежно від того, наскільки досконалими є технології, по суті, є лише чудовим додатком.
Текст: Останнім часом новий проект Blast, запущений засновником Blur, став популярним у всій мережі, цей протокол «відсотків за активи» під прапором рівня 2 встановив адресу депозиту в ланцюжку ETH, і після того, як користувачі внесуть кошти на адресу Blast, ці кошти будуть використані для нативного стейкінгу мережі ETH, розміщення їх у MakerDAO для отримання відсотків тощо, а прибуток буде повернуто користувачам.
Спираючись на ауру самого засновника та привабливий геймплей, Blast отримав $20 млн фінансування від інвесторів на чолі з Paradigm, а також залучив участь незліченної кількості роздрібних інвесторів. **Менш ніж через 5 днів після запуску адреси поповнення рахунку Blast залучили понад 400 мільйонів доларів США в TVL. Не буде перебільшенням сказати, що BLast – це як сильні ліки на довгому ведмежому ринку, яке миттєво викликало у людей шаленство.
Однак, незважаючи на те, що Blast досяг поетапного успіху, він також викликав сумніви багатьох експертів. Наприклад, інженери L2BEAT і Polygon заявили, що поточний Blast - це всього лише депозитний контракт, розгорнутий на Ethereum, і цей контракт можна модернізувати під контролем мультипідпису 3/5, іншими словами, логіка коду контракту може бути переписана, а Rug все ще може бути Rug. При цьому Blast лише претендує на реалізацію rollup-структури, але зараз це просто порожня оболонка, і навіть функція виведення буде запущена не раніше лютого наступного року.
І Blast також нестерпно демонструвати слабкість, ** Переважна більшість Rollups покладаються на набір контрактів на управління мультипідписом, що стоять за ними, щоб оновити свої дозволи, а інші Layer2 звинувачують, що «Вибух з мультипідписом» — це лише 50 кроків і 100 кроків. **
Мультипідпис Layer2 є давньою проблемою
Насправді, мультипідпис контрактів рівня 2 є давньою проблемою. Ще в липні цього року L2BEAT провела спеціальне розслідування щодо можливості оновлення контракту Rollup, і так званий «upgradeable» полягає в тому, щоб змінити логічну адресу контракту, на яку вказує проксі-контракт, щоб досягти ефекту зміни логіки контракту. **Якщо новий контракт містить шкідливу логіку, рівень 2 може вкрасти активи користувача.
(图源:WTF Academy)
Згідно з даними L2BEAT, в даний час основні роллапи, такі як Arbitrum, Optimism, Loopring, ZKSync Lite, ZkSync Era, Starknet і Polygon ZKEVM, прийняли авторизовані контракти з мультипідписом, що оновлюються, які можна оновити негайно, обійшовши ліміт блокування часу. **
Дивно, але раніше Optimism використовував лише адресу EOA для керування оновленням контракту, і навіть мультипідпис був доданий лише в жовтні цього року. Що стосується **Polygon zkEVM, який атакував Blast, він також може здійснити «екстрене захоплення» контракту Rollup під авторизацією мультипідпису 6/8 і змінити рівень 2 з управління контрактом на «голе людське управління». Цікаво, що про це також згадав інженер Polygon, який розкритикував Blast вище, але в розпливчастій формі.
Отже, яке значення має існування цього «аварійного режиму»?**Чому більшість роллапів повинні залишати собі тривожну кнопку або бекдор?**Згідно з попередньою заявою Віталіка, Rollups повинні часто оновлювати контракти, розгорнуті на ETH під час процесу ітерації, і важко ефективно виконувати ітерації без впровадження засобів, що оновлюються, таких як проксі-контракти.
Крім того, смарт-контракти, які містять велику кількість активів, можуть мати помилки, які нелегко виявити, і неминуче, що команда розробників рівня 2 буде недбалою, і якщо деякі вразливості будуть використані хакерами, це може призвести до крадіжки великої кількості активів. Тому, незалежно від того, чи це рівень 2, чи протокол DeFi, часто встановлюється тривожна кнопка, і «члени комітету» втручаються, коли це необхідно, щоб запобігти якимось порочним подіям. **
Звичайно, комітети рівня 2 часто можуть обійти обмеження таймлока і відразу оновити код контракту, але з певної точки зору вони здаються більш табуйованими, ніж хакери та інші зовнішні фактори. Іншими словами, у будь-якому випадку смарт-контракту, який розміщує величезну кількість активів, важко бути звільненим від певного ступеня «припущення про довіру», тобто припущення, що контролер мультипідпису, який стоїть за контрактом, не робить зла. За винятком випадків, коли контракт не підлягає оновленню, і немає помилок, які можуть загрожувати безпеці активів користувача.
Реальність така, що мейнстрімні рівні 2 або дозволяють своїм власним комітетам негайно оновлювати контракти, або вводять коротші обмеження на блокування часу (наприклад, будь-хто, хто хоче оновити контракт dYdX, має затримку щонайменше 48 годин). Якщо буде виявлено, що комітет має намір додати шкідливу логіку крадіжки активів до нової версії коду контракту, у користувача теоретично буде достатньо часу, щоб зреагувати та терміново вивести активи з рівня 1. **
(Блокування часу - це затримка, яка дозволяє виконувати певні операції)
Але суть проблеми полягає в тому, що багато рівнів 2 навіть не мають функції примусового зняття, яка може обійти секвенсор секвенсера, тому чиновник рівня 2 може зробити зло, дозволивши секвенсеру спочатку відхилити запит на виведення коштів кожного, а потім перевести активи користувача на рахунок L2, контрольований офіційним представником рівня 2. Після цього посадова особа оновить Rollup-контракт відповідно до власних потреб, а коли затримка таймблокування закінчиться, всі активи користувача можна буде перевести в ланцюжок ETH.
Звичайно, фактична ситуація може бути гіршою, ніж я сказав, тому що більшість ролапів можуть оновлювати контракти без таймблоків, а це означає, що вони можуть завершити килимки на сотні мільйонів доларів майже миттєво.
По-справжньому недовірливий рівень 2 повинен зробити затримку оновлення контракту більшою, ніж примусову затримку виведення коштів
Насправді, для того, щоб вирішити проблему недовіри/безпеки рівня 2, необхідно зробити наступні речі:
Налаштувавши стійкий до цензури вихід коштів на рівні 1, користувачі можуть безпосередньо переказувати активи з рівня 2 у ланцюжок ETH без дозволу секвенсора. Затримка примусового зняття не повинна бути занадто довгою, щоб забезпечити можливість швидкого виведення активів користувача з L2;
Будь-хто, хто хоче оновити контракт рівня 2, повинен підпадати під обмеження затримки блокування часу, **оновлення контракту має набути чинності пізніше, ніж обов’язкове відкликання. **Наприклад, якщо є затримка щонайменше на 48 годин для оновлення контракту dYdX, то затримка для обов’язкового режиму відкликання/втечі повинна бути скорочена до 48 годин. Таким чином, після того, як користувач виявить, що сторона проекту dYdX хоче обдурити нову версію контракту шкідливим кодом, він може вивести активи з рівня 2 на рівень 1 до того, як контракт буде оновлений. **
Наразі переважна більшість роллапів, які запустили механізм примусового виведення/втечі, не відповідають вищезазначеним умовам. Наприклад, блок примусового зняття/втечі dYdX має максимальну затримку 7 днів, але затримка оновлення контракту комітету dYdX становить лише 48 годин, що означає, що комітет ** може завершити розгортання нових контрактів до того, як примусове зняття користувача набуде чинності, і вкрасти активи до того, як користувач втече. **
З цієї точки зору, за винятком Fuel, ZKSpace і Degate, інші роллапи не можуть гарантувати, що примусове виведення коштів користувача буде оброблено до того, як контракт буде оновлений, і існує високий ступінь довіри.
Багато проєктів, які використовують схему валідації (DA реалізується поза мережею на Ethereum), мають тривалу затримку оновлення контракту (наприклад, 8 днів або більше),** але Validium часто покладається на офчейн-вузли ЦАП для публікації останніх даних, і ЦАП можуть запускати атаки на утримання даних, які роблять примусове зняття коштів недійсним, тому вони не відповідають моделі безпеки, розглянутій вище. **
На цьому етапі здається чітким і лаконічним зробити висновок, що жодне з рішень рівня 2, за винятком Fuel, ZKSpace і DeGate, не викликає довіри. Користувачі або довіряють проекту рівня 2 або створеному ним комітету з безпеки, щоб вони не чинили зла, або довіряють вузлам ЦАП поза ланцюжком, щоб вони не вступали в змову, або довіряють секвенсеру, щоб він не перевіряв вашу транзакцію (відхилити ваш запит). Існує лише 3 рівні 2, які дійсно відповідають вимогам безпеки, стійкості до цензури та недовіри.
Безпека досягається не тільки технологіями, але й має забезпечувати соціальний консенсус
Насправді, тема, про яку ми сьогодні говоримо, не нова, і суть Layer 2, зазначеного в цій статті, залежить від довіри до сторони проекту, на яку вже давно вказує незліченна кількість людей. Наприклад, засновники Avalanche і Solana накинулися на це, але проблема полягає в тому, що ці припущення про довіру, які існують на рівні 2, також існують на рівні 1 і навіть у всіх блокчейн-проектах. **
Наприклад, нам потрібно припустити, що вузли-валідатори, на які припадає 2/3 ваги стейкінгу в мережі Solana, не вступають у змову, і нам потрібно припустити, що два верхні майнінг-пули, на які припадає більша частина хеш-потужності Bitcoin, не об’єднають зусилля, щоб запустити атаку 51% для відкату найдовшого ланцюга. Хоча ці припущення важко порушити, «важко» не означає «ні».
Як тільки традиційний публічний ланцюг рівня 1 має злу поведінку, яка завдає шкоди великій кількості активів користувачів, він часто відмовляється від проблемного ланцюга та розгалужує новий ланцюг через соціальний консенсус (див. інцидент із DAO 2016 року, який призвів до форку Ethereum на ETH та ETC). Якщо хтось намагається зробити шкідливий форк, кожен також повинен вибрати, який «надійніший» форк слідувати через соціальний консенсус. (Наприклад, більшість людей не стежать за проектом ETHW)
Соціальний консенсус є першопричиною забезпечення впорядкованої роботи блокчейн-проєктів і навіть протоколів DeFi, які вони несуть, і навіть механізми виправлення помилок, такі як аудит коду контракту та розкриття членами спільноти проблем у проєкті, також є частиною соціального консенсусу. Однак децентралізація, яка досягається виключно технологіями, часто відіграє не найбільшу роль, а часто залишається на теоретичному рівні.
Те, що дійсно відіграє роль у критичний момент, часто є соціальним консенсусом, який не має нічого спільного з технологіями, наглядом за громадською думкою, який не має нічого спільного з науковими роботами, і масовим визнанням, яке не має нічого спільного з технічним наративом. **
Ми можемо уявити собі такий сценарій: публічна мережа військовополонених, про яку чули лише кілька сотень людей, тимчасово перебуває у високо децентралізованому стані, тому що немає домінування однієї компанії. Однак, якщо компанія, що займається майнінговими машинами, раптом інвестує всю свою обчислювальну потужність у ланцюжок POW, обчислювальна потужність сама по собі у багато разів вища, ніж у всіх інших майнерів, і в цей час децентралізація ланцюжка POW миттєво розпадеться. Якщо компанія-виробник гірничодобувних машин має намір чинити зло, люди можуть виправити помилку лише шляхом суспільного консенсусу. **
З іншого боку, так званий рівень 2, незалежно від того, наскільки складною є його конструкція механізму, не може уникнути зв’язку соціального консенсусу, навіть L2, такі як Fuel, DeGate і ZKSpace, які чиновникам практично неможливо зробити зло, ** Layer1-Ethereum, на який вони покладаються, сильно залежить від соціального консенсусу/нагляду громади-громадської думки. **
БІЛЬШЕ ТОГО, МИ ВВАЖАЄМО, ЩО КОНТРАКТ НЕ ПІДЛЯГАЄ АПГРЕЙДИНГУ, ТОМУ ЩО МИ ПРИСЛУХАЛИСЯ ДО ЗАЯВ КОНТРАКТНИХ АУДИТОРІВ ТА L2BEAT, АЛЕ ЦІ УСТАНОВИ МОЖУТЬ БУТИ НЕДБАЛИМИ АБО БРЕХАТИ. Хоча ця ймовірність вкрай низька, ми повинні визнати, що ** все ж вводить в неї припущення про невелику довіру. **
Однак природа самого блокчейну з відкритим вихідним кодом дозволяє будь-кому, включаючи хакерів, перевірити, чи містить контракт шкідливу логіку, що фактично мінімізує припущення про довіру, що значно знижує вартість соціального консенсусу. Якщо знизити цю вартість досить низько, можна вважати, що це «недовіра».
Звичайно, крім трьох, згаданих вище, інший Layer2 взагалі не має так званої довіри, і те, що дійсно гарантує безпеку в критичні моменти, це все-таки соціальний консенсус, а технічна складова часто просто зручна людям для здійснення соціального консенсусного нагляду. Якщо проект технічно кращий, але не є широко визнаним і не здатний залучити велику спільноту, то його децентралізоване управління та соціальний консенсус самі по собі не будуть ефективними для ефективної реалізації.
Технології важливі, але найчастіше здатність бути широко визнаним і здатність розвивати сильну культуру спільноти є більш важливим, цінним і більш сприятливим фактором для розвитку проекту, ніж технології. **
З таким же успіхом ми могли б взяти zkRollup як приклад, в даний час багато zkRollups реалізують лише систему перевірки валідності та дані DA в ланцюжку, що може довести, що всі транзакції користувача та перекази, які вони обробляють, є дійсними, а не підробленими секвенсором, і немає ніякого зла в питанні «переходу стану», але є не лише один сценарій, в якому чиновник або секвенсер Layer2 є злом.
Ми можемо приблизно припустити, що система доказів ZK по суті лише значно знижує витрати на нагляд людей за рівнем 2, але є багато речей, які не можуть бути вирішені самою технологією, і повинні покладатися на втручання людського управління або соціального консенсусу.
Якщо посадова особа L2 не створить стійких до цензури виходів, таких як примусове зняття коштів, або якщо чиновник спробує оновити контракт і змішати його з логікою, що активи користувачів можуть бути вкрадені, членам спільноти доведеться покладатися на соціальний консенсус і бродіння громадської думки, щоб виправити свої помилки. На даний момент здається, що перевага технологій вже не є найважливішою, не стільки те, чи важлива технологія для безпеки, скільки сама конструкція механізму, яка зручна людям для здійснення соціального консенсусу, що насправді є справжнім сенсом Layer2 і навіть блокчейну. **
З Blast, який контролюється виключно соціальним консенсусом, ми повинні більш безпосередньо дивитися на взаємозв’язок між соціальним консенсусом і технічною реалізацією, а не судити про переваги проекту на основі того, «який L2 ближче до рівня 2 в устах віталіка, ніж інший». Коли проєкт отримує схвалення та увагу мільйонів людей, формується соціальний консенсус, і не важливо, маркетинговий це чи технічний наратив, адже сам результат важливіший за процес.
Це правда, що соціальний консенсус сам по собі є продовженням демократичної політики, і реальний світ підтвердив недоліки демократичного управління, але відкритий вихідний код і прозорість даних, які приходять із самим блокчейном, значно знижують вартість соціального консенсусу, тому «правління людини» Web3 суттєво відрізняється від «правління людини» реальних суверенних країн. **
** Якщо ми подивимося на блокчейн як на технічний засіб для поліпшення питання інформаційної прозорості в демократичному управлінні, а не просто як на нескінченне «впровадження коду без довіри», все здається набагато більш оптимістичним і зрозумілим. Тільки позбувшись зарозумілості та упереджень, закріплених технічною елітою, і охопивши ширшу аудиторію, система Ethereum Layer2 може по-справжньому стати фінансовою інфраструктурою світового класу для масового впровадження.
