Tác giả gốc: Faust

Nguồn chính thức:Web3 đam mê

Giới thiệu: Gần đây, Dankrad Feist, người tạo ra Danksharding và là nhà nghiên cứu tại Ethereum Foundation, đã đưa ra một số nhận xét gây tranh cãi trên Twitter. Ông đã chỉ ra rõ ràng rằng một chuỗi khối mô-đun không sử dụng ETH làm lớp DA (lớp sẵn có của dữ liệu) không phải là Rollup, cũng không phải là Lớp Ethereum 2. Theo Dankrad, Arbitrum Nova và Immutable X, ApeX và Metis đều sẽ bị “xóa” khỏi danh sách Lớp 2 vì họ chỉ tiết lộ dữ liệu giao dịch bên ngoài ETH (họ đã xây dựng mạng DA off-chain của riêng mình có tên là DAC).

Đồng thời, Dankrad cũng cho biết các giải pháp như Plasma và các kênh trạng thái không yêu cầu on-chain Data Availability (Data Availability) để đảm bảo bảo mật vẫn là Layer 2, mà là Validium (ZKRollup không sử dụng ETH làm lớp DA) không phải là Lớp 2.

Ngay khi nhận xét của Dankrad được đưa ra, nhiều nhà sáng lập hoặc nhà nghiên cứu trong lĩnh vực Rollup đã đặt câu hỏi về điều đó. Suy cho cùng, có rất nhiều dự án “Layer 2” không sử dụng ETH làm lớp DA (Data Availability) để tiết kiệm chi phí, nếu những dự án này bị đá ra khỏi danh sách L2 chắc chắn sẽ ảnh hưởng khá nhiều đến việc mở rộng mạng; đồng thời, nếu validium không được coi là L2 thì Plasma cũng không đủ tiêu chuẩn là L2.

Về vấn đề này, Dankrad cho biết khi DA không khả dụng (nghĩa là mạng lớp DA trong chuỗi tham gia giữ lại dữ liệu và không tiết lộ dữ liệu giao dịch), người dùng Plasma vẫn có thể rút tài sản của họ về L1 một cách an toàn; nhưng trong các trường hợp tương tự , Validium (Hầu hết các dự án sử dụng sơ đồ StarkEx đều là validium) nhưng nó có thể ngăn người dùng rút tiền về L1 và đóng băng tiền.

Rõ ràng, Dankrad có ý định xác định xem một dự án mở rộng có phải là Ethereum Lớp 2 hay không từ việc “nó có an toàn hay không”. Từ góc độ bảo mật, Validium thực sự có thể đóng băng tài sản của người dùng trong L2 và không thể đề cập đến L1 trong trường hợp cực đoan xảy ra lỗi trình tự sắp xếp + lớp DA khởi động một cuộc tấn công giữ lại dữ liệu (che giấu dữ liệu mới); Khác với Validium trong thiết kế, mặc dù hầu hết thời điểm bảo mật không tốt bằng Validium nhưng khi trình sắp xếp chuỗi bị lỗi + lớp DA khởi động một cuộc tấn công giữ lại dữ liệu (che giấu dữ liệu mới), nó cho phép người dùng sơ tán tài sản đến L1 một cách an toàn. Vậy lời hùng biện của Dankrad có lý.

Bài viết này dự định bắt đầu từ góc nhìn của Dankrad và phân tích sâu hơn các chi tiết của Lớp 2 để hiểu sâu hơn về lý do tại sao Validium không hoàn toàn là Lớp 2.

Làm cách nào để xác định Lớp 2?

Theo định nghĩa của trang web ethereum.org và hầu hết các thành viên của cộng đồng Ethereum, Lớp 2 là “một blockchain độc lập giúp mở rộng khả năng của Ethereum + kế thừa tính bảo mật của Ethereum”. Trước hết, “mở rộng công suất của Ethereum” đề cập đến việc chuyển hướng lưu lượng mà Ethereum không thể mang theo và chia sẻ áp lực của TPS. Và “kế thừa tính bảo mật của Ethereum” thực sự có thể được dịch là “bảo vệ tính bảo mật của chính nó với sự trợ giúp của Ethereum”.

Ví dụ: tất cả giao dịch Tx trên Lớp 2 phải được hoàn tất trên ETH và Tx có dữ liệu không chính xác sẽ không được phát hành; nếu bạn muốn khôi phục khối Lớp 2, trước tiên bạn phải khôi phục khối Ethereum, miễn là Ethereum Nếu không có quá trình khôi phục khối tương tự như cuộc tấn công 51% vào mạng Fangzhu thì khối L2 sẽ không được khôi phục.

Nếu chúng ta khám phá sâu hơn về tính bảo mật của Lớp 2, thực tế có nhiều trường hợp góc cần xem xét. Ví dụ: nếu bên dự án L2 bỏ chạy, trình sắp xếp chuỗi không thành công và lớp DA ngoài chuỗi bị treo, người dùng có thể rút tiền một cách an toàn từ L2 đến L1 khi những sự kiện cực đoan này xảy ra không?

Cơ chế “rút tiền cưỡng bức” của Lớp 2

Trên thực tế, bất kể các yếu tố như nâng cấp hợp đồng L2/mối nguy hiểm tiềm ẩn đa chữ ký, chẳng hạn như Arbitrum hoặc StarkEx, đều có các lối thoát để người dùng đặt lệnh rút tiền bắt buộc. Giả sử rằng trình sắp xếp chuỗi của L2 khởi động một cuộc tấn công kiểm duyệt, cố tình từ chối yêu cầu rút tiền/giao dịch của người dùng hoặc đơn giản là tắt vĩnh viễn, người dùng Arbitrum có thể gọi chức năng Bao gồm bắt buộc của hợp đồng Hộp thư đến tuần tự trên L1 để gửi trực tiếp dữ liệu giao dịch đến L1 ; Trong vòng 24 giờ, trình sắp xếp thứ tự không xử lý giao dịch/rút tiền yêu cầu bao gồm bắt buộc và giao dịch sẽ được đưa trực tiếp vào chuỗi giao dịch của sổ cái Rollup, điều này tạo ra rút tiền bắt buộc cho người dùng L2. thoát .

Để so sánh, giải pháp StarkEx với cơ chế Escape Hetch cũng không kém. Nếu người dùng L2 không nhận được phản hồi từ trình sắp xếp thứ tự vào cuối thời hạn 7 ngày đối với yêu cầu Rút tiền cưỡng bức do L1 gửi, thì người dùng có thể gọi chức năng Yêu cầu đóng băng để khiến L2 bước vào giai đoạn đóng băng. Tại thời điểm này, trình sắp xếp L2 sẽ không thể cập nhật trạng thái L2 trên L1 và sẽ mất 1 năm để trạng thái L2 không bị đóng băng sau khi bị đóng băng.

Sau khi trạng thái L2 bị đóng băng, người dùng có thể xây dựng Bằng chứng Merkle liên quan đến trạng thái hiện tại để chứng minh rằng anh ta có XX số tiền trên L2 và rút tiền thông qua hợp đồng liên quan đến Escape Hetch trên L1. Đây là dịch vụ rút toàn bộ do chương trình StarkEx cung cấp. Ngay cả khi nhóm dự án L2 không còn nữa và trình sắp xếp chuỗi bị lỗi vĩnh viễn, người dùng vẫn có cách rút tiền từ L2.

Nhưng có một vấn đề ở đây: hầu hết L2 sử dụng lược đồ StarkEx là Validium (chẳng hạn như Immutable X và ApeX) và sẽ không xuất bản dữ liệu mà DA yêu cầu lên ETH và thông tin để xây dựng cây trạng thái L2 hiện tại sẽ được lưu trữ ngoài chuỗi. Nếu người dùng không thể lấy được dữ liệu để xây dựng chuỗi ngoài Merkle Proof (ví dụ: lớp DA ngoài chuỗi khởi động một cuộc tấn công giữ lại dữ liệu), thì không thể rút tiền thông qua nhóm thoát.

Cho đến nay, lý do Dankrad đề cập ở đầu bài viết rằng Validium không an toàn thực ra rất rõ ràng: vì Validium không gửi dữ liệu DA tới chuỗi như Rollup nên người dùng có thể không xây dựng được Merkle cần thiết cho việc bắt buộc. rút tiền. Bằng chứng.

Sự khác biệt giữa Validium và Plasma trong trường hợp bị tấn công giữ lại dữ liệu

Trên thực tế, trình sắp xếp trình tự của Validium chỉ xuất bản Stateroot mới nhất của L2 (gốc của cây trạng thái) trên chuỗi L1, sau đó gửi Bằng chứng xác thực (Bằng chứng ZK) để chứng minh các chuyển đổi trạng thái (thay đổi về tiền của người dùng) liên quan đến cái mới Quá trình tạo Stateroot. , đều đúng.

(Nguồn: eckoDAO)

Tuy nhiên, riêng stateroot không thể khôi phục trạng thái trạng thái thế giới của cây trạng thái tại thời điểm này và không thể biết trạng thái cụ thể của từng tài khoản L2 (bao gồm cả số dư quỹ) và người dùng L2 không thể xây dựng Bằng chứng Merkle tương ứng với Stateroot hợp pháp hiện tại. Đây là lúc Validium gặp bất lợi.

(Merkle Proof thực chất là dữ liệu cần có trong quá trình tạo root, là phần tối trong hình. Để xây dựng Merkle Proof tương ứng với Stateroot, bạn phải biết cấu trúc của cây trạng thái và cần có dữ liệu DA)

Ở đây chúng ta phải nhấn mạnh đến vấn đề DAC. Dữ liệu liên quan đến DA của Validium, chẳng hạn như lô giao dịch mới nhất được xử lý bởi trình sắp xếp chuỗi, sẽ được đồng bộ hóa với mạng DA độc quyền L2 được gọi là Ủy ban sẵn có dữ liệu (DAC). Và các thành viên cộng đồng hoặc các đơn vị khác chịu trách nhiệm vận hành và giám sát ( nhưng đây chỉ là bề nổi, trên thực tế, thế giới bên ngoài khó có thể xác minh được các thành viên DAC là ai).

Điều thú vị là các thành viên DAC của Validium cần thường xuyên gửi nhiều chữ ký trong L1 để chứng minh rằng Stateroot và Bằng chứng xác thực mới được trình sắp xếp chuỗi L2 trong L1 gửi có thể khớp với dữ liệu DA được đồng bộ hóa bởi DAC. Sau khi gửi DAC đa chữ ký, Stateroot và Bằng chứng Hiệu lực mới sẽ được coi là hợp pháp.

Hiện tại, DAC của Immutable X sử dụng multi-sig 5/7. Mặc dù dYdX là ZKRollup nhưng nó cũng có DAC, sử dụng 1/2 multi-sig. (dYdX chỉ công bố State diff trong L1, tức là thay đổi trạng thái, không phải dữ liệu giao dịch hoàn chỉnh. Tuy nhiên, sau khi có được State diff trong bản ghi lịch sử, số dư tài sản của tất cả các địa chỉ L2 có thể được khôi phục. Tại thời điểm này, Merkle Proof có thể được xây dựng để rút toàn bộ).

Dankrad có lý. Nếu các thành viên DAC của Validium âm mưu thực hiện một cuộc tấn công giữ lại dữ liệu, ngăn chặn các nút L2 khác đồng bộ hóa dữ liệu mới nhất vào lúc này và cập nhật Stateroot hợp pháp của L2 vào lúc này, thì người dùng không thể xây dựng Bằng chứng Merkle tương ứng với hợp pháp root ngay lúc đó để rút tiền (vì dữ liệu DA không có nên có dữ liệu DA trước đó).

Nhưng Dankrad chỉ xem xét các thái cực về mặt lý thuyết, trong thực tế, hầu hết các trình sắp xếp của Validium sẽ phát dữ liệu giao dịch mới được xử lý đến các nút L2 khác trong thời gian thực, bao gồm nhiều nút trung thực. Chỉ cần có một nút trung thực có thể lấy được dữ liệu DA kịp thời, người dùng có thể thoát khỏi L2.

Về mặt lý thuyết, vấn đề tồn tại ở Validium, nhưng tại sao nó lại không tồn tại trong Plasma? Điều này là do cách Plasma xác định Stateroot hợp pháp khác với Validium, có thời hạn chống gian lận. Plasma là giải pháp mở rộng L2 trước OPRollup. Giống như OPR, nó dựa vào bằng chứng gian lận để đảm bảo tính bảo mật của L2.

Plasma, giống như OPR, có cài đặt thời gian cửa sổ. Stateroot mới do trình sắp xếp chuỗi phát hành sẽ không được đánh giá là hợp pháp ngay lập tức. Nó phải đợi cho đến khi thời gian cửa sổ đóng lại và không có nút L2 nào cấp chứng chỉ gian lận. Do đó, các Stateroots hợp pháp hiện tại của Plasma và OPR đều đã được đệ trình cách đây vài ngày (điều này giống như ánh sáng sao mà chúng ta thấy, thực tế đã được ban hành từ lâu) và người dùng thường có thể lấy dữ liệu DA trong quá khứ.

Đồng thời, điều kiện tiên quyết để cơ chế chống gian lận có hiệu lực vào thời điểm này là L2 DA hiện có sẵn, tức là nút Verifier của Plasma có thể lấy được dữ liệu liên quan đến DA vào lúc này, do đó rằng bằng chứng gian lận tại thời điểm đó có thể được tạo ra (nếu cần thiết).

Vậy thì mọi thứ thật đơn giản: điều kiện tiên quyết để Plasma hoạt động bình thường là dữ liệu DA của L2 hiện có sẵn. Nếu từ bây giờ DA của L2 không còn khả dụng, người dùng có thể rút tiền an toàn không?

Vấn đề này không khó phân tích, giả sử thời gian window của Plasma là 7 ngày, nếu bắt đầu từ một thời điểm nhất định T 0 thì dữ liệu DA mới sẽ không có (DAC phát động tấn công giữ lại dữ liệu để ngăn chặn các nút L2 trung thực từ việc thu được T 0 sau đó Dữ liệu). Bởi vì Stateroot hợp pháp tại T 0 và trong một khoảng thời gian sau đó đã được gửi trước T 0 và dữ liệu lịch sử trước T 0 có thể được truy ngược lại, người dùng có thể xây dựng Bằng chứng Merkle để buộc rút tiền.

Ngay cả khi nhiều người không thể phát hiện sự bất thường ngay lập tức, vì có khoảng thời gian cửa sổ (OP là 7 ngày), miễn là Stateroot được gửi tại T 0 chưa được hợp pháp hóa và dữ liệu DA trước T 0 có thể theo dõi được, người dùng có thể rút tiền một cách an toàn. tiền của họ ra khỏi L2.

Tóm tắt

Đến đây chúng ta có thể hiểu đại khái sự khác biệt giữa Validium và Plasma về mặt bảo mật:

Sau khi trình sắp xếp của Validium phát hành Stateroot, miễn là nó ngay lập tức phát hành Validity Proof và DAC multi-signature, nó có thể biến nó thành hợp pháp và trở thành Stateroot hợp pháp mới nhất; nếu người dùng và các nút L2 trung thực gặp phải các cuộc tấn công che giấu dữ liệu, họ không thể xây dựng Merkle tương ứng với Stateroot hợp pháp hiện hành. Bằng chứng là bạn không thể rút tiền về L1.

Tuy nhiên, sau khi Plasma gửi Stateroot mới, nó không thể hợp pháp cho đến khi kết thúc giai đoạn window.Tại thời điểm này, Stateroot hợp pháp đã được gửi trước đây. Vì có một khoảng thời gian (ARB là 3 ngày, OP là 7 ngày), ngay cả khi không có dữ liệu DA của Stateroot mới gửi, người dùng vẫn có dữ liệu DA của Stateroot hợp pháp hiện tại (gốc hợp pháp đã được gửi trong quá khứ) và có đủ thời gian để buộc Rút về L1.

Vì vậy, những gì Dankrad nói có lý. Khi một cuộc tấn công giữ lại dữ liệu xảy ra, Validium có thể bẫy tài sản của người dùng trong L2, nhưng Plasma không gặp phải vấn đề này.

(Những gì Dankrad nói trong hình bên dưới hơi sai. Plasma không nên cho phép xây dựng Stateroot hợp pháp đã lỗi thời tương ứng với bằng chứng Merkle để rút tiền, vì điều này sẽ dẫn đến việc phải thanh toán gấp đôi)

Do đó, các cuộc tấn công giữ lại dữ liệu trên lớp DA ngoài chuỗi có thể gây ra nhiều rủi ro bảo mật, nhưng đây chính xác là vấn đề mà Celestia đang cố gắng giải quyết. Ngoài ra, vì hầu hết các dự án Lớp 2 đều cung cấp các cổng dịch vụ giúp giữ cho các nút L2 và trình sắp xếp chuỗi ngoài chuỗi đồng bộ hóa, nên mối quan tâm của Dankrad thường mang tính lý thuyết hơn là thực tế.

Nếu chúng ta sử dụng thái độ soi mói và đưa ra một giả định cực đoan hơn: tất cả các nút ngoài chuỗi Plasma đều không khả dụng, thì người dùng thông thường chưa chạy qua nút L2 không thể buộc rút tiền về L1. Nhưng xác suất để điều đó xảy ra tương đương với xác suất tất cả các nút của chuỗi công khai sẽ ngừng hoạt động vĩnh viễn và điều đó có thể không bao giờ xảy ra.

Vì vậy, nhiều khi mọi người chỉ nói về những điều chưa từng xảy ra. Đúng như câu nói vàng son mà phó chủ tịch Rick Gerb đã nói với nhân vật chính trong bộ phim truyền hình Mỹ “Chernobyl”: “Tại sao phải lo lắng về những điều sẽ không bao giờ xảy ra?”