У всіх Optimistic Rollup є ключове припущення: подані пропозиції стану вважаються дійсними, поки не буде доведено, що вони помилкові. Однак це припущення справедливе лише тоді, коли Rollup має потужний механізм доказу шахрайства. Ланцюги, які не мають цього механізму, стають небезпечними, як тільки недійсний стан не оскаржується або якщо процес розрахунку блокується через злочинні виклики.
Тягар доказів шахрайства
Щоб підтвердити зазначене припущення, L2 Optimistic має підтримувати механізм доказу шахрайства (також відомий як протокол вирішення суперечок), який дозволяє валідаторам (викликачам) оскаржувати можливо помилкові пропозиції стану, подані сортувальником (пропонентом). Цей механізм має забезпечити дві ключові характеристики:
Усі помилкові пропозиції статусу можна виявити,
Неправильний виклик ніколи не буде успішним.
З технічної точки зору цей механізм містить два основні компоненти:
Підпротокол виклику: обробка спірних пропозицій щодо окремого стану.
Механізм турніру: коли в одному й тому ж блоці з'являється кілька конкурентних пропозицій, використовується для відбору єдиної правильної пропозиції.
Кожна пропозиція стану є заявою про результати виконання набору транзакцій і, як правило, складається з трьох частин:
Початковий стан: Останній підтверджений стан L2 на Ethereum;
Торгове навантаження: серія L2 транзакцій, які відбулися з того часу;
Кінцевий стан: Пропонент стверджує, що результати, отримані після виконання цих угод.
Отже, повна пропозиція по суті говорить про те,
"Припустимо, що початковий стан - це A, виконуючи наступний список транзакцій (payload), я вважаю, що кінцевий стан повинен бути X."
Ми можемо візуалізувати цю структуру у вигляді нижче наведеної схеми:
У цьому випадку роль субпротоколу викликів полягає в тому, щоб перевірити, чи є це твердження правильним. Якщо воно неправильне, виклик повинен бути успішним, і ця пропозиція повинна бути відхилена.
Інтерактивне свідчення про збої (Гра з двочастинним викликом)
У більшості сучасних основних систем Optimistic Rollup використовується інтерактивний протокол: суперник і пропонент ведуть обмін ударами.
Якщо виникає суперечка, обидві сторони будуть проводити бінарний розподіл проміжних результатів обчислення (кожен крок виконання, заявлений пропонентом), поступово звужуючи діапазон, в якому могла відбутися помилка. Цей процес буде продовжуватися рекурсивно, поки обидві сторони не визначать окремий крок обчислення, в якому сталася помилка (наприклад, якщо транзакція була виконана неправильно).
Після визначення конкретної помилки цей крок буде перезапущений в основній мережі Ethereum, щоб перевірити, чи дійсно існує шахрайство.
Висока затримка: Кожна взаємодія вимагає ініціювання транзакції на ланцюгу Ethereum. Повний процес вирішення спору може зайняти кілька годин або навіть днів, особливо під час завантаження мережі або за наявності цензури;
Вимоги до пропонентів високі: навіть якщо пропонент чесний, а виклики безпідставні, йому все одно доведеться брати участь у всьому процесі спору, нести значні витрати на обчислення та взаємодію в мережі;
Легко піддається зловмисному використанню: Зловмисні оскаржувачі можуть постійно висувати безпідставні претензії, змушуючи чесних пропозиціонерів повторно витрачати час і витрати на газ для захисту правильного стану.
У реальному житті інтерактивні докази шахрайства є дорогими, в умовах високого навантаження вони вразливі, а також легко можуть бути зловжитими.
MegaETH використовує зовсім інший підхід: він вимагає від викликачів лише згенерувати компактний доказ нульового знання (ZKP), щоб довести, що фінальний стан, заявлений пропонентом, є недійсним.
Конкретно, це ZK-доказ підтверджує, що виконання послідовності транзакцій з початкового стану не призведе до кінцевого стану, про який стверджує пропонент. Цей механізм буде побудований на базі zkVM RISC Zero та запозичить неінтерактивну архітектуру змішаного доказу шахрайства OP Kailua для реалізації.
Цей доказ підтверджується одноразовою транзакцією, поданою до Ethereum, контракт перевірника в мережі підтвердить його дійсність. Подавець доказу не зобов'язаний брати участь у жодній роботі, не може втручатися в увесь процес і також не бере участі в суперечках.
Звичайно, створення такого ZK доказу не є простим завданням — це вимагає повного виконання суперечливого обчислювального процесу в zk віртуальній машині, що, як очікується, споживе близько 100 мільярдів обчислювальних циклів, у найгіршому випадку вартість складе приблизно 100 доларів. Але ця вартість виникає лише у випадку підтвердження шахрайства, і, згідно з дизайном, несуть її недобросовісні сторони. Ця модель значно знижує капітальний тягар для чесних оскаржувачів і повністю усуває ризик злочинних дій на основі двійкового механізму.
ZK використовується для доказу шахрайства, а не для дійсності стану
У криптосфері термін «нульові знання (ZK)» часто спрощено розуміється як синонім ZK Rollup — тобто системи, що використовує ZK-докази для перевірки зміни стану поза ланцюгом, а потім публікує це на ланцюзі. Однак таке розуміння охоплює лише половину потенціалу ZK.
MegaETH використовує нульові знання не для перевірки правильності стану, а для доведення шахрайських дій. Це дозволяє нам зберегти ефективність та масштабованість Optimistic Rollup, одночасно впроваджуючи новий безпечний, неінтерактивний механізм для виявлення та оскарження недійсних переходів стану.
Ми називаємо цей змішаний підхід ZK шахрайським доказом, який приносить іншої довірчої моделі.
Вікно перевірки залишається незмінним, час завершення значно скорочено
З міркувань безпеки та обережності MegaETH все ще залишатиме 7-денний вікно для оскарження типової Optimistic-ланцюга, що означає, що будь-який учасник має цілий тиждень, щоб оскаржити певний корінь стану. Але істинна різниця виникає після того, як оскарження було подано, в інтерактивній моделі, якщо оскарження подається на 7-й день, може знадобитися ще кілька днів для вирішення суперечки. Протягом цього часу фінальність ланцюга в основній мережі Ethereum буде заморожена, прогрес протоколу буде перервано, а активність ланцюга також зазнає впливу.
А при використанні ZK доказів шахрайства, весь процес суперечки буде завершено приблизно за 1 годину. Викликальник генерує ZK доказ, подає його до основної мережі Ethereum, після перевірки він відразу ж набирає чинності, а стан ланцюга швидко отримує остаточність. Це ефективно протистоїть одному ключовому вектору атаки: зловмисні викликальники повторно ініціюють фальшиві суперечки, щоб затримати остаточність ланцюга.
Гарантія доступності даних від EigenDA
Щоб забезпечити цілісність процесу доказу шахрайства, оспорювач повинен мати можливість легко та надійно отримувати доступ до початкових даних блоку, щоб відтворити оспорюваний обчислювальний процес.
Це саме причина, чому ми використовуємо модель ZK шахрайства разом з EigenDA (децентралізований, високопродуктивний рівень доступності даних).
Завдяки цій структурі, весь процес був спрощений до найбільш безпечної та ефективної форми:
Сортувальник публікує блокові дані на EigenDA, одночасно подаючи лише невелику частину зведення даних на Ethereum. Шифрувальні гарантії, надані EigenDA, забезпечують можливість генерувати докази шахрайства в будь-який час, а сортувальник не може "сховати" дані, щоб уникнути перевірки;
Будь-який спостерігач може отримати дані з блоку з EigenDA, відновити повний блок і виконати його в zkVM;
Як тільки буде виявлено шахрайство, цей спостерігач зможе згенерувати стиснений ZK доказ шахрайства, подати його до контракту перевірки на Ethereum; сортувальник буде покараний, а його недійсна пропозиція буде відхилена.
Модель довіри з криптозахистом та можливістю масштабування
MegaETH замінив складні інтерактивні шахрайські ігри на простий неінтерактивний ZK шахрайський доказ. Цей підхід усуває ризик атак на перешкоду, значно скорочує час остаточного підтвердження та забезпечує вирішення суперечок у ефективний, масштабований спосіб.
Завдяки можливості верифікованих обчислень, наданій RiscZero, та підтримці доступу до вихідних даних від @eigen_da, кожна пропозиція стану має:
Відновлюваність, перевірюваність, можливість оскарження будь-ким — незалежно від будь-якого масштабу.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Кінцева битва: як ми використовуємо технологію ZK для захисту безпеки MegaETH
Автор: MegaETH Джерело: @megaeth_labs Переклад: Шан Оба, Золотий фінансовий
У всіх Optimistic Rollup є ключове припущення: подані пропозиції стану вважаються дійсними, поки не буде доведено, що вони помилкові. Однак це припущення справедливе лише тоді, коли Rollup має потужний механізм доказу шахрайства. Ланцюги, які не мають цього механізму, стають небезпечними, як тільки недійсний стан не оскаржується або якщо процес розрахунку блокується через злочинні виклики.
Тягар доказів шахрайства
Щоб підтвердити зазначене припущення, L2 Optimistic має підтримувати механізм доказу шахрайства (також відомий як протокол вирішення суперечок), який дозволяє валідаторам (викликачам) оскаржувати можливо помилкові пропозиції стану, подані сортувальником (пропонентом). Цей механізм має забезпечити дві ключові характеристики:
З технічної точки зору цей механізм містить два основні компоненти:
Кожна пропозиція стану є заявою про результати виконання набору транзакцій і, як правило, складається з трьох частин:
Отже, повна пропозиція по суті говорить про те,
"Припустимо, що початковий стан - це A, виконуючи наступний список транзакцій (payload), я вважаю, що кінцевий стан повинен бути X."
Ми можемо візуалізувати цю структуру у вигляді нижче наведеної схеми:
! 8i2x0qwTXcDdLYX1x0fWm3PjE8BoCmLwC2YXpOqK.png
У цьому випадку роль субпротоколу викликів полягає в тому, щоб перевірити, чи є це твердження правильним. Якщо воно неправильне, виклик повинен бути успішним, і ця пропозиція повинна бути відхилена.
Інтерактивне свідчення про збої (Гра з двочастинним викликом)
У більшості сучасних основних систем Optimistic Rollup використовується інтерактивний протокол: суперник і пропонент ведуть обмін ударами.
Якщо виникає суперечка, обидві сторони будуть проводити бінарний розподіл проміжних результатів обчислення (кожен крок виконання, заявлений пропонентом), поступово звужуючи діапазон, в якому могла відбутися помилка. Цей процес буде продовжуватися рекурсивно, поки обидві сторони не визначать окремий крок обчислення, в якому сталася помилка (наприклад, якщо транзакція була виконана неправильно).
Після визначення конкретної помилки цей крок буде перезапущений в основній мережі Ethereum, щоб перевірити, чи дійсно існує шахрайство.
! 6WF4yCanaXLDVqAMrwqPHcehkLUpcsFo2PueK0tQ.png
Але в цього механізму є кілька проблем:
У реальному житті інтерактивні докази шахрайства є дорогими, в умовах високого навантаження вони вразливі, а також легко можуть бути зловжитими.
Неінтерактивний доказ шахрайства (Модель ZK-виклику)
MegaETH використовує зовсім інший підхід: він вимагає від викликачів лише згенерувати компактний доказ нульового знання (ZKP), щоб довести, що фінальний стан, заявлений пропонентом, є недійсним.
Конкретно, це ZK-доказ підтверджує, що виконання послідовності транзакцій з початкового стану не призведе до кінцевого стану, про який стверджує пропонент. Цей механізм буде побудований на базі zkVM RISC Zero та запозичить неінтерактивну архітектуру змішаного доказу шахрайства OP Kailua для реалізації.
Цей доказ підтверджується одноразовою транзакцією, поданою до Ethereum, контракт перевірника в мережі підтвердить його дійсність. Подавець доказу не зобов'язаний брати участь у жодній роботі, не може втручатися в увесь процес і також не бере участі в суперечках.
! 8O20iC5M2rQK5t0Psa3Hsqon0YB5G8zXCFG2gNVH.png
Звичайно, створення такого ZK доказу не є простим завданням — це вимагає повного виконання суперечливого обчислювального процесу в zk віртуальній машині, що, як очікується, споживе близько 100 мільярдів обчислювальних циклів, у найгіршому випадку вартість складе приблизно 100 доларів. Але ця вартість виникає лише у випадку підтвердження шахрайства, і, згідно з дизайном, несуть її недобросовісні сторони. Ця модель значно знижує капітальний тягар для чесних оскаржувачів і повністю усуває ризик злочинних дій на основі двійкового механізму.
ZK використовується для доказу шахрайства, а не для дійсності стану
У криптосфері термін «нульові знання (ZK)» часто спрощено розуміється як синонім ZK Rollup — тобто системи, що використовує ZK-докази для перевірки зміни стану поза ланцюгом, а потім публікує це на ланцюзі. Однак таке розуміння охоплює лише половину потенціалу ZK.
MegaETH використовує нульові знання не для перевірки правильності стану, а для доведення шахрайських дій. Це дозволяє нам зберегти ефективність та масштабованість Optimistic Rollup, одночасно впроваджуючи новий безпечний, неінтерактивний механізм для виявлення та оскарження недійсних переходів стану.
Ми називаємо цей змішаний підхід ZK шахрайським доказом, який приносить іншої довірчої моделі.
Вікно перевірки залишається незмінним, час завершення значно скорочено
З міркувань безпеки та обережності MegaETH все ще залишатиме 7-денний вікно для оскарження типової Optimistic-ланцюга, що означає, що будь-який учасник має цілий тиждень, щоб оскаржити певний корінь стану. Але істинна різниця виникає після того, як оскарження було подано, в інтерактивній моделі, якщо оскарження подається на 7-й день, може знадобитися ще кілька днів для вирішення суперечки. Протягом цього часу фінальність ланцюга в основній мережі Ethereum буде заморожена, прогрес протоколу буде перервано, а активність ланцюга також зазнає впливу.
А при використанні ZK доказів шахрайства, весь процес суперечки буде завершено приблизно за 1 годину. Викликальник генерує ZK доказ, подає його до основної мережі Ethereum, після перевірки він відразу ж набирає чинності, а стан ланцюга швидко отримує остаточність. Це ефективно протистоїть одному ключовому вектору атаки: зловмисні викликальники повторно ініціюють фальшиві суперечки, щоб затримати остаточність ланцюга.
Гарантія доступності даних від EigenDA
Щоб забезпечити цілісність процесу доказу шахрайства, оспорювач повинен мати можливість легко та надійно отримувати доступ до початкових даних блоку, щоб відтворити оспорюваний обчислювальний процес.
Це саме причина, чому ми використовуємо модель ZK шахрайства разом з EigenDA (децентралізований, високопродуктивний рівень доступності даних).
Завдяки цій структурі, весь процес був спрощений до найбільш безпечної та ефективної форми:
Модель довіри з криптозахистом та можливістю масштабування
MegaETH замінив складні інтерактивні шахрайські ігри на простий неінтерактивний ZK шахрайський доказ. Цей підхід усуває ризик атак на перешкоду, значно скорочує час остаточного підтвердження та забезпечує вирішення суперечок у ефективний, масштабований спосіб.
Завдяки можливості верифікованих обчислень, наданій RiscZero, та підтримці доступу до вихідних даних від @eigen_da, кожна пропозиція стану має:
Відновлюваність, перевірюваність, можливість оскарження будь-ким — незалежно від будь-якого масштабу.