Примітка редактора: Протягом тривалого часу дискусія про три фази безпеки зведення Ethereum була в центрі уваги екологічної спільноти Ethereum, яка пов'язана не тільки з операційною стабільністю основної мережі Ethereum і мережі L2, але і пов'язана з реальним розвитком мережі L2. Нещодавно Деніел Ванг, член спільноти Ethereum, запропонував #BattleTested найменування для фази 2 етапу мережі L2 на платформі X, стверджуючи, що лише мережі L2 з поточним кодом і конфігурацією, які були онлайн в основній мережі Ethereum більше 6 місяців і зберегли загальну вартість блокування (TVL) понад 100 мільйонів доларів і не менше 50 мільйонів доларів у ETH та основних стабільних монетах, можуть отримати це звання, і назва динамічно оцінюється, щоб уникнути «привидів у мережі». 」。 Співзасновник Ethereum Віталік тоді дав розгорнуту відповідь на це питання і поділився своїми поглядами, складеними Odaily Planet Daily нижче.
3 основні етапи мережі L2: від 0 до 1, а потім до 2, безпека визначається часткою управління.
Три етапи безпеки Ethereum rollup можна визначити в залежності від того, коли комітет безпеки може покрити бездостовірні (тобто чисто криптографічні або ігрові) компоненти:
Етап 0: Безпекова рада має повний контроль. Можливо, існує працююча система доказів (Optimism або ZK режим), але безпекова рада може скасувати її простим механізмом голосування більшості. Таким чином, система доказів є виключно «консультативною».
Етап 1: Комітету з безпеки потрібно 75% (не менше 6/8) схвалення для покриття операційної системи. Повинен бути кворум, щоб заблокувати підмножину (наприклад, ≥ 3) поза основною організацією. Таким чином, контроль за доказом системи є відносно складним, але не непереборним.
Етап 2: Комітет з безпеки може діяти лише у випадках, коли є доказова помилка. Наприклад, доказова помилка може виникнути, коли дві резервні системи доказів (наприклад, OP та ZK) суперечать одна одній. Якщо є доказова помилка, він може вибрати лише одну з запропонованих відповідей: він не може довільно реагувати на певний механізм.
Ми можемо використати наступну діаграму для відображення «голосових часток», якими володіє комітет з безпеки на різних етапах:
Структура голосування за управління трьох етапів
Важливе питання: коли є оптимальний час для переходу L2 мережі з етапу 0 на етап 1, а також з етапу 1 на етап 2?
Єдиною дійсною причиною не переходити до етапу 2 є те, що ви не можете повністю довіряти системі доказів — це зрозуміла тривога: система складається з великої кількості коду, і якщо в коді є вразливості, зловмисники можуть вкрасти активи всіх користувачів. Чим більше ви довіряєте системі доказів (або, навпаки, чим менше ви довіряєте комітету з безпеки), тим більше ви хочете просувати всю екосистему мережі до наступного етапу.
Насправді, ми можемо кількісно оцінити це за допомогою спрощеної математичної моделі. По-перше, давайте перерахуємо припущення:
Кожен член комітету з безпеки має 10% ймовірності "одинокого збою";
Ми розглядаємо активні збої (відмова підписати контракт або недоступність ключа) та збої безпеки (підписання неправильних документів або злам ключа) як рівно можливі події. Насправді, ми припускаємо лише одну категорію «невдач», в якій члени ради безпеки «невдачі» одночасно підписали неправильні документи та не змогли підписати правильні.
На етапі 0 стандарт оцінки безпеки складає 4/7, на етапі 1 - 6/8;
Ми припускаємо, що існує єдина система доказів (на противагу механізму проектування 2/3, де безпековий комітет може розв'язати суперечності в думках). Таким чином, на етапі 2 існування безпекового комітету взагалі не має значення.
З урахуванням цих припущень, враховуючи специфічну ймовірність краху системи доказів, ми прагнемо мінімізувати ймовірність краху мережі L2.
Ми можемо використовувати біномальний розподіл для виконання цієї роботи:
Якщо кожен член Ради Безпеки має 10% ймовірність незалежного збою, тоді ймовірність того, що принаймні 4 з 7 зазнають збою, дорівнює ∑𝑖= 47( 7 𝑖)∗ 0.1 𝑖∗ 0.97 −𝑖= 0.002728 Тому інтегрована система на етапі 0 має фіксовану ймовірність збою 0.2728%.
Інтеграція фази 1 також може дати збій, якщо система атестації вийде з ладу і механізм перевірки комітету безпеки вийде з ладу ≥ 3 рази, а покриття розрахунків мережі не може бути виконано (ймовірність ∑i= 38( 8 i)∗ 0,1 i∗ 0,98 −i= 0,03809179, помножена на частоту відмов системи атестації), або якщо в комітеті безпеки 6 або більше відмов, Можна змусити себе згенерувати невірно обчислювану відповідь (фіксована ймовірність ∑i= 68( 8 i)∗ 0,1 i∗ 0,98 −i= 0,00002341);
Ймовірність невдачі злиття на етапі 2 відповідає ймовірності невдачі системи доказів.
Тут представлено у вигляді графіка:
Ймовірність збоїв системи доказів на різних етапах L2 мережі
Як зазначено у вищезазначеному, у міру покращення якості системи доказів, оптимальна стадія переходить з стадії 0 на стадію 1, а потім зі стадії 1 на стадію 2. Використання системи доказів якості стадії 0 для мережевої роботи на стадії 2 є найгіршим результатом.
Зараз зверніть увагу, що припущення в наведеній спрощеній моделі є недосконалими:
У реальному житті члени комісії з безпеки не є повністю незалежними, (між ними можуть) існувати «спільні моделі збоїв»: вони можуть змовитися, або всі можуть зазнати однакового примусу чи хакерських атак тощо. Вимога мати кворум поза основною організацією для запобігання підмножці має на меті уникнути цього, але все ще не є досконалою.
Система доказів може складатися з кількох незалежних систем (я вже пропонував це в своїх попередніх блогах). У цьому випадку (i) ймовірність краху системи доказів дуже низька, і (ii) навіть на етапі 2 безпечний комітет залишається важливим, оскільки він є ключем до вирішення суперечок.
Ці два аргументи свідчать про те, що етап 1 і етап 2 є більш привабливими порівняно з графіком.
Якщо ви вірите в математику, тоді існування етапу 1 майже ніколи не буде доведено як обґрунтоване: ви повинні перейти безпосередньо до етапу 1. Головне заперечення, яке я чув, полягає в тому, що якщо станеться критична помилка, може бути важко швидко отримати підписи 6 з 8 членів ради безпеки для її виправлення. Але є просте рішення: надати будь-якому члену ради безпеки право затримати виведення коштів на 1–2 тижні, щоб дати іншим достатньо часу для вжиття (виправних) заходів.
Водночас, однак, передчасний перехід до етапу 2 також є помилковим, особливо якщо робота з переходу на етап 2 відбувається за рахунок зміцнення базової системи доказів. В ідеалі, такі постачальники даних, як L2Beat, повинні демонструвати аудити системи доказів і показники зрілості (краще показники реалізації системи доказів, а не загальні показники агрегату, щоб ми могли їх повторно використовувати) та супроводжувати демонстрацію етапу.
Контент має виключно довідковий характер і не є запрошенням до участі або пропозицією. Інвестиційні, податкові чи юридичні консультації не надаються. Перегляньте Відмову від відповідальності , щоб дізнатися більше про ризики.
Математична модель виявляє логіку вибору на етапі L2: чому етап 1 може бути пропущено?
Автор: Віталік Бутерін
Переклад: Wenser, Odaily Зіркова щоденна газета
Примітка редактора: Протягом тривалого часу дискусія про три фази безпеки зведення Ethereum була в центрі уваги екологічної спільноти Ethereum, яка пов'язана не тільки з операційною стабільністю основної мережі Ethereum і мережі L2, але і пов'язана з реальним розвитком мережі L2. Нещодавно Деніел Ванг, член спільноти Ethereum, запропонував #BattleTested найменування для фази 2 етапу мережі L2 на платформі X, стверджуючи, що лише мережі L2 з поточним кодом і конфігурацією, які були онлайн в основній мережі Ethereum більше 6 місяців і зберегли загальну вартість блокування (TVL) понад 100 мільйонів доларів і не менше 50 мільйонів доларів у ETH та основних стабільних монетах, можуть отримати це звання, і назва динамічно оцінюється, щоб уникнути «привидів у мережі». 」。 Співзасновник Ethereum Віталік тоді дав розгорнуту відповідь на це питання і поділився своїми поглядами, складеними Odaily Planet Daily нижче.
3 основні етапи мережі L2: від 0 до 1, а потім до 2, безпека визначається часткою управління.
Три етапи безпеки Ethereum rollup можна визначити в залежності від того, коли комітет безпеки може покрити бездостовірні (тобто чисто криптографічні або ігрові) компоненти:
Ми можемо використати наступну діаграму для відображення «голосових часток», якими володіє комітет з безпеки на різних етапах:
Важливе питання: коли є оптимальний час для переходу L2 мережі з етапу 0 на етап 1, а також з етапу 1 на етап 2?
Єдиною дійсною причиною не переходити до етапу 2 є те, що ви не можете повністю довіряти системі доказів — це зрозуміла тривога: система складається з великої кількості коду, і якщо в коді є вразливості, зловмисники можуть вкрасти активи всіх користувачів. Чим більше ви довіряєте системі доказів (або, навпаки, чим менше ви довіряєте комітету з безпеки), тим більше ви хочете просувати всю екосистему мережі до наступного етапу.
Насправді, ми можемо кількісно оцінити це за допомогою спрощеної математичної моделі. По-перше, давайте перерахуємо припущення:
З урахуванням цих припущень, враховуючи специфічну ймовірність краху системи доказів, ми прагнемо мінімізувати ймовірність краху мережі L2.
Ми можемо використовувати біномальний розподіл для виконання цієї роботи:
Тут представлено у вигляді графіка:
Як зазначено у вищезазначеному, у міру покращення якості системи доказів, оптимальна стадія переходить з стадії 0 на стадію 1, а потім зі стадії 1 на стадію 2. Використання системи доказів якості стадії 0 для мережевої роботи на стадії 2 є найгіршим результатом.
Зараз зверніть увагу, що припущення в наведеній спрощеній моделі є недосконалими:
Ці два аргументи свідчать про те, що етап 1 і етап 2 є більш привабливими порівняно з графіком.
Якщо ви вірите в математику, тоді існування етапу 1 майже ніколи не буде доведено як обґрунтоване: ви повинні перейти безпосередньо до етапу 1. Головне заперечення, яке я чув, полягає в тому, що якщо станеться критична помилка, може бути важко швидко отримати підписи 6 з 8 членів ради безпеки для її виправлення. Але є просте рішення: надати будь-якому члену ради безпеки право затримати виведення коштів на 1–2 тижні, щоб дати іншим достатньо часу для вжиття (виправних) заходів.
Водночас, однак, передчасний перехід до етапу 2 також є помилковим, особливо якщо робота з переходу на етап 2 відбувається за рахунок зміцнення базової системи доказів. В ідеалі, такі постачальники даних, як L2Beat, повинні демонструвати аудити системи доказів і показники зрілості (краще показники реалізації системи доказів, а не загальні показники агрегату, щоб ми могли їх повторно використовувати) та супроводжувати демонстрацію етапу.