Редакционный комментарий: На протяжении всего времени обсуждение трех этапов безопасности Ethereum rollup является важным аспектом для сообщества экосистемы Ethereum. Это касается не только стабильности работы основной сети Ethereum и L2 сетей, но и реального состояния развития L2 сетей. На днях участник сообщества Ethereum Даниэль Ванг на платформе X предложил название для стадии 2 L2 сети #BattleTested, утверждая, что только те L2 сети, чей текущий код и конфигурация находятся в основной сети Ethereum более 6 месяцев и которые постоянно имеют больше 100 миллионов долларов общей заблокированной стоимости (TVL), в которой как минимум 50 миллионов долларов составляют ETH и основные стейблкоины, могут получить это название. Это название будет оцениваться динамически, чтобы избежать появления "онлайн-иллюзий". Сооснователь Ethereum Виталик впоследствии подробно ответил на этот вопрос и поделился своим мнением, которое было переведено в Odaily 星球日报.
3 основных этапа L2 сети: от 0 до 1, затем до 2; безопасность определяется долей управления.
Три этапа безопасности Ethereum rollup можно определить по тому, когда комитет безопасности может перекрыть бездоверенные (то есть чисто криптографические или игровые) компоненты:
Этап 0: Комитет по безопасности имеет полный контроль. Возможно, существует работающая система доказательств (режим Optimism или ZK), но комитет по безопасности может отменить её простым большинством голосов. Следовательно, система доказательств является лишь «консультативной».
Этап 1: Комитет по безопасности должен получить 75% (по крайней мере 6/8) одобрения для того, чтобы изменить работающую систему. Должно быть кворум, чтобы предотвратить подмножество (например, ≥ 3) за пределами основной организации. Таким образом, сложность контроля системы доказательства относительно высока, но не непреодолима.
Этап 2: Комитет по безопасности может действовать только в случае доказанной ошибки. Например, доказанная ошибка может возникнуть, если две избыточные системы доказательства (например, OP и ZK) противоречат друг другу. Если имеется доказанная ошибка, он может выбрать только один из предложенных ответов: он не может произвольно реагировать на какую-либо из механизмов.
Мы можем использовать приведенную ниже диаграмму, чтобы отобразить «голосовые доли», которыми располагает Комитет по безопасности на различных этапах:
Структура голосования в управлении в три этапа
Важный вопрос: когда оптимально переходить L2 сети с этапа 0 на этап 1, а также развиваться с этапа 1 на этап 2?
Единственной веской причиной не переходить сразу ко 2 этапу является то, что вы не можете полностью доверять системе доказательств — это понятное беспокойство: система состоит из большого количества кода, и если в коде есть уязвимости, то злоумышленник может украсть активы всех пользователей. Чем сильнее ваша уверенность в системе доказательств (или наоборот, чем слабее ваша уверенность в комиссии по безопасности), тем больше вы хотите подтолкнуть всю экосистему сети к следующему этапу.
На самом деле, мы можем количественно оценить это с помощью упрощенной математической модели. Во-первых, давайте перечислим предположения:
Каждый член комитета по безопасности имеет 10% вероятность «одиночного сбоя»;
Мы рассматриваем активные сбои (отказ от подписания контракта или недоступность ключа) и сбои безопасности (подписание неправильных вещей или взлом ключа) как равновероятные события. На самом деле, мы предполагаем только одну категорию «неудачи», в которой члены Совета по безопасности «неудачи» как подписали неправильные вещи, так и не смогли подписать продвижение правильных вещей;
На этапе 0 стандарт оценки безопасности составляет 4/7, на этапе 1 — 6/8;
Предположим, что существует единая система доказательств (в отличие от механизма проектирования на 2/3, где комитет безопасности может разрешить конфликт, если мнения обеих сторон противоречат друг другу). Таким образом, на этапе 2 наличие комитета безопасности совершенно не имеет значения.
При этих предположениях, учитывая конкретную вероятность разрушения системы доказательств, мы хотим минимизировать вероятность разрушения сети L2.
Мы можем использовать биномиальное распределение, чтобы выполнить эту работу:
Если каждый член Совета Безопасности имеет 10% вероятность самостоятельного отказа, то вероятность как минимум 4 отказа из 7 составляет ∑i= 47( 7 i)∗ 0,1 i∗ 0,97 −i= 0,002728 Следовательно, интегрированная система фазы 0 имеет фиксированную вероятность отказа 0,2728%.
Интеграция этапа 1 также может потерпеть неудачу, если система доказательства потерпит неудачу и механизм проверки Совета по безопасности потерпит ≥ 3 неудачи, что делает невозможным выполнение сетевых вычислений (вероятность ∑𝑖= 38( 8 𝑖)∗ 0.1 𝑖∗ 0.98 −𝑖= 0.03809179, умноженная на уровень неудачи системы доказательства), или если Совет по безопасности потерпел 6 или более неудач, он может самостоятельно принудительно сгенерировать неправильный расчетный ответ (фиксированная ∑𝑖= 68( 8 𝑖)∗ 0.1 𝑖∗ 0.98 −𝑖= 0.00002341 вероятность);
Вероятность неудачи на этапе 2 совпадает с вероятностью неудачи системы доказательства.
Здесь представлено в виде графика:
Вероятность сбоя системы доказательств на разных этапах сети L2
Как показано в вышеупомянутых результатах, с повышением качества системы доказательств оптимальная стадия перемещается из стадии 0 на стадию 1, а затем со стадии 1 на стадию 2. Использование системы доказательств качества стадии 0 для сетевого функционирования стадии 2 является наихудшим результатом.
Обратите внимание, что предположения в упрощенной модели выше не являются идеальными:
В реальности члены комиссии по безопасности не полностью независимы, (между ними может существовать) «общая модель отказа»: они могут сговариваться или подвергаться одинаковым угрозам или хакерским атакам и так далее. Требование иметь кворум вне основного органа для предотвращения подмножества имеет целью избежать этого, но все еще не идеально.
Доказательная система сама по себе может состоять из нескольких независимых систем, объединённых вместе (я предлагал это в своём предыдущем блоге). В этом случае (i) вероятность краха доказательной системы очень низка, и (ii) даже на этапе 2, безопасность комитета также важна, поскольку она является ключом к разрешению споров.
Обе эти точки зрения указывают на то, что этап 1 и этап 2 более привлекательны по сравнению с тем, что показано на графике.
Если вы верите в математику, то существование этапа 1 почти никогда не будет доказано разумным: вам следует сразу перейти к этапу 1. Основное возражение, которое я слышал, заключается в том, что если произойдет критическая ошибка, может быть трудно быстро получить подписи 6 из 8 членов совета безопасности, чтобы ее исправить. Но есть простое решение: предоставить любому члену совета безопасности право откладывать вывод средств на 1-2 недели, чтобы дать другим достаточно времени для принятия (компенсационных) мер.
В то же время, однако, слишком ранний переход к этапу 2 также является ошибочным, особенно если работа по переходу к этапу 2 осуществляется за счет укрепления работы основной системы доказательств. В идеале такие поставщики данных, как L2Beat, должны демонстрировать аудит системы доказательств и показатели зрелости (желательно показатели реализации системы доказательств, а не всей сводки, чтобы мы могли их повторно использовать), сопровождая это демонстрацией этапа.
Содержание носит исключительно справочный характер и не является предложением или офертой. Консультации по инвестициям, налогообложению или юридическим вопросам не предоставляются. Более подробную информацию о рисках см. в разделе «Дисклеймер».
Виталика новая статья: Краткий разговор о математических принципах разумного деления этапа L2
Автор: Виталик Бутерин
Компиляция: Wenser, Odaily 星球日报
Редакционный комментарий: На протяжении всего времени обсуждение трех этапов безопасности Ethereum rollup является важным аспектом для сообщества экосистемы Ethereum. Это касается не только стабильности работы основной сети Ethereum и L2 сетей, но и реального состояния развития L2 сетей. На днях участник сообщества Ethereum Даниэль Ванг на платформе X предложил название для стадии 2 L2 сети #BattleTested, утверждая, что только те L2 сети, чей текущий код и конфигурация находятся в основной сети Ethereum более 6 месяцев и которые постоянно имеют больше 100 миллионов долларов общей заблокированной стоимости (TVL), в которой как минимум 50 миллионов долларов составляют ETH и основные стейблкоины, могут получить это название. Это название будет оцениваться динамически, чтобы избежать появления "онлайн-иллюзий". Сооснователь Ethereum Виталик впоследствии подробно ответил на этот вопрос и поделился своим мнением, которое было переведено в Odaily 星球日报.
3 основных этапа L2 сети: от 0 до 1, затем до 2; безопасность определяется долей управления.
Три этапа безопасности Ethereum rollup можно определить по тому, когда комитет безопасности может перекрыть бездоверенные (то есть чисто криптографические или игровые) компоненты:
Этап 0: Комитет по безопасности имеет полный контроль. Возможно, существует работающая система доказательств (режим Optimism или ZK), но комитет по безопасности может отменить её простым большинством голосов. Следовательно, система доказательств является лишь «консультативной».
Этап 1: Комитет по безопасности должен получить 75% (по крайней мере 6/8) одобрения для того, чтобы изменить работающую систему. Должно быть кворум, чтобы предотвратить подмножество (например, ≥ 3) за пределами основной организации. Таким образом, сложность контроля системы доказательства относительно высока, но не непреодолима.
Этап 2: Комитет по безопасности может действовать только в случае доказанной ошибки. Например, доказанная ошибка может возникнуть, если две избыточные системы доказательства (например, OP и ZK) противоречат друг другу. Если имеется доказанная ошибка, он может выбрать только один из предложенных ответов: он не может произвольно реагировать на какую-либо из механизмов.
Мы можем использовать приведенную ниже диаграмму, чтобы отобразить «голосовые доли», которыми располагает Комитет по безопасности на различных этапах:
Структура голосования в управлении в три этапа
Важный вопрос: когда оптимально переходить L2 сети с этапа 0 на этап 1, а также развиваться с этапа 1 на этап 2?
Единственной веской причиной не переходить сразу ко 2 этапу является то, что вы не можете полностью доверять системе доказательств — это понятное беспокойство: система состоит из большого количества кода, и если в коде есть уязвимости, то злоумышленник может украсть активы всех пользователей. Чем сильнее ваша уверенность в системе доказательств (или наоборот, чем слабее ваша уверенность в комиссии по безопасности), тем больше вы хотите подтолкнуть всю экосистему сети к следующему этапу.
На самом деле, мы можем количественно оценить это с помощью упрощенной математической модели. Во-первых, давайте перечислим предположения:
Каждый член комитета по безопасности имеет 10% вероятность «одиночного сбоя»;
Мы рассматриваем активные сбои (отказ от подписания контракта или недоступность ключа) и сбои безопасности (подписание неправильных вещей или взлом ключа) как равновероятные события. На самом деле, мы предполагаем только одну категорию «неудачи», в которой члены Совета по безопасности «неудачи» как подписали неправильные вещи, так и не смогли подписать продвижение правильных вещей;
На этапе 0 стандарт оценки безопасности составляет 4/7, на этапе 1 — 6/8;
Предположим, что существует единая система доказательств (в отличие от механизма проектирования на 2/3, где комитет безопасности может разрешить конфликт, если мнения обеих сторон противоречат друг другу). Таким образом, на этапе 2 наличие комитета безопасности совершенно не имеет значения.
При этих предположениях, учитывая конкретную вероятность разрушения системы доказательств, мы хотим минимизировать вероятность разрушения сети L2.
Мы можем использовать биномиальное распределение, чтобы выполнить эту работу:
Если каждый член Совета Безопасности имеет 10% вероятность самостоятельного отказа, то вероятность как минимум 4 отказа из 7 составляет ∑i= 47( 7 i)∗ 0,1 i∗ 0,97 −i= 0,002728 Следовательно, интегрированная система фазы 0 имеет фиксированную вероятность отказа 0,2728%.
Интеграция этапа 1 также может потерпеть неудачу, если система доказательства потерпит неудачу и механизм проверки Совета по безопасности потерпит ≥ 3 неудачи, что делает невозможным выполнение сетевых вычислений (вероятность ∑𝑖= 38( 8 𝑖)∗ 0.1 𝑖∗ 0.98 −𝑖= 0.03809179, умноженная на уровень неудачи системы доказательства), или если Совет по безопасности потерпел 6 или более неудач, он может самостоятельно принудительно сгенерировать неправильный расчетный ответ (фиксированная ∑𝑖= 68( 8 𝑖)∗ 0.1 𝑖∗ 0.98 −𝑖= 0.00002341 вероятность);
Вероятность неудачи на этапе 2 совпадает с вероятностью неудачи системы доказательства.
Здесь представлено в виде графика:
Вероятность сбоя системы доказательств на разных этапах сети L2
Как показано в вышеупомянутых результатах, с повышением качества системы доказательств оптимальная стадия перемещается из стадии 0 на стадию 1, а затем со стадии 1 на стадию 2. Использование системы доказательств качества стадии 0 для сетевого функционирования стадии 2 является наихудшим результатом.
Обратите внимание, что предположения в упрощенной модели выше не являются идеальными:
В реальности члены комиссии по безопасности не полностью независимы, (между ними может существовать) «общая модель отказа»: они могут сговариваться или подвергаться одинаковым угрозам или хакерским атакам и так далее. Требование иметь кворум вне основного органа для предотвращения подмножества имеет целью избежать этого, но все еще не идеально.
Доказательная система сама по себе может состоять из нескольких независимых систем, объединённых вместе (я предлагал это в своём предыдущем блоге). В этом случае (i) вероятность краха доказательной системы очень низка, и (ii) даже на этапе 2, безопасность комитета также важна, поскольку она является ключом к разрешению споров.
Обе эти точки зрения указывают на то, что этап 1 и этап 2 более привлекательны по сравнению с тем, что показано на графике.
Если вы верите в математику, то существование этапа 1 почти никогда не будет доказано разумным: вам следует сразу перейти к этапу 1. Основное возражение, которое я слышал, заключается в том, что если произойдет критическая ошибка, может быть трудно быстро получить подписи 6 из 8 членов совета безопасности, чтобы ее исправить. Но есть простое решение: предоставить любому члену совета безопасности право откладывать вывод средств на 1-2 недели, чтобы дать другим достаточно времени для принятия (компенсационных) мер.
В то же время, однако, слишком ранний переход к этапу 2 также является ошибочным, особенно если работа по переходу к этапу 2 осуществляется за счет укрепления работы основной системы доказательств. В идеале такие поставщики данных, как L2Beat, должны демонстрировать аудит системы доказательств и показатели зрелости (желательно показатели реализации системы доказательств, а не всей сводки, чтобы мы могли их повторно использовать), сопровождая это демонстрацией этапа.