Сочетание человекоуправления и механизма, только на втором этапе L2 может быть более антикрупким.
Автор: Виталик Бутерин
Компиляция: Венсер, Odaily Planet
Примечание редактора: В течение долгого времени обсуждение трех этапов безопасности роллапа Ethereum было в центре внимания экологического сообщества Ethereum, что связано не только с операционной стабильностью основной сети Ethereum и сети L2, но и с реальным развитием сети L2. Недавно Дэниел Ванг, член сообщества Ethereum, предложил назвать #BattleTested для этапа 2 сети L2 на платформе X, утверждая, что только сети L2 с текущим кодом и конфигурацией, которые находятся в сети в основной сети Ethereum более 6 месяцев и поддерживают общую стоимость блокировки (TVL) более $100 млн и не менее $50 млн в ETH и основных стейблкоинах, могут получить этот титул, и титул динамически оценивается, чтобы избежать «призраков в цепочке». 」。 Затем сооснователь Ethereum Виталик дал развернутый ответ на этот вопрос и поделился своим мнением, составленным Odaily Planet Daily ниже.
3 основных этапа L2 сети: от 0 до 1, затем до 2, безопасность определяется долей управления
Три этапа безопасности Ethereum rollup можно определить по тому, когда комитет безопасности может покрыть бездоверенные (то есть чисто криптографические или игровые) компоненты:
Этап 0: Безопасный комитет имеет полный контроль. Возможно, существует работающая система доказательства (модель Optimism или ZK), но безопасный комитет может отменить ее простым большинством голосов. Поэтому система доказательства имеет лишь «консультативный характер».
Этап 1: Комитет по безопасности должен получить одобрение 75% (по крайней мере 6/8), чтобы изменить операционную систему. Должно быть кворум, который препятствует подмножеству (например, ≥ 3), вне основной организации. Таким образом, сложность контроля за системой доказательства относительно высока, но не является непреодолимой.
Этап 2: Комитет по безопасности может действовать только в случае доказанной ошибки. Например, доказанная ошибка может заключаться в противоречии между двумя избыточными системами доказательства (например, OP и ZK). Если имеется доказанная ошибка, он может выбрать только один из предложенных ответов: он не может произвольно реагировать на какую-либо механизми.
Мы можем использовать следующий график для отображения доли голосования, которой располагает Комитет по безопасности на разных этапах:
!
Структура голосования по управлению в трех этапах
Важный вопрос заключается в следующем: каковы оптимальные моменты для перехода L2 сети от этапа 0 к этапу 1, а также от этапа 1 к этапу 2?
Единственная веская причина не переходить немедленно на этап 2 заключается в том, что вы не можете полностью доверять системе доказательств — это понятная озабоченность: эта система состоит из огромного количества кода, и если в коде есть уязвимости, злоумышленник может украсть активы всех пользователей. Чем сильнее ваше доверие к системе доказательств (или, наоборот, чем слабее ваше доверие к безопасному комитету), тем больше вы хотите продвигать экосистему сети к следующему этапу.
На самом деле, мы можем количественно оценить это с помощью упрощенной математической модели. Прежде всего, давайте перечислим предположения:
Каждый член комитета по безопасности имеет 10% вероятность «единичной ошибки»;
Мы рассматриваем активные сбои (отказ подписать контракт или недоступность ключа) и сбои безопасности (подписание неверных документов или взлом ключа) как равновероятные события. На самом деле, мы предполагаем только одну категорию «неудач», в которой члены Совета безопасности неудачно подписали неверные документы и не смогли подписать правильные.
На этапе 0 критерий оценки Совета безопасности составляет 4/7, на этапе 1 — 6/8;
Мы предполагаем, что существует единая система доказательства (в отличие от механизма проектирования 2/3, когда безопасный комитет может разрешить тупик в случае противоречий в мнениях). Таким образом, на этапе 2 существование безопасного комитета совершенно не имеет значения.
При этих предположениях, учитывая специфическую вероятность краха системы доказательств, мы стремимся минимизировать вероятность краха сети L2.
Мы можем использовать биномиальное распределение для выполнения этой работы:
Если у каждого члена Совета безопасности вероятность независимого сбоя составляет 10%, то вероятность того, что как минимум 4 из 7 выйдут из строя, равна ∑𝑖= 47( 7 𝑖)∗ 0.1 𝑖∗ 0.97 −𝑖= 0.002728. Поэтому интегрированная система на этапе 0 имеет фиксированную вероятность сбоя 0.2728%.
Фаза 1 интеграции также может завершиться неудачей, если система аттестации выйдет из строя и механизм проверки комитета безопасности ≥ 3 раза и не удастся выполнить расчет покрытия сети (вероятность ∑i= 38( 8 i)∗ 0,1 i∗ 0,98 −i= 0,03809179 умножить на частоту отказов системы аттестации), или если у комитета безопасности будет 6 и более отказов, Есть возможность заставить себя сгенерировать неверный рассчитанный ответ (фиксированная ∑i= 68( 8 i)∗ 0.1 i∗ 0.98 −i= 0.00002341 вероятность);
Вероятность неудачи на этапе 2 совпадает с вероятностью неудачи системы доказательства.
Здесь представлено в виде графика:
!
Вероятность сбоя системы доказательства на различных этапах сети L2
Как было предположено выше, с повышением качества системы доказательства оптимальная фаза переходит с фазы 0 на фазу 1, а затем с фазы 1 на фазу 2. Использование системы доказательства качества фазы 0 для работы сети на фазе 2 является наихудшим результатом.
Теперь обратите внимание, что предположения в упрощенной модели выше не идеальны:
В реальности члены совета по безопасности не полностью независимы, (между ними может существовать) «общая модель сбоя»: они могут сговариваться или подвергаться одинаковым угрозам или хакерским атакам и так далее. Требование иметь кворум вне основных организаций для предотвращения подмножества направлено на предотвращение этого, но все же не идеально.
Система доказательства сама по себе может состоять из нескольких независимых систем (я уже предлагал это в своем предыдущем блоге). В этом случае (i) вероятность краха системы доказательства очень мала, и (ii) даже на этапе 2 безопасность совета имеет важное значение, так как он является ключом к разрешению споров.
Оба этих аргумента указывают на то, что стадии 1 и 2 более привлекательны по сравнению с тем, что показано на графике.
Если вы верите в математику, то существование этапа 1 почти никогда не будет доказано разумным: вам следует перейти к этапу 1 напрямую. Основное возражение, которое я слышал, состоит в том, что если произойдет ключевая ошибка, может быть трудно быстро получить подпись 6 из 8 членов комиссии по безопасности, чтобы ее исправить. Однако есть простое решение: предоставить любому из членов комиссии по безопасности полномочия на задержку вывода средств на 1-2 недели, чтобы у остальных было достаточно времени для принятия (ремедийных) мер.
В то же время, переход к этапу 2 слишком рано также является ошибкой, особенно если работа по переходу на этап 2 осуществляется за счет усиления основной системы доказательства. В идеале такие поставщики данных, как L2Beat, должны продемонстрировать аудит системы доказательства и показатели ее зрелости (желательно показатели реализации системы доказательства, а не всего агрегата, чтобы мы могли их повторно использовать) и предоставить демонстрацию этапа.
Содержание носит исключительно справочный характер и не является предложением или офертой. Консультации по инвестициям, налогообложению или юридическим вопросам не предоставляются. Более подробную информацию о рисках см. в разделе «Дисклеймер».
Виталик новая работа: краткое обсуждение математических принципов разумного распределения этапов L2
Автор: Виталик Бутерин
Компиляция: Венсер, Odaily Planet
Примечание редактора: В течение долгого времени обсуждение трех этапов безопасности роллапа Ethereum было в центре внимания экологического сообщества Ethereum, что связано не только с операционной стабильностью основной сети Ethereum и сети L2, но и с реальным развитием сети L2. Недавно Дэниел Ванг, член сообщества Ethereum, предложил назвать #BattleTested для этапа 2 сети L2 на платформе X, утверждая, что только сети L2 с текущим кодом и конфигурацией, которые находятся в сети в основной сети Ethereum более 6 месяцев и поддерживают общую стоимость блокировки (TVL) более $100 млн и не менее $50 млн в ETH и основных стейблкоинах, могут получить этот титул, и титул динамически оценивается, чтобы избежать «призраков в цепочке». 」。 Затем сооснователь Ethereum Виталик дал развернутый ответ на этот вопрос и поделился своим мнением, составленным Odaily Planet Daily ниже.
3 основных этапа L2 сети: от 0 до 1, затем до 2, безопасность определяется долей управления
Три этапа безопасности Ethereum rollup можно определить по тому, когда комитет безопасности может покрыть бездоверенные (то есть чисто криптографические или игровые) компоненты:
Мы можем использовать следующий график для отображения доли голосования, которой располагает Комитет по безопасности на разных этапах:
!
Структура голосования по управлению в трех этапах
Важный вопрос заключается в следующем: каковы оптимальные моменты для перехода L2 сети от этапа 0 к этапу 1, а также от этапа 1 к этапу 2?
Единственная веская причина не переходить немедленно на этап 2 заключается в том, что вы не можете полностью доверять системе доказательств — это понятная озабоченность: эта система состоит из огромного количества кода, и если в коде есть уязвимости, злоумышленник может украсть активы всех пользователей. Чем сильнее ваше доверие к системе доказательств (или, наоборот, чем слабее ваше доверие к безопасному комитету), тем больше вы хотите продвигать экосистему сети к следующему этапу.
На самом деле, мы можем количественно оценить это с помощью упрощенной математической модели. Прежде всего, давайте перечислим предположения:
При этих предположениях, учитывая специфическую вероятность краха системы доказательств, мы стремимся минимизировать вероятность краха сети L2.
Мы можем использовать биномиальное распределение для выполнения этой работы:
Здесь представлено в виде графика:
!
Вероятность сбоя системы доказательства на различных этапах сети L2
Как было предположено выше, с повышением качества системы доказательства оптимальная фаза переходит с фазы 0 на фазу 1, а затем с фазы 1 на фазу 2. Использование системы доказательства качества фазы 0 для работы сети на фазе 2 является наихудшим результатом.
Теперь обратите внимание, что предположения в упрощенной модели выше не идеальны:
Оба этих аргумента указывают на то, что стадии 1 и 2 более привлекательны по сравнению с тем, что показано на графике.
Если вы верите в математику, то существование этапа 1 почти никогда не будет доказано разумным: вам следует перейти к этапу 1 напрямую. Основное возражение, которое я слышал, состоит в том, что если произойдет ключевая ошибка, может быть трудно быстро получить подпись 6 из 8 членов комиссии по безопасности, чтобы ее исправить. Однако есть простое решение: предоставить любому из членов комиссии по безопасности полномочия на задержку вывода средств на 1-2 недели, чтобы у остальных было достаточно времени для принятия (ремедийных) мер.
В то же время, переход к этапу 2 слишком рано также является ошибкой, особенно если работа по переходу на этап 2 осуществляется за счет усиления основной системы доказательства. В идеале такие поставщики данных, как L2Beat, должны продемонстрировать аудит системы доказательства и показатели ее зрелости (желательно показатели реализации системы доказательства, а не всего агрегата, чтобы мы могли их повторно использовать) и предоставить демонстрацию этапа.