Cuando se trata del nombre L2BEAT, la mayoría de la gente puede haberlo escuchado, pero realmente no entienden lo que hace. Durante bastante tiempo hasta 2023, la impresión de las personas sobre L2BEAT a menudo era simplemente una 'plataforma de visualización de datos de Capa 2 de Ethereum'. Aparte de la visualización de datos de TVL y la clasificación de soluciones técnicas del circuito L2, la gente parece no saber mucho sobre las funciones de L2beat. Sin embargo, con el gradual aumento de los indicadores de calificación de riesgos de Capa 2 lanzados en junio de este año, L2BEAT, una organización de nicho comparable a la 'agencia de calificación de Capa 2 de Ethereum', ha llegado a ser conocida por cada vez más personas.

Cuando se mencionan las cuatro palabras 'agencia de calificación', hay una analogía extremadamente vívida en el libro 'El mundo es plano': 'Vivimos en un mundo de dos superpotencias, una es Estados Unidos y la otra es una agencia de calificación. Estados Unidos puede usar bombas para destruir un país, y las agencias de calificación pueden usar rebajas de deuda para destruir un país; a veces, la potencia de los dos es imposible de decir quién es más poderoso'.

Desde la crisis financiera asiática de 1997 hasta la crisis de las hipotecas subprime de 2007, las agencias de calificación de Wall Street jugaron un papel significativo, e incluso se convirtieron en impulsores importantes de estos eventos viciosos. Sin embargo, en Web3, un círculo que aparentemente se centra en la "descontaminación" y que en realidad se basa en el "consenso social", las "calificaciones de riesgo" son una parte importante que nunca se puede eludir. Ya sea en la auditoría del código de contrato o en el análisis de cambios en la cadena, su valor no es menor que las pruebas de conocimiento cero y los algoritmos de consenso, o incluso más.

Para el nuevo campo de la cadena de bloques modular, es particularmente importante un conjunto objetivo y completo de indicadores de evaluación de riesgos que puedan distinguir entre diferentes capas. Especialmente ahora que el sistema de Capa 2 ya lleva casi 10 mil millones de dólares en activos, cómo detectar mejor los posibles riesgos de Capa 2 y advertir mejor al público ya es un problema práctico inevitable.

En un blog del foro de 2022, Vitalik mencionó que actualmente casi todos los Rollups no son muy maduros, y la mayoría de ellos utilizan medios auxiliares conocidos como Ruedas de Entrenamiento para garantizar el funcionamiento normal de los Rollups. La "ronda auxiliar" refleja en qué medida el proyecto de Rollup depende de la "intervención manual" y del "consenso social". Cuanto menos dependa de la rueda auxiliar, más "descontaminado" será el L2, menor será el riesgo; y viceversa, mayor será el riesgo.

Por ejemplo, la mayoría de los Rollups optimistas, incluido Optimism, no han lanzado un sistema de prueba de fraude, lo que aumenta considerablemente el nivel de riesgo; también hay bastantes L2 como Immutable X que implementan DA (disponibilidad de datos) bajo la cadena ETH, o carecen de funciones de retiro obligatorio/transacción obligatoria que se pueden invocar en cualquier momento, como Starknet. Para la Capa 2, las condiciones anteriores son necesarias para garantizar que sea "tan seguro como ETH". Por supuesto, además de esto, casi todos los socios del proyecto L2 actualmente se han dejado una "puerta trasera" para sí mismos. Confían en un conjunto de múltiples firmas para gestionar el código del contrato L2 en Ethereum y pueden cambiar el hash de estado en cualquier momento. Esto también es un gran peligro oculto.

Para diferenciar y definir mejor Rollup, Vitalik y otros dividieron Rollup en 3 niveles, a saber, Etapa 0, Etapa 1 y Etapa 2, según cuánto dependa un proyecto Rollup de ruedas auxiliares/intervención manual. L2beat luego revisó este esquema de clasificación solicitando comentarios de la comunidad. Se puede resumir aproximadamente de la siguiente manera:

Etapa 0 - Confiando completamente en ruedas auxiliares, los estándares mínimos que debería cumplir un rollup:

· El proyecto afirma ser Rollup.

Las transacciones procesadas por Rollup deben ser "en cadena" (los datos que involucran el proceso de transición de estado L2 deben ser revelados a L1, y el hash de estado L2 Stateroot también debe ser revelado;)

Se debe configurar un lote de nodos de rollup con permisos abiertos y código fuente abierto para ayudar a los usuarios a conocer el estado de todas las cuentas en Capa 2 (incluido el saldo, el número de transacciones, etc.).

Solo los proyectos de Capa 2 que cumplan todas las condiciones anteriores serán marcados como etapa 0 por L2beat, es decir, cumplen con el estándar mínimo para un rollup; de lo contrario, no serán considerados un rollup (como Arbitrum Nova).

La Etapa 1, que se basa en parte en el rollup en la rueda auxiliar, tiene las siguientes características:

·Se debe lanzar un sistema de certificación de prueba/validez de fraude para garantizar la efectividad de las transiciones de estado de Capa 2;

·Si se trata de un optimistic Rollup, debe haber al menos 5 nodos L2 no oficialmente controlados que puedan emitir pruebas de fraude (la lista blanca del desafiante incluye al menos 5 entidades distintas a las oficiales del Rollup).

Por ejemplo, a partir de noviembre de 2022, los miembros de la lista blanca desafiante de Arbitrum One incluyen 9 entidades: Consensys, Ethereum Foundation, L2BEAT, Mycelium, Offchain Labs, P2P, Quicknode, DLRC y Unit410.

·En cualquier momento, los usuarios pueden evitar el secuenciador Sequencer (Operador) y retirar de forma forzosa activos de L2 a L1 para garantizar que los activos no queden congelados; si el secuenciador lanza ataques de censura y se niega a procesar ciertas transacciones, los usuarios pueden enviar de forma forzosa transacciones a la secuencia de transacciones de L1 Rollup. Aparte de publicar el Stateroot incorrecto, el secuenciador no pudo encontrar otra forma de hacer el mal.

·Rollup puede establecer un comité de seguridad, gestionado por un conjunto de firmas múltiples, y tiene el poder de actualizar forzosamente el contrato Rollup en caso de emergencia, o interferir con el hash de estado L2 registrado en el contrato. Sin embargo, las claves privadas de firma múltiple de la Comisión deben estar suficientemente dispersas, y el umbral debe ser lo suficientemente alto. Vitalik mismo cree que este valor debe ser al menos 6/8, es decir, las firmas múltiples son gestionadas por más de 8 personas, y el umbral efectivo es del 75%.

·La actualización del contrato de rollup, que no fue autorizada por múltiples firmas de la Comisión, está sujeta a un retraso de bloqueo temporal de al menos 7 días. De esta manera, si Rollup es afectado por una propuesta de actualización maliciosa como un ataque de gobernanza (ver incidente de ataque de gobernanza de Tornado Cash), los usuarios pueden disponer de al menos 7 días para retirar fondos de forma segura.

Actualmente, solo Arbitrum One, dYdX y zkSync Lite cumplen con los requisitos de la Etapa 1; todos los demás Rollups principales siguen en la Etapa 0.

Etapa 2 — Deseche por completo la rueda auxiliar y conviértase en un rollup completo:

Los nodos L2 en la red Optimistic Rollup que pueden publicar certificados de fraude deben ser sin permisos y eliminar la configuración de lista blanca (en respuesta a esto, Arbitrum One introdujo recientemente un acuerdo llamado BOLD);

·Todas las actualizaciones de contratos rollup están limitadas por un retraso de bloqueo de tiempo de al menos 30 días, o el contrato no se puede actualizar en absoluto. Esto significa que en caso de una actualización maliciosa de rollup, los usuarios de Capa 2 tienen al menos 30 días para retirar fondos de forma segura.

Para comprender mejor los indicadores de calificación de riesgos enumerados por L2BEAT, podemos seleccionar tres ejemplos de Rollup con diferentes niveles de seguridad para su análisis.

Etapa0-Base, Etapa1-Arbitrum One, Etapa2-Fuel:

Base es uno de los proyectos líderes del Circuito de Optimistic Rollup. Se basa en contratos en L1 para registrar el hash de estado Stateroot de L2, procesar fondos dentro y fuera de L2, y utilizar Ethereum para lograr la disponibilidad de datos (DA), y tiene una relación de puente con L1.

El secuenciador base necesita divulgar los datos de transacción de Capa 2 a Capa 1. Específicamente, cada pocos minutos, el secuenciador inicia una transacción a una dirección especificada en Ethereum, y registra un lote de datos de transacción comprimidos en Calldata de datos adicionales personalizables de la Transacción. Dado que todos los nodos de Capa 2 sincronizarán automáticamente el bloque de Capa 1, pueden monitorear la transacción emitida por el secuenciador, analizar los datos de transacción de Capa 2 en su Calldata, y luego obtener el último estado del secuenciador de Capa 2, calcular el hash de estado correcto, Stateroot, y compararlo con el Stateroot enviado por el clasificador de Capa 1.

Actualmente, Base no tiene un sistema de certificación de fraude en línea, por lo que no hay garantía de que el L2 Stateroot registrado en el contrato L1 sea correcto, pero los usuarios capaces de ejecutar todos los nodos L2 pueden detectar el error de manera oportuna; además, Base no tiene un plan para resistir ataques de censura como retiros forzados. Si el secuenciador se cae durante mucho tiempo o rechaza deliberadamente las solicitudes de los usuarios, los usuarios de L2 no podrán retirar fondos de manera segura a L1, por lo que representa un gran riesgo de seguridad.

Obviamente, este tipo de rollup es inseguro a nivel de diseño de mecanismos, pero los usuarios y miembros de la comunidad de Capa 2 pueden emitir advertencias a través de redes sociales cuando sea necesario para que los reguladores como la Fundación Ethereum e incluso la SEC sean conscientes de la aparición del peligro. Esto es el llamado "consenso social", es decir, a través de un alto grado de transparencia de datos y supervisión voluntaria por parte de los miembros de la comunidad, para restringir la mala conducta de los socios del proyecto de Capa 2 a través de la "fermentación de la opinión pública" y la "intervención manual" y la subsiguiente "responsabilidad legal". Es el nivel más bajo de garantía de seguridad porque no puede detener el mal de antemano, sino solo después de que ocurra la mala conducta.

Sin embargo, en realidad, el "consenso social" también es una condición básica para asegurar blockchain (si alguien intenta bifurcar maliciosamente Ethereum, la comunidad de Ethereum también utilizará el consenso social para determinar qué cadena bifurcada seguir), y dado que los actores maliciosos consideran las consecuencias de que sus acciones sean expuestas, la mayoría de las veces no se atreven a correr riesgos (con la excepción de los intercambios FTX, ZT y Mentougou, etc., por supuesto).

Cuando cambiamos el objeto de inspección a Arbitrum One, podemos ver de inmediato la diferencia entre él y Base. Por ejemplo, ha lanzado un sistema de prueba de fraude utilizable y ha establecido una lista blanca de desafiantes. Incluye nodos ejecutados por 9 entidades diferentes, incluida la Fundación Ethereum y L2beat. Siempre que el secuenciador publique un hash de estado erróneo Stateroot en L1, el nodo retador publicará un certificado de fraude, lo que puede garantizar que el L2 Stateroot registrado en el contrato Rollup sea correcto;

Al mismo tiempo, Arbitrum One tiene un mecanismo de transacción obligatorio para hacer frente a los ataques de censura del secuenciador, que permite a los usuarios llamar a la función de Inclusión Forzada del contrato de Buzón del Secuenciador en L1 para enviar instrucciones de transacción directamente a L1; si el secuenciador no procesa esta transacción/reintegro que requiere 'inclusión obligatoria' en 24 horas, la orden de transacción/reintegro se incluirá directamente en la secuencia de transacciones de Rollup, lo que crea una 'salida segura' para los usuarios de los reintegros forzados de L2.

Debe enfatizarse aquí que en el proyecto de rollup de la Etapa 1, los usuarios pueden forzar retiros a través de la función especificada en el contrato Rollup siempre que conozcan el estado general de la cuenta L2 y construyan una Prueba de Merkle correspondiente a su saldo de cuenta (esta función generalmente se llama Escape Hatch en la cápsula de escape). En cuanto a cómo saber el estado de la cuenta L2, depende de si hay todos los nodos en la red Rollup que abren datos al mundo exterior (casi todos los L2 tienen tales nodos).

Además, el comportamiento de actualización del contrato de Arbitrum One está limitado por varios factores. Por ejemplo, una propuesta de actualización de contrato normal debe pasar primero por una decisión de votación regida por la gobernanza on-chain. Una vez superado el umbral de votación, también está sujeto a un bloqueo de tiempo (hay un retraso de 12 días) antes de que se ejecute automáticamente. Si la propuesta de actualización del contrato contiene lógica de código malicioso, puede ser rechazada por el Comité de Seguridad (ejecutada a través de varias firmas).

Sin embargo, el propio Comité de Seguridad de Arbitrum One puede cruzar el bloqueo temporal. Por ejemplo, siempre y cuando se pase más de una señal el 9/12, la Comisión de Seguridad puede actualizar inmediatamente el código del contrato o cambiar forzosamente el L2 Stateroot registrado en el contrato Rollup.

En cuanto a por qué el Consejo de Seguridad tiene tanto poder, Vitalik explicó una vez:

“Algunos rollups pueden utilizar múltiples funciones de transición de estado independientes, como dos editores de certificados fraudulentos con opiniones diferentes, o múltiples nodos demostradores que envían diferentes pruebas de validez, o el secuenciador intentando bifurcar la cuenta L2 en L1, o la prueba de validez no siendo enviada a la cadena en 7 días, todo lo cual puede causar que el sistema L2 se bloquee por completo. El comité de seguridad puede tomar decisiones en esta situación peligrosa, utilizando la intervención manual para guiar al sistema a adoptar los resultados correctos.”

Por supuesto, Vitalik solo enumeró algunas “situaciones peligrosas” simples. Considerando que el contrato Rollup puede ser hackeado y el secuenciador puede ser hackeado (o inexperto) en cualquier momento, claramente son necesarias contramedidas urgentes.

Según Vitalik, si es un Rollup completo, el contrato se puede actualizar, pero debe tener un retraso de bloqueo de tiempo mayor a 30 días para dar a los usuarios y miembros de la comunidad suficiente tiempo para responder.

Obviamente, dado que el comité de seguridad de Arbitrum puede actualizar contratos inmediatamente después de que se aprueben múltiples firmas, si la nueva versión del código contiene lógica comercial maliciosa, teóricamente puede llevarse los activos de Capa 2 de los usuarios. Por lo tanto, Arbitrum One no cumple con la definición de un rollup perfecto de Vitalik; solo que el nivel de riesgo es relativamente bajo.

Cuando estábamos mirando el “perfect rollup”, solo dos proyectos en L2BEAT cumplían con los criterios: Fuel V1 y DeGate. Entre ellos, Fuel V1 es un optimistic rollup del primer sistema de prueba de fraude online. Su presentación de certificado de fraude es sin permisos, y cualquiera puede ejecutar el nodo y publicar certificados de fraude cuando sea necesario. Al mismo tiempo, el contrato de Fuel V1 está escrito y no puede ser actualizado en absoluto, y la Comisión no puede interferir con el L2 Stateroot registrado en el contrato Rollup, por lo que no existe un riesgo de Comisión de Seguridad.

Fuel V1 ha alcanzado el nivel de riesgo más bajo, pero cada vez que se actualiza e itera, los contratos deben ser redeployed, y se requiere que los usuarios migren manualmente los activos a la nueva versión. En esencia, se ha reestructurado un nuevo proyecto. El resultado es una fragmentación de liquidez, lo que reduce en gran medida la flexibilidad. Debido a diversas razones como el uso de UTXO y la incompatibilidad con EVM en el modelo de programación, y el fundador luego cambió al equipo de Celestia, el desarrollo de Fuel ha estado estancado gradualmente, y la construcción ecológica no ha sido satisfactoria.

En resumen, el costo de buscar seguridad absoluta es la inconveniencia de las actualizaciones e iteraciones. En un momento en el que la tecnología de prueba de fraude y de validez aún no es perfecta, mantener un cierto grado de capacidad de actualización de contratos es probablemente una característica que RollUp debe tener.

Durante bastante tiempo por venir, podemos anticipar la siguiente situación: la mayoría de los rollups no renunciarán al comité de seguridad con múltiples firmas, y el contrato de Capa 2 será "inmediatamente actualizable" durante mucho tiempo (un cierto proyecto de ZK Rollup nunca renunció a múltiples firmas del comité de seguridad, y luego simplemente se volvió hacia un nuevo proyecto). Debido a la dificultad de desarrollar un sistema a prueba de fraude, la mayoría de los rollups optimistas que no son líderes pueden no ser capaces de lanzar pruebas de fraude a corto plazo (probablemente no para finales de 2023), y Arbitrum One estará en una posición líder en el circuito Rollup durante mucho tiempo. Aunque aún no tiene el más alto nivel de seguridad, tiene un sistema de pruebas de fraude relativamente completo, y las múltiples firmas del comité de seguridad están razonablemente dispersas (9/12 firmas múltiples, distribuidas a 12 miembros de la comunidad, incluidos los miembros del proyecto ARB), y también tiene el ecosistema de dApp más grande, con más de 440 aplicaciones. Sin embargo, aún está por ver si Base, que tiene una seguridad deficiente y depende más del marketing, puede continuar el impulso de crecimiento de los últimos meses. Si Base puede superar a Arbitrum One en cuanto al volumen de TVL, podría llevar al colapso de la creencia en la "desconfianza" en sí misma.

Por supuesto, lo más importante es que siempre necesitaremos agencias de calificación de riesgos como L2BEAT. En esta era turbulenta y caótica, un conjunto de indicadores de calificación de riesgos claros y completos siempre será clave para garantizar el desarrollo floreciente del sistema Ethereum y Web3 en su conjunto.

Descargo de responsabilidad：

1. Este artículo ha sido reimpreso de [medio]. Todos los derechos de autor pertenecen al autor original [Faust，geek web3]. Si hay objeciones a esta reimpresión, por favor contacta al equipo de Gate Learn（gatelearn@gate.io）, y ellos lo manejarán rápidamente.
2. Descargo de responsabilidad: Las opiniones expresadas en este artículo son únicamente las del autor y no constituyen ningún consejo de inversión.
3. Las traducciones del artículo a otros idiomas son realizadas por el equipo de Gate Learn. A menos que se mencione, está prohibido copiar, distribuir o plagiar los artículos traducidos.