Quando se trata do nome L2BEAT, a maioria das pessoas pode tê-lo ouvido, mas não entende realmente o que ele faz. Por um bom tempo até 2023, a impressão das pessoas sobre o L2BEAT era frequentemente apenas uma “plataforma de visualização de dados da Camada 2 do Ethereum”. Além da exibição de dados TVL e classificação de soluções técnicas do circuito L2, as pessoas parecem não saber muito sobre as funções do L2beat. No entanto, com o gradual aumento dos indicadores de classificação de risco da Camada 2 lançados em junho deste ano, o L2BEAT, uma organização de nicho comparável à “agência de classificação de risco da Ethereum L2,” tem se tornado conhecido por cada vez mais pessoas.

Quando as quatro palavras "agência de classificação" são mencionadas, há uma analogia extremamente vívida no livro "O Mundo é Plano": "Vivemos em um mundo de dois superpoderes, um é os Estados Unidos e o outro é uma agência de classificação. Os EUA podem usar bombas para destruir um país, e as agências de classificação podem usar rebaixamentos de dívida para destruir um país; às vezes, o poder dos dois é impossível dizer quem é mais poderoso."

Desde a crise financeira asiática de 1997 até a crise das hipotecas subprime de 2007, as agências de classificação de Wall Street desempenharam um papel significativo e até se tornaram impulsionadoras importantes desses eventos nefastos. No entanto, no Web3, um círculo que ostensivamente se concentra na "descontaminação" e realmente se baseia no "consenso social", as "classificações de risco" são uma parte importante que nunca pode ser contornada. Seja na auditoria de código de contrato ou na análise de mudanças on-chain, seu valor não é menor do que provas de conhecimento zero e algoritmos de consenso, ou até mesmo mais.

Para o novo campo de blockchain modular, um conjunto objetivo e abrangente de indicadores de avaliação de risco que possa distinguir entre diferentes camadas é particularmente importante. Especialmente agora que o sistema L2 já carrega quase 10 bilhões de dólares em ativos, como detectar melhor os riscos potenciais do L2 e melhor alertar o público já é um problema prático inevitável.

Em um blog do fórum de 2022, Vitalik mencionou que atualmente quase todos os Rollups não são muito maduros, e a maioria deles usa meios auxiliares conhecidos como Rodinhas de Treinamento para garantir o funcionamento normal dos Rollups. A “rodinha auxiliar” reflete o grau em que o projeto Rollup depende da “intervenção manual” e do “consenso social”. Quanto menos depender da rodinha auxiliar, mais “descontaminada” será a Camada 2, menor o risco; e vice-versa, maior o risco.

Por exemplo, a maioria dos Rollups otimistas, incluindo o Optimism, ainda não lançou um sistema de prova de fraude, o que aumenta significativamente o nível de risco; também existem muitos L2s, como o Immutable X, que implementam DA (disponibilidade de dados) sob a cadeia ETH, ou que carecem de funções obrigatórias de retirada/transação obrigatória que podem ser invocadas a qualquer momento, como o Starknet. Para a Camada 2, as condições acima são necessárias para garantir que seja “tão seguro quanto o ETH”. Claro, além disso, quase todos os parceiros do projeto L2 atualmente deixaram uma “porta dos fundos” para si mesmos. Eles dependem de um conjunto de assinaturas múltiplas para gerenciar o código do contrato L2 no Ethereum e podem alterar o hash de status a qualquer momento. Isso também é um grande perigo oculto.

Para diferenciar e definir melhor o Rollup, Vitalik e outros dividiram o Rollup em 3 níveis, a saber, Estágio 0, Estágio 1 e Estágio 2, com base em quanto um projeto de Rollup depende de rodas auxiliares/intervenção manual. O L2beat posteriormente revisou esse esquema de classificação solicitando comentários da comunidade. Pode ser resumido aproximadamente da seguinte forma:

Estágio 0 - Dependendo inteiramente de rodas auxiliares, os padrões mínimos que um rollup deve atender:

· O projeto afirma ser Rollup.

·As transações processadas pelo Rollup devem ser “na cadeia” (os dados envolvendo o processo de transição de estado L2 devem ser divulgados para L1 e o hash do estado L2, Stateroot, também deve ser divulgado;)

·Um lote de nós de rollup com permissões abertas e código aberto deve ser configurado para ajudar os usuários a conhecer o status de todas as contas na Camada 2 (incluindo saldo, número de transações, etc.).

Apenas os projetos da Camada 2 que atenderem a todas as condições acima serão marcados como estágio 0 pela L2beat, ou seja, atendem ao padrão mínimo para um rollup; caso contrário, não serão considerados um rollup (como o Arbitrum Nova).

A Fase 1, que depende em parte do rollup na roda auxiliar, tem as seguintes características:

Um sistema de certificação à prova de fraudes/validade deve ser lançado para garantir a eficácia das transições de status da Camada 2;

·Se for um Rollup otimista, deve haver pelo menos 5 nós da Camada 2 não oficiais controlados que possam emitir prova de fraude (a lista de permissões do desafiante inclui pelo menos 5 entidades além das oficiais do Rollup).

Por exemplo, a partir de novembro de 2022, os membros da lista branca desafiante da Arbitrum One incluem 9 entidades: Consensys, Ethereum Foundation, L2BEAT, Mycelium, Offchain Labs, P2P, Quicknode, DLRC e Unit410.

·A qualquer momento, os usuários podem contornar o sequenciador Sequenciador (Operador) e retirar ativos à força do L2 para o L1 para garantir que os ativos não sejam congelados; se o sequenciador lançar ataques de censura e se recusar a processar certas transações, os usuários podem enviar transações à força para a sequência de transações do L1 Rollup. Além de publicar o Stateroot errado, o sequenciador não conseguiu encontrar nenhuma outra maneira de fazer o mal.

·Rollup pode estabelecer um comitê de segurança, gerenciado por um conjunto de múltiplas assinaturas, e tem o poder de atualizar o contrato Rollup de forma forçada em caso de emergência, ou interferir no hash de status L2 registrado no contrato. No entanto, as chaves privadas de múltiplas assinaturas da Comissão devem estar suficientemente dispersas, e o limite deve ser alto o suficiente. Vitalik acredita que esse valor deve ser pelo menos 6/8, ou seja, múltiplas assinaturas são gerenciadas por mais de 8 pessoas, e o limite efetivo é de 75%.

A atualização do contrato rollup, que não foi autorizada por várias assinaturas pela Comissão, está sujeita a um atraso de bloqueio de tempo de pelo menos 7 dias. Dessa forma, se o Rollup for atingido por uma proposta de atualização maliciosa, como um ataque de governança (veja o incidente de ataque de governança do Tornado Cash), os usuários podem ter pelo menos 7 dias para sacar os fundos com segurança.

Atualmente, apenas Arbitrum One, dYdX e zkSync Lite atendem aos requisitos da Fase 1; todos os outros Rollups principais permanecem na Fase 0.

Fase 2 — Abandone completamente a roda auxiliar e torne-se um rollup completo:

·Os nós L2 na Rede de Rollup otimista que podem publicar certificados de fraude devem ser sem permissão e remover as configurações da lista branca (em resposta a isso, o Arbitrum One recentemente introduziu um acordo chamado BOLD);

·Todas as atualizações de contrato rollup são limitadas por um atraso de bloqueio de tempo de pelo menos 30 dias, ou o contrato não pode ser atualizado de forma alguma. Isso significa que, no caso de uma atualização maliciosa do rollup, os usuários da Camada 2 têm pelo menos 30 dias para sacar fundos com segurança.

Para entender melhor os indicadores de classificação de risco listados pela L2BEAT, podemos selecionar três exemplos de Rollup com diferentes níveis de segurança para análise.

Estágio 0-Base, Estágio 1-Arbitrum One, Estágio 2-Fuel:

Base é um dos principais projetos do Circuito de Rollup Otimista. Ele depende de contratos em L1 para registrar o hash de status Stateroot de L2, processar fundos dentro e fora de L2, e usar Ethereum para alcançar a disponibilidade de dados (DA), e tem uma relação de ponte com L1.

O sequenciador de base precisa divulgar os dados da transação da Camada 2 para a Camada 1. Especificamente, a cada poucos minutos, o sequenciador inicia uma transação para um endereço especificado no Ethereum e registra um lote de dados de transação comprimidos na Calldata de dados adicionais personalizáveis da Transação. Como todos os nós da Camada 2 sincronizarão automaticamente o bloco da Camada 1, eles podem monitorar a transação emitida pelo sequenciador, analisar os dados da transação da Camada 2 em sua Calldata e então obter o status mais recente do sequenciador da Camada 2, calcular o hash de status correto, Stateroot, e compará-lo com o Stateroot submetido pelo classificador da Camada 1.

Atualmente, Base não possui um sistema de certificação de fraudes online, então não há garantia de que o Stateroot L2 registrado no contrato L1 esteja correto, mas usuários capazes de executar todos os nós L2 podem detectar o erro de forma oportuna; além disso, Base não tem um plano para resistir a ataques de censura, como saques forçados. Se o sequenciador ficar inativo por um longo período de tempo ou rejeitar deliberadamente solicitações de usuários, os usuários L2 não poderão sacar fundos com segurança para o L1, o que representa um enorme risco de segurança.

Obviamente, esse tipo de rollup é inseguro no nível de design do mecanismo, mas os usuários e membros da comunidade L2 podem emitir alertas através das mídias sociais quando necessário para fazer com que reguladores como a Fundação Ethereum e até mesmo a SEC estejam cientes da ocorrência de perigo. Este é o chamado “consenso social”, ou seja, através de um alto grau de transparência de dados e supervisão voluntária dos membros da comunidade, para conter a má conduta dos parceiros do projeto L2 através da “fermentação da opinião pública” e “intervenção manual” subsequentes e “responsabilidade legal”. É o nível mais baixo de garantia de segurança porque não pode impedir o mal antecipadamente, mas apenas depois que a má conduta ocorreu.

No entanto, na realidade, o “consenso social” também é uma condição básica para garantir o blockchain (se alguém tentar bifurcar maliciosamente o Ethereum, a comunidade Ethereum também usará o consenso social para determinar qual cadeia de bifurcação seguir), e como os atores maliciosos consideram as consequências de suas ações sendo expostas, na maioria das vezes eles não ousam correr riscos (com exceção das exchanges FTX, ZT e Mentougou, é claro).

Quando mudamos o objeto de inspeção para Arbitrum One, podemos imediatamente ver a diferença entre ele e Base. Por exemplo, ele lançou um sistema utilizável de prova de fraude e criou uma lista branca de desafiantes. Inclui nós executados por 9 entidades diferentes, incluindo a Fundação Ethereum e L2beat. Desde que o sequenciador poste um hash de status errôneo Stateroot para L1, o nó desafiante publicará um certificado de fraude, que pode garantir que o L2 Stateroot registrado no contrato Rollup está correto;

Ao mesmo tempo, Arbitrum One possui um mecanismo de transação obrigatório para lidar com ataques de censura de sequenciadores, o que permite aos usuários chamar a função de Inclusão Forçada do contrato Sequencer Inbox na L1 para enviar instruções de transação diretamente para a L1; se o sequenciador não processar essa transação/saque que requer 'inclusão obrigatória' dentro de 24 horas, a ordem de transação/saque será incluída diretamente na sequência de transações do Rollup, criando uma 'saída segura' para os usuários de saques forçados da L2.

Deve ser enfatizado aqui que no projeto de rollup da Fase 1, os usuários podem forçar saques através da função especificada no contrato Rollup, desde que saibam o status geral da conta L2 e construam uma Prova de Merkle correspondente ao saldo da conta (essa função é geralmente chamada de Escape Hetch na cápsula de escape). Quanto a como saber o status da conta L2, depende se todos os nós na rede Rollup abrem dados para o mundo externo (quase todos os L2 possuem tais nós).

Além disso, o comportamento de atualização de contrato do Arbitrum One é limitado por vários fatores. Por exemplo, uma proposta de atualização de contrato normal deve primeiro passar por uma decisão de votação governada pela governança on-chain. Após a aprovação do limite de votação, ela também está sujeita a um bloqueio de tempo (há um atraso de 12 dias) antes de ser executada automaticamente. Se a proposta de atualização do contrato contiver lógica de código malicioso, ela pode ser rejeitada pelo Comitê de Segurança (executado por meio de múltiplas assinaturas).

No entanto, o Comitê de Segurança do Arbitrum One em si pode atravessar o bloqueio de tempo. Por exemplo, desde que mais de uma assinatura seja passada em 9/12, a Comissão de Segurança pode atualizar imediatamente o código do contrato, ou mudar forçosamente o L2 Stateroot registrado no contrato Rollup.

Quanto ao motivo pelo qual o Conselho de Segurança tem tanto poder, Vitalik explicou uma vez:

“Alguns rollups podem usar várias funções de transição de estado independentes, como dois editores de certificados fraudulentos com visões diferentes, ou vários nós probatórios enviando diferentes provas de validade, ou o sequenciador tentando bifurcar a conta L2 no L1, ou a prova de validade não sendo enviada à cadeia dentro de 7 dias, todos os quais podem fazer o sistema L2 travar completamente. O comitê de segurança pode tomar decisões nessa situação perigosa, usando intervenção manual para guiar o sistema a adotar os resultados corretos.”

É claro que Vitalik listou apenas algumas "situações perigosas" simples. Considerando que o contrato Rollup pode ser hackeado e o sequenciador pode ser hackeado (ou ser inexperiente) a qualquer momento, medidas urgentes claramente são necessárias.

Segundo Vitalik, se for um Rollup completo, o contrato pode ser atualizado, mas deve ter um atraso de bloqueio de tempo maior que 30 dias para dar tempo suficiente aos usuários e membros da comunidade para responderem.

Obviamente, uma vez que o comitê de segurança da Arbitrum pode atualizar contratos imediatamente após múltiplas assinaturas serem aprovadas, se a nova versão do código contiver lógica comercial maliciosa, teoricamente pode confiscar os ativos L2 dos usuários. Portanto, a Arbitrum One não atende à definição de um rollup perfeito de Vitalik; é apenas que o nível de risco é relativamente baixo.

Quando estávamos olhando para o "rollup perfeito," apenas dois projetos no L2BEAT atenderam aos critérios: Fuel V1 e DeGate. Entre eles, o Fuel V1 é um rollup otimista do primeiro sistema de prova de fraude online. Sua submissão de certificado de fraude é sem permissão, e qualquer pessoa pode executar o nó e publicar certificados de fraude quando necessário. Ao mesmo tempo, o contrato do Fuel V1 está escrito e não pode ser atualizado de forma alguma, e a Comissão não pode interferir no L2 Stateroot registrado no contrato Rollup, portanto, não há risco de chamado Risco de Comissão de Segurança.

O Fuel V1 atingiu o nível de risco mais baixo, mas toda vez que é atualizado e iterado, os contratos precisam ser redeployed e os usuários precisam migrar manualmente os ativos para a nova versão. Em essência, um novo projeto foi reformulado. O resultado é uma fragmentação da liquidez, o que reduz consideravelmente a flexibilidade. Devido a várias razões, como o uso de UTXO e incompatibilidade com EVM no modelo de programação, e o fundador posteriormente mudando para a equipe Celestia, o desenvolvimento do Fuel gradualmente estagnou e a construção ecológica não foi satisfatória.

Tudo somado, o custo de buscar segurança absoluta é a inconveniência de atualizações e iterações. Em um momento em que a tecnologia de prova de fraude e prova de validade ainda não é perfeita, manter um certo grau de capacidade de atualização de contrato é provavelmente uma característica que RollUp deve ter.

Por um bom tempo, podemos antecipar a seguinte situação: a maioria dos rollups não abrirá mão das assinaturas múltiplas do comitê de segurança, e o contrato da Camada 2 será "imediatamente atualizável" por um longo período de tempo (um certo projeto de ZK Rollup nunca abriu mão das assinaturas múltiplas do comitê de segurança e depois apenas virou sua atenção para um novo projeto). Devido à dificuldade de desenvolver um sistema à prova de fraude, a maioria dos rollups otimistas que não são líderes pode não ser capaz de lançar provas de fraude a curto prazo (provavelmente não até o final de 2023), e o Arbitrum One estará em uma posição de liderança no circuito Rollup por um longo tempo. Embora ainda não tenha o mais alto nível de segurança, ele tem um sistema de prova de fraude relativamente completo e as assinaturas múltiplas do comitê de segurança estão razoavelmente dispersas (9/12 assinaturas múltiplas, distribuídas para 12 membros da comunidade, incluindo membros do projeto ARB), e também tem o maior ecossistema de dApps - mais de 440 aplicativos. No entanto, se a Base, que tem baixa segurança e depende mais do marketing, pode continuar o ímpeto de crescimento dos últimos meses ainda precisa ser verificado. Se a Base conseguir superar o Arbitrum One em termos de volume de TVL, isso pode levar ao colapso da própria crença de "desconfiança".

Claro, mais importante, sempre precisaremos de agências de classificação de risco, como L2BEAT. Nesta era turbulenta e caótica, um conjunto de indicadores claros e abrangentes de classificação de risco sempre será a chave para garantir o desenvolvimento próspero do sistema Ethereum e da Web3 como um todo.

Aviso Legal：

1. Este artigo é reproduzido a partir de [médio]. Todos os direitos autorais pertencem ao autor original [Faust, web3 geek]. Se houver objeções a esta reimpressão, entre em contato com a equipe Gate Learn（gatelearn@gate.io）, e eles vão lidar com isso prontamente.
2. Isenção de responsabilidade: Os pontos de vista e opiniões expressos neste artigo são exclusivamente do autor e não constituem qualquer conselho de investimento.
3. As traduções do artigo para outros idiomas são feitas pela equipe Gate Learn. Salvo indicação em contrário, copiar, distribuir ou plagiar os artigos traduzidos é proibido.