Di dunia nyata, hampir setiap pencakar langit memiliki elemen tak tergantikan: pintu darurat. Ketika kejadian tak terduga seperti kebakaran atau gempa bumi terjadi, pintu-pintu keluar ini adalah penyelamat nyawa bagi keselamatan orang. Demikian pula, dalam ekosistem Layer 2 Ethereum, yang menyimpan miliaran dolar aset, fitur "penarikan paksa" yang memungkinkan pengguna untuk secara aman mengembalikan aset ke Layer 1 telah menjadi fasilitas penting.

Vitalik juga menekankan dalam artikel terbarunya “Berbagai Jenis Layer 2” bahwa kemampuan pengguna untuk menarik aset secara lancar dari Layer 2 kembali ke Layer 1 adalah indikator keamanan yang sangat penting.

Namun, masalah 'penarikan yang lancar' tampaknya telah diabaikan oleh kebanyakan orang pada masa lalu, dan banyak tim proyek Layer 2 belum menerapkan fungsi 'penarikan paksa' atau 'tangga darurat'. Di era ketika ekosistem Layer 2 belum matang, mengabaikan 'penarikan tanpa izin' tampaknya bukanlah masalah. Namun sekarang, dengan Layer 2 mengelola lebih dari 12 miliar dolar aset, hal itu menjadi 'terlalu besar untuk gagal' seperti sebuah pencakar langit. Ketidakhadiran pintu keluar keselamatan di bangunan yang begitu menjulang adalah tak terbayangkan.

Dengan tujuan meningkatkan kesadaran di kalangan pembaca tentang risiko keamanan Layer 2, "Geek Web3" akan menggunakan Loopring Protocol V3 dan Arbitrum sebagai contoh dalam teks berikut untuk menjelaskan mengapa "fungsi penarikan tanpa izin" seperti penarikan paksa dan escape hatch adalah komponen yang sangat diperlukan dari Layer 2.

(Menurut browser L2BEAT dYdX, hingga saat ini, fungsi perdagangan/penarikan paksa dYdX telah digunakan sebanyak 152 kali, dengan penarikan besar yang melebihi satu juta dolar sebanyak 7 kasus) Ketahanan sensor adalah masalah besar: Bagaimana jika Sequencer dengan sengaja menolak permintaan Anda?

Artikel ilmiah populer masa lalu tentang Layer 2 seringkali memiliki satu isu: mereka kebanyakan menekankan “keamanan” dan “kemudahan penggunaan” yang dangkal namun mengabaikan “ketahanan sensor”. Bahkan ketika membahas solusi pengurutan terdesentralisasi, yang banyak diperhatikan orang adalah apakah MEV terdesentralisasi, bukan peningkatan dalam ketahanan sensor.

Dengan kata lain, kebanyakan orang cenderung fokus pada apakah transisi state di Layer 2 efektif, apakah sequencer dapat mencuri koin, dan apakah bukti kecurangan/sistem bukti keabsahan digunakan. Namun, mereka mengabaikan risiko yang tidak boleh diabaikan: Bagaimana jika Sequencer terus menerus menolak permintaan transaksi Anda, atau mengalami kerusakan selama periode yang panjang, atau bahkan mati total?

Perlu dicatat bahwa selama waktu tidak aktif Solana, terjadi kasus di mana orang tidak dapat menambahkan jaminan tepat waktu karena risiko likuidasi aset, yang menyebabkan jutaan dolar aset berisiko. Skenario seperti menolak permintaan pengguna dapat menyebabkan kerugian ekonomi yang signifikan.

Meskipun hanya sedikit individu mungkin mengalami situasi semacam itu, jika hal itu terjadi pada beberapa 'paus' yang memegang sejumlah dana besar, seluruh pasar bisa menderita. Sebagai contoh, anggap seseorang dengan ratusan juta dolar aset dalam protokol pinjaman DeFi di Ethereum menghadapi likuidasi dalam seminggu tetapi dikenai sanksi oleh OFAC karena menggunakan Tornado. Sebagian besar dana mereka ada di Optimism (OP), dan OP Sequencer, sesuai dengan OFAC, menolak permintaan mereka.

Mari proyeksikan masalah ini ke blockchain independen seperti Avalanche atau Polygon, terpisah dari Ethereum. Jika lebih dari dua pertiga node konsensus Validator di Avalanche memutuskan untuk melakukan pemeriksaan transaksi terhadap Anda, mereka dapat menolak untuk menyertakan transaksi Anda dalam blok atau menolak mengakui blok yang berisi transaksi Anda. Dalam hal ini, dana Anda pada dasarnya terkubur di rantai ini dan tidak dapat ditarik:

Kecuali Anda dapat membujuk beberapa Validator sehingga kurang dari dua pertiga terlibat dalam serangan pengawasan, atau Anda dapat menggalang orang untuk melakukan fork Avalanche melalui konsensus sosial. Jelas, saat ini, Anda masih memiliki cara untuk menarik dana Anda dengan cepat dari Avalanche. Namun, kita harus mempertimbangkan bahwa dibutuhkan waktu bagi lebih dari dua pertiga Validator untuk bersatu dan memulai pengawasan transaksi terhadap alamat tertentu, memberikan pengguna yang diteliti cukup waktu untuk 'melarikan diri.'

Namun situasinya mungkin sangat berbeda di Layer 2. Sequencers di Layer 2 umumnya dijalankan oleh tim resmi. Jika seorang Sequencer ingin meluncurkan serangan pemeriksaan terhadap Anda, ia dapat 'membekukan uang Anda di Layer 2,' efektif menolak permintaan Anda untuk mentransfer aset dari L2 ke L1. Menurut mekanisme operasional L2, jika Anda tidak bisa melewati Sequencer untuk mengeksekusi penarikan, sangat mungkin bagi Sequencer untuk membekukan aset Anda di L2, mencegah transfer mereka.

Jadi, bagaimana isu ini dapat diselesaikan? Singkatnya, bagaimana kita dapat menerapkan fungsi penarikan 'tanpa izin' yang memungkinkan pengguna untuk dengan aman menarik kembali aset mereka ke Lapisan 1 bahkan ketika sedang dalam pengawasan oleh Sequencer atau tim proyek Layer 2? Beberapa tim proyek telah mengusulkan gagasan Sequencer terdesentralisasi, tetapi ini adalah solusi yang dangkal. Jika jumlah terbatas Sequencer ini berkolusi untuk memeriksa Anda, mereka masih dapat 'membekukan' aset Anda. Selain itu, masalah serangan anti-Sybil dalam simpul Proof of Stake (PoS) juga bermasalah (seperti yang terjadi dalam insiden Multichain).

Solusi paling efektif adalah menyiapkan 'exit' khusus di blockchain Layer 1, memungkinkan pengguna menarik dana mereka dari Layer 2 melalui exit L1 ini dalam kasus di mana mereka tidak menerima respons dari Sequencer selama periode yang cukup lama.

Dalam konteks versi 3 Protokol Loopring, itu menguraikan dua skenario berbeda untuk penarikan paksa yang diinisiasi pengguna. Skenario pertama adalah sebagai berikut:

Pengguna dapat langsung memulai penarikan paksa di Layer 1 menggunakan fungsi forcedWithdraw dalam kontrak ExchangeV3. Mereka perlu mendeklarasikan akun Layer 2 mereka dalam Protokol Loopring dan Token mana yang ingin mereka tarik. Selanjutnya, kontrak ExchangeV3 mengeluarkan acara blockchain, menandakan bahwa seseorang telah memulai permintaan penarikan paksa. Karena semua node dalam Protokol Loopring, termasuk Sequencer, menjalankan klien Geth, mereka akan diberitahu tentang penarikan paksa dan acara blockchain yang sesuai dari data blok Ethereum.

Penting untuk dicatat bahwa penarikan paksa tidak diproses secara langsung, tetapi malah ditempatkan dalam antrian pendingForcedWithdrawals, menunggu proses. Setelah memperhatikan penarikan paksa yang diinisiasi di Layer 1, Sequencer biasanya memicu fungsi Proses dalam kontrak ExchangeV3 dalam 15 hari. Fungsi ini mengeksekusi transfer token pada rantai Ethereum ke inisiator penarikan (dari alamat deposit projek Layer 2 pada rantai Ethereum ke penarik).

Jika Sequencer gagal merespons permintaan penarikan paksa pengguna dalam waktu 15 hari, pengguna dapat memanggil fungsi notifyForcedRequestTooOld. Tindakan ini mendorong kontrak ExchangeV3 untuk mengeluarkan sebuah acara bernama WithdrawalModeActivated, memberitahukan semua node dalam Protokol Loopring bahwa mode likuidasi kebangkrutan telah diaktifkan.

Jika mode likuidasi kebangkrutan diaktifkan, Loopring Protocol V3 akan berhenti menerima blok L2 baru yang diajukan oleh Sequencer, yang berarti bahwa seluruh Loopring Protocol akan berhenti beroperasi pada saat ini. Proses ini akan berlangsung setidaknya 30 hari.

Namun, dalam mode likuidasi kebangkrutan, pengguna masih dapat menarik aset mereka di Layer1, tetapi mereka perlu mengirimkan bukti merkle untuk membuktikan status aset mereka, yang dapat diperiksa di pohon status L2. (Buktikan bahwa saldo aset Anda di Layer 2 konsisten dengan jumlah yang Anda nyatakan saat Anda memulai penarikan.)

Artikel ini menggambarkan model likuidasi kebangkrutan dari Protokol Loopring, yang juga dikenal sebagai mekanisme “Escape Hatch” di L2BEAT. Model ini dipicu dalam kondisi tertentu, seperti ketika sequencer gagal merespons permintaan penarikan paksa pengguna dalam waktu tertentu, atau jika Sequencer mengalami gangguan atau shutdown jangka panjang. Dalam kasus-kasus tersebut, pengguna dapat memicu proses secara manual yang menempatkan kontrak Rollup ke dalam keadaan beku atau terhenti. Pengguna kemudian dapat membuat Bukti Merkle untuk menunjukkan situasi aset mereka di Layer 2 dan menarik bagian aset mereka dari alamat deposit proyek Layer 2 pada Layer 1.

Dalam dokumentasi StarkEx, ada diagram khusus yang menggambarkan proses ini. Jika permintaan Penarikan Paksa pengguna Layer 2 yang diajukan di Layer 1 tidak direspon oleh sequencer dalam jendela 7 hari, pengguna dapat memanggil fungsi Permintaan pembekuan untuk memulai periode pembekuan untuk Layer 2. Selama periode ini, sequencer Layer 2 tidak dapat memperbarui status Layer 2 di Layer 1. Status beku Layer 2 berlangsung selama satu tahun sebelum dapat dicairkan. Setelah itu, pengguna dapat mengajukan bukti Merkle dan menarik dana mereka.

Namun, untuk membuat Bukti Merkle, seseorang perlu terlebih dahulu memperoleh pohon status L2 lengkap, yang berarti mengakuisisi data dari node penuh L2. Selain itu, sebuah bagian kode tertentu diperlukan untuk menghasilkan Bukti Merkle, jelas menunjukkan adanya tingkat hambatan teknis tertentu. Untuk memfasilitasi ini bagi sebagian besar pengguna, L2BEAT sebelumnya menyatakan bahwa Layer 2 seharusnya menyiapkan sekelompok node penuh sumber terbuka dan terbuka, untuk membantu pengguna memperoleh status semua akun di L2 (termasuk saldo, jumlah transaksi, dll.). Langkah ini juga menekankan pentingnya mekanisme penarikan paksa dan pintu darurat.

Fitur 'Pencantuman Transaksi Paksa' Arbitrum

Namun, penarikan paksa/kapal pelarian sepertinya bukan satu-satunya solusi anti-sensor. Sebagai contoh, Arbitrum menggunakan metode 'inklusi transaksi paksa', di mana pengguna dapat pertama-tama mengirimkan transaksi/penarikan yang perlu diproses oleh Sequencer ke kontrak Kotak Masuk yang ditunda di Layer 1 (L1). Jika Sequencer gagal memprosesnya dalam waktu 24 jam, pengguna dapat memanggil fungsi Inklusi paksa pada kontrak Kotak Masuk Sequencer L1, memungkinkan transaksi untuk langsung disertakan dalam urutan transaksi Arbitrum (dengan melempar acara on-chain yang memberitahu node Arbitrum bahwa beberapa transaksi yang tercatat di Kotak Masuk yang ditunda perlu disertakan dalam buku besar L2).

Penggalan ini membahas pendekatan berbagai protokol blockchain dalam menangani transaksi, terutama berfokus pada Arbitrum dibandingkan dengan Loopring dan StarkEx. Berikut terjemahannya:

Dibandingkan dengan yang lain, metode Arbitrum agak lebih sederhana, tetapi masih memiliki kekurangan. Ini hanya mengeluarkan peristiwa on-chain untuk memberi tahu node Arbitrum bahwa beberapa transaksi yang diabaikan oleh sequencer perlu dimasukkan ke dalam rantai terpanjang L2, berbeda dengan protokol Loopring dan mode kebangkrutan/pod pelarian StarkEx, yang memungkinkan pengguna untuk menarik dana mereka secara langsung di L1. Jika node penantang di Arbitrum bersekongkol untuk meluncurkan serangan sensorship, tampaknya memungkinkan untuk membekukan dana pengguna di L2.

Oleh karena itu, mekanisme inklusi paksa Arbitrum tidak sepenuhnya tanpa izin. Meskipun satu node jujur dapat mempublikasikan bukti penipuan untuk menunjukkan permintaan inklusi paksa pengguna yang diabaikan oleh sequencer, ini masih memperkenalkan tingkat asumsi kepercayaan, meskipun minor.

Lebih spesifik lagi, 'transaksi yang memerlukan inklusi paksa' harus diakui oleh setidaknya satu node penantang ARB. Saat ini, ada sembilan node ini, dan mereka memiliki otoritas untuk memutuskan pesan lintas-rantai mana antara L2 dan L1 yang akan disetujui, dan merekalah satu-satunya yang dapat mengeluarkan bukti kecurangan. Jika sembilan node ini bersekongkol bersama, mereka pada dasarnya dapat membatalkan 'transaksi paksa' pengguna.

Oleh karena itu, transaksi inklusi atau penarikan kekuatan saat ini di Arbitrum tidak sebebas Loopring dan mode likuidasi kebangkrutan StarkEx. Namun, L2BEAT masih sangat menilai pendekatan ini dari Arbitrum. Di masa depan, Arbitrum akan meluncurkan mekanisme penerbitan bukti penipuan tanpa izin yang dinamai BOLD, sehingga sulit, jika tidak mustahil, bagi node-noda tantangan untuk berkolusi (yang sudah sulit saat ini).

Menurut data dari L2BEAT, saat ini, platform Layer 2 (L2) dengan Total Nilai Terkunci (TVL) melebihi 50 juta USD, yang tidak menawarkan langkah-langkah untuk mengatasi Kegagalan Sequencer maupun Kegagalan Proposer, termasuk OP Mainnet, Base, zkSync Era, Mantle, Starknet, Linea, Polygon zkEVM, dan Metis. Platform L2 ini dalam kasus ekstrem, dapat menyebabkan aset pengguna dibekukan dan tidak dapat ditarik dari L2.

Oleh karena itu, jelas bahwa kebutuhan akan mekanisme seperti penarikan paksa atau mode likuidasi kebangkrutan ada. Meskipun saat ini, mereka secara utama mengandalkan teori permainan antara pengguna dan pengurut (produsen pesanan), dan tidak dapat dianggap benar-benar "dapat ditarik kapan saja" (Arbitrum memiliki penundaan 24 jam yang bisa gagal, Loopring memiliki penundaan hingga 15 hari, StarkEx memiliki penundaan maksimum 7 hari), memiliki mekanisme ini jelas lebih baik daripada tidak memiliki sama sekali. Masalah penundaan dalam penarikan paksa pada akhirnya bisa dipecahkan di masa depan dengan desain mekanisme yang lebih canggih. Desain saat ini mempertimbangkan eksploitasi Nilai Ekstraksi Maksimal (MEV) melalui forceInclusion, yang memerlukan pengenalan penundaan. Untuk informasi lebih lanjut, dokumentasi resmi dari berbagai proyek L2 harus dikonsultasikan.

Dengan semakin banyaknya inklusi Sequencers terdesentralisasi dalam banyak peta jalan L2 dan upaya berkelanjutan oleh entitas seperti Ethereum Foundation, dipimpin oleh Vitalik Buterin, untuk mendidik orang tentang keamanan L2, fitur-fitur seperti fungsi transaksi anti-sensor di penarikan paksa kemungkinan akan mendapat lebih perhatian. Hal ini akan membawa ekosistem Ethereum Layer 2 lebih dekat ke infrastruktur keuangan yang tahan sensor dan minim kepercayaan. Jika Layer 2 mencapai cara minim kepercayaan untuk memindahkan dana masuk dan keluar, diharapkan bahwa lebih banyak pembuat pasar dan penyedia likuiditas akan memasuki infrastruktur L2, mendorong langkah menuju adopsi massal web3.

Disclaimer：

1. Artikel ini dicetak ulang dari [Faust, Web3 yang sangat teknis]. Semua hak cipta milik penulis asli [Faust, Web3 yang sangat teknis]. Jika ada keberatan terhadap pencetakan ulang ini, silakan hubungi Gate Belajartim, dan mereka akan menanganinya dengan cepat.
2. Penolakan Tanggung Jawab Kewajiban: Pandangan dan pendapat yang terdapat dalam artikel ini semata-mata merupakan milik penulis dan tidak merupakan nasihat investasi.
3. Terjemahan artikel ke dalam bahasa lain dilakukan oleh tim Gate Learn. Kecuali disebutkan, menyalin, mendistribusikan, atau menjiplak artikel yang diterjemahkan dilarang.