Когда речь идет о названии L2BEAT, большинство людей могли слышать о нем, но они действительно не понимают, что это такое. Долгое время до 2023 года, впечатление людей о L2BEAT часто было просто 'платформа визуализации данных Ethereum Layer 2'. Помимо отображения данных TVL и классификации технических решений цепи L2, люди, по-видимому, не знают многого о функциях L2beat. Однако с постепенным возрастанием показателей риска уровня 2, запущенных в июне этого года, L2BEAT, нишевая организация, сопоставимая с 'агентством рейтинга Ethereum L2', стала известной все большему числу людей.

Когда упоминаются четыре слова «рейтинговое агентство», в книге «Мир плоский» есть чрезвычайно яркая аналогия: «Мы живем в мире двух сверхдержав, одна из них - Соединенные Штаты, а другая - рейтинговое агентство. США могут использовать бомбы для уничтожения страны, а рейтинговые агентства могут использовать понижения рейтингов для уничтожения страны; иногда невозможно сказать, чья сила более мощная.

От азиатского финансового кризиса 1997 года до ипотечного кризиса 2007 года на Уолл-стрит рейтинговые агентства играли значительную роль и даже стали важными двигателями этих злокачественных событий. Однако в Web3, круг, который якобы сосредоточен на «дезинфекции» и на самом деле полагается на «социальное согласие», «рейтинги риска» являются важной частью, которую нельзя обойти. Будь то проверка кода контракта или анализ изменений в цепочке, их ценность не меньше, чем у доказательств нулевого знания и алгоритмов консенсуса, а то и больше.

Для новой области модульного блокчейна особенно важен объективный, всесторонний набор индикаторов оценки рисков, способных различать различные уровни. Особенно сейчас, когда система L2 уже несет почти 10 миллиардов долларов США активов, как лучше обнаруживать потенциальные риски L2 и лучше предупреждать общественность, уже становится невозможной практической проблемой.

На форуме 2022 года Виталик упомянул, что в настоящее время практически все Rollups не очень зрелы, и большинство из них используют вспомогательные средства, известные как "Обучающие колеса" (вспомогательные колеса), чтобы обеспечить нормальное функционирование Rollups. "Вспомогательный раунд" отражает степень, в которой проект Rollup зависит от "ручного вмешательства" и "социального консенсуса". Чем меньше зависимость от вспомогательного колеса, тем более "дезинфицированным" будет L2, тем ниже риск; и наоборот, чем выше риск.

Например, большинство оптимистичных роллапов, в том числе и Optimism, не запустили систему защиты от мошенничества, что сильно повышает уровень риска; есть также довольно много L2, таких как Immutable X, которые реализуют DA (доступность данных) в цепочке ETH, или не имеют обязательных функций вывода/обязательных транзакций, которые могут быть вызваны в любое время, таких как Starknet. Для уровня 2 вышеуказанные условия необходимы, чтобы гарантировать, что он «так же безопасен, как ETH». Конечно, в дополнение к этому, почти все партнеры по L2-проекту в настоящее время оставили для себя «черный ход». Они полагаются на набор из нескольких подписей для управления кодом контракта L2 в Ethereum и могут изменить хэш статуса в любое время. Это тоже огромная скрытая опасность.

Для более четкого разграничения и определения Rollup Виталик и другие разделили Rollup на 3 уровня, а именно Этап 0, Этап 1 и Этап 2, в зависимости от того, насколько проект Rollup зависит от вспомогательного колеса/ручного вмешательства. Позже L2beat пересмотрела эту классификацию, запросив комментарии у сообщества. Это можно грубо суммировать следующим образом:

Этап 0 — Полностью полагаясь на вспомогательные колеса, минимальные стандарты, которым должен соответствовать rollup:

· Проект утверждает, что он Rollup.

·Транзакции, обрабатываемые Rollup, должны быть «на цепи» (данные, касающиеся процесса перехода состояния L2, должны быть раскрыты на L1, и также должен быть раскрыт хэш состояния L2 Stateroot;)

· Нужно настроить группу узлов rollup с открытыми разрешениями и открытым исходным кодом, чтобы пользователи могли узнать статус всех учетных записей на L2 (включая баланс, количество транзакций и т. д.).

Только проекты L2, которые соответствуют всем вышеперечисленным условиям, будут отмечены как этап 0 L2beat, то есть они соответствуют минимальному стандарту для rollup; в противном случае они не будут рассматриваться как rollup (например, Arbitrum Nova).

Этап 1, который частично зависит от роллапа на вспомогательном колесе, имеет следующие характеристики:

·Должна быть запущена система подтверждения обмана/действительности, чтобы обеспечить эффективность переходов статуса L2;

·Если это оптимистичный Rollup, должно быть как минимум 5 неофициально контролируемых узлов L2, способных выдавать доказательства мошенничества (список белых списков оспаривающих включает как минимум 5 сущностей, отличных от официального Rollup).

Например, на ноябрь 2022 года в список белого списка вызывающих Arbitrum One входят 9 сущностей: Consensys, Ethereum Foundation, L2BEAT, Mycelium, Offchain Labs, P2P, Quicknode, DLRC и Unit410.

· В любое время пользователи могут обойти последователь Sequencer (Оператор) и принудительно вывести активы из L2 в L1, чтобы гарантировать, что активы не будут заморожены; если последователь запускает цензурные атаки и отказывается обрабатывать определенные транзакции, пользователи могут принудительно отправлять транзакции в последователь транзакций L1 Rollup. Помимо публикации неправильного Stateroot, последователь не смог найти других способов совершить зло.

·Rollup может создать комитет по безопасности, управляемый набором множественных подписей, и имеющий право на принудительное обновление контракта Rollup в случае чрезвычайной ситуации или вмешательство в хэш статуса L2, записанный в контракте. Однако множественные закрытые ключи комиссии должны быть достаточно рассеяны, и порог должен быть достаточно высоким. Сам Виталик считает, что это значение должно быть не менее 6/8, то есть множественные подписи управляются более чем 8 людьми, и эффективный порог составляет 75%.

·Обновление контракта rollup, которое не было авторизовано несколькими подписями Комиссии, подлежит задержке блокировки по времени не менее 7 дней. Таким образом, если Rollup подвергается вредоносному предложению обновления, такому как атака на управление (см. инцидент с атакой на управление Tornado Cash), пользователям может быть предоставлено как минимум 7 дней для безопасного вывода средств.

На данный момент только Arbitrum One, dYdX и zkSync Lite соответствуют требованиям этапа 1; все остальные основные Rollups остаются на этапе 0.

Этап 2 — Полностью избавьтесь от вспомогательного колеса и станьте полноценным роллапом:

Узлы L2 в оптимистичной сети Rollup, которые могут публиковать сертификаты о мошенничестве, должны быть без разрешения и удалять настройки белого списка (в ответ на это Arbitrum One недавно представил соглашение под названием BOLD);

·Все обновления контракта rollup ограничены временной задержкой блокировки не менее 30 дней, или контракт вообще не может быть обновлен. Это означает, что в случае злонамеренного обновления rollup пользователи L2 имеют как минимум 30 дней на безопасное изъятие средств.

Для лучшего понимания показателей рейтинга риска, перечисленных в L2BEAT, мы можем выбрать три примера Rollup с разными уровнями безопасности для анализа.

Этап0-Базовый, Этап1-Arbitrum One, Этап2-Fuel:

Base - один из ведущих проектов Оптимистичной Rollup Circuit. Он полагается на контракты на уровне L1 для записи хэша состояния L2 Stateroot, обработки средств в L2 и из L2, использует Ethereum для достижения доступности данных (DA) и имеет мостовую связь с L1.

Базовый последователь требует разглашения данных транзакции Уровня 2 на Уровень 1. Конкретно, каждые несколько минут последователь инициирует транзакцию на указанный адрес в сети Ethereum и записывает пакет сжатых данных транзакции в пользовательские дополнительные данные Calldata транзакции. Поскольку все узлы Уровня 2 будут автоматически синхронизировать блоки Уровня 1, они могут отслеживать транзакцию, инициированную последователем, анализировать данные транзакции Уровня 2 в его Calldata и затем получать последний статус последователя Уровня 2, вычислять правильный хэш статуса, Stateroot, и сравнивать его со Stateroot, представленным сортировщиком Уровня 1.

В настоящее время у Base нет системы онлайн-сертификации мошенничества, поэтому нет гарантии того, что L2 Stateroot, записанный в L1 контракте, является правильным, но пользователи, способные запускать все узлы L2, могут своевременно обнаружить ошибку; более того, у Base нет плана по сопротивлению цензурным атакам, таким как принудительные выводы. Если последователь долго отключается или умышленно отклоняет запросы пользователей, пользователи L2 не смогут безопасно вывести средства на L1, что представляет огромный риск для безопасности.

Очевидно, что такой тип роллапа небезопасен на уровне проектирования механизма, но пользователи и члены сообщества L2 могут выдавать предупреждения через социальные медиа при необходимости, чтобы информировать регуляторов, таких как Ethereum Foundation и даже SEC, о возникновении опасности. Это так называемый «социальный консенсус», то есть через высокую степень прозрачности данных и добровольного надзора со стороны членов сообщества, чтобы удерживать недостойное поведение партнеров проекта L2 через «формирование общественного мнения», «ручное вмешательство» и последующую «правовую ответственность». Это самый низкий уровень гарантии безопасности, потому что он не может предотвратить зло заранее, а только после того, как недостатки произошли.

Однако, на практике «социальный консенсус» также является базовым условием для обеспечения блокчейна (если кто-то попытается злонамеренно разветвить Ethereum, сообщество Ethereum также будет использовать социальный консенсус для определения, за какой разветвленной цепью следовать), и поскольку злонамеренные действующие лица принимают во внимание последствия раскрытия своих действий, большую часть времени они не осмеливаются рисковать (за исключением бирж FTX, ZT и Mentougou и т. д., конечно).

Когда мы изменяем объект проверки на Arbitrum One, мы сразу видим разницу между ним и Base. Например, он запустил систему, которая можно использовать для доказательства мошенничества и создал белый список вызывающих. В него входят узлы, работающие под управлением 9 различных сущностей, включая Ethereum Foundation и L2beat. Пока поставщик размещает ошибочный хэш статуса Stateroot на L1, узел вызывающего опубликует свидетельство о мошенничестве, что может обеспечить правильность L2 Stateroot, записанного в контракте Rollup;

В то же время в Arbitrum One есть обязательный транзакционный механизм для борьбы с атаками цензуры секвенсора, который позволяет пользователям вызывать функцию Force Inclusion контракта Sequencer Inbox на L1 для отправки инструкций по транзакциям непосредственно в L1; если секвенсор не обработает эту транзакцию/вывод средств, требующую «обязательного включения», в течение 24 часов, ордер на транзакцию/вывод средств будет напрямую включен в последовательность транзакций Rollup, что создает «безопасный выход» для пользователей из принудительного вывода средств из L2.

Здесь следует подчеркнуть, что в проекте свертки этапа 1 пользователи могут принудительно выводить средства через указанную функцию в контракте Rollup, если они знают общий статус учетной записи L2 и составляют доказательство Меркля, соответствующее балансу своей учетной записи (эта функция обычно называется Escape Hetch в капсуле спасения). Что касается того, как узнать статус учетной записи L2, это зависит от того, есть ли все узлы в сети Rollup, которые открывают данные во внешний мир (почти все узлы L2 имеют такие узлы).

Кроме того, поведение обновления контракта Arbitrum One ограничено различными факторами. Например, предложение о нормальном обновлении контракта должно сначала пройти голосование, управляемое цепочкой блоков. После преодоления порога голосования оно также подлежит временной блокировке (есть задержка в 12 дней) перед автоматическим выполнением. Если предложение об обновлении контракта содержит злонамеренную логику кода, его можно отклонить Комитетом по безопасности (выполняется через множественные подписи).

Однако сам комитет по безопасности Arbitrum One может пересекать временную блокировку. Например, если будет передано более одного знака 9/12, Комиссия по безопасности может немедленно обновить код контракта или принудительно изменить L2 Stateroot, записанный в контракте Rollup.

Почему Совет безопасности обладает такой большой властью, Виталик однажды объяснил:

Некоторые rollups могут использовать несколько независимых функций перехода состояний, таких как два мошенника-издателя сертификатов с разными точками зрениями, или несколько узлов-доказателей, представляющих разные доказательства правильности, или попытка секвенсора сделать форк учетной записи L2 на L1, или недопуск доказательства правильности к цепочке в течение 7 дней, что все вместе может привести к полному краху системы L2. Комитет безопасности может принимать решения в этой опасной ситуации, используя ручное вмешательство, чтобы направить систему на правильные результаты.

Конечно, Виталик перечислил лишь несколько простых «опасных ситуаций». Учитывая, что контракт Rollup может быть взломан, а секвенсор может быть взломан (или неопытен) в любое время, явно необходимы срочные меры по борьбе.

По мнению Виталика, если это полноценный Rollup, контракт можно обновить, но должна быть установлена задержка времени более 30 дней, чтобы дать пользователям и членам сообщества достаточно времени для реагирования.

Очевидно, поскольку комитет по безопасности Arbitrum может немедленно обновлять контракты после утверждения несколькими подписями, если новая версия кода содержит злонамеренную бизнес-логику, теоретически можно отобрать активы пользователей L2. Поэтому Arbitrum One не соответствует определению идеального rollup от Vitalik'a; просто уровень риска относительно низок.

Когда мы рассматривали «идеальный роллап», только два проекта на L2BEAT соответствовали критериям: Fuel V1 и DeGate. Среди них Fuel V1 - это оптимистичный роллап первой системы доказательства мошенничества в сети. Его подача сертификата о мошенничестве не требует разрешения, и любой может запустить узел и публиковать сертификаты о мошенничестве по мере необходимости. В то же время контракт Fuel V1 написан и не может быть обновлен вообще, и Комиссия не в состоянии вмешиваться в L2 Stateroot, записанный в контракте Rollup, поэтому нет так называемого риска Safety Commission.

Fuel V1 достиг самого низкого уровня риска, но каждый раз, когда он обновляется и итерируется, контракты должны быть развернуты заново, и пользователям требуется вручную мигрировать активы на новую версию. По сути, новый проект был переделан. Результатом является фрагментация ликвидности, что существенно снижает гибкость. Из-за различных причин, таких как использование UTXO и несовместимость с EVM в программной модели, а также того, что основатель позже перешел в команду Celestia, развитие Fuel постепенно застопорилось, и экологическое строительство оказалось неудовлетворительным.

В целом стоимость достижения абсолютной безопасности - это неудобство обновлений и итераций. В то время как технологии доказательства мошенничества и доказательства достоверности еще не идеальны, поддержание определенной степени обновляемости контракта, вероятно, является функцией, которую RollUp должен иметь.

В течение довольно долгого времени можно ожидать следующую ситуацию: большинство роллапов не откажутся от многочисленных подписей комитета по безопасности, а контракт L2 будет «мгновенно обновляемым» в течение длительного периода времени (некий проект ZK Rollup никогда не отказывался от нескольких подписаний комитетом по безопасности, а затем просто переключил свою голову на новый проект). Из-за сложности разработки системы защиты от мошенничества наиболее оптимистично настроенные роллапы, которые не являются лидерами, могут быть не в состоянии запустить доказательства мошенничества в краткосрочной перспективе (вероятно, не к концу 2023 года), и Arbitrum One еще долго будет занимать лидирующие позиции на схеме Rollup. Несмотря на то, что он еще не обладает высочайшим уровнем безопасности, у него есть относительно полная система защиты от мошенничества, а множественные подписи комитета безопасности разумно разбросаны (9/12 множественных подписей, распределенных среди 12 членов сообщества, включая участников проекта ARB), а также имеет крупнейшую экосистему dApp — владение более чем 440 приложениями. Тем не менее, сможет ли Base, которая имеет слабую безопасность и больше полагается на маркетинг, продолжить импульс роста последних нескольких месяцев, еще предстоит проверить. Если Base сможет превзойти Arbitrum One по объему TVL, это может привести к краху самой веры в «недоверие».

Конечно, самое важное, нам всегда понадобятся рейтинговые агентства, такие как L2BEAT. В эту бурную и хаотичную эпоху набор четких и всеобъемлющих показателей рейтинга риска всегда будет ключом к обеспечению процветания развития системы Ethereum и Web3 в целом.

Отказ от ответственности:

1. Эта статья перепечатана с [средний]. Все авторские права принадлежат оригинальному автору [Faust, гик web3]. Если есть возражения против этого повторного издания, пожалуйста, свяжитесь с командой Gate Learn（gatelearn@gate.io）, и они незамедлительно этим займутся.
2. Отказ от ответственности: Взгляды и мнения, выраженные в этой статье, принадлежат исключительно автору и не являются какими-либо инвестиционными рекомендациями.
3. Переводы статьи на другие языки делаются командой Gate Learn. Если не указано иное, копирование, распространение или плагиат переведенных статей запрещены.