Коли мова йде про назву L2BEAT, більшість людей може бути про неї чули, але вони насправді не розуміють, що це робить. Довгий час до 2023 року враження людей про L2BEAT часто було лише «платформа візуалізації даних Ethereum Layer 2». Окрім відображення даних TVL та класифікації технічного рішення ланцюга L2, люди, здається, не знають багато про функції L2beat. Однак із поступовим зростанням показників ризику Layer 2, запущених у червні цього року, L2BEAT, нішева організація, порівняльна з «агентством рейтингу Ethereum L2», стала відомою все більшій кількості людей.

Коли згадуються чотири слова «агентство рейтингів», у книзі «Світ плаский» є дуже жива аналогія: «Ми живемо в світі двох сверхдержав, одна з яких - Сполучені Штати, а інша - агентство рейтингів. США можуть використовувати бомби, щоб знищити країну, а агентства рейтингів можуть використовувати пониження рейтингу боргу, щоб знищити країну; іноді сила обох неможливо сказати, хто більш потужний».

Від азіатської фінансової кризи 1997 року до субпримарного морганського кризу 2007 року рейтингові агентства Уолл-Стріт грали значну роль, і навіть стали важливими катализаторами цих злочинних подій. Проте в Web3 коло, яке якось фокусується на «дезінфікації» та фактично покладається на «соціальну згоду», «оцінки ризику» є важливою частиною, яку ніколи не можна обійти. Нехай це буде перевірка коду контракту чи аналіз змін на ланцюжку, їхня вартість ні в якому разі не менша за докази з нульовим рівнем і алгоритми консенсусу, або навіть більше.

Для нового напрямку модульного блокчейну особливо важливий об'єктивний, всебічний набір показників оцінки ризиків, які можуть відрізняти різні рівні. Особливо зараз, коли система L2 вже несе майже 10 мільярдів доларів США в активах, як краще виявляти потенційні ризики L2 та краще попереджати громадськість, вже стало невідворотною практичною проблемою.

На форумі блогу 2022 року Віталік зазначив, що зараз майже всі Rollups не є дуже зрілими, і більшість з них використовують допоміжні засоби, відомі як допоміжні колеса, щоб забезпечити нормальну роботу Rollups. “Допоміжне колесо” відображає ступінь, до якої проект Rollup покладається на “ручне втручання” та “соціальну згоду”. Чим менше залежності від допоміжного колеса, тим більш “дезактивований” L2, тим менше ризику; навпаки, тим вище ризик.

Наприклад, більшість оптимістичних Rollups, включаючи Optimism, не запустили систему захисту від шахрайства, що значно підвищує рівень ризику; існує також досить багато L2, таких як Immutable X, які реалізують DA (доступність даних) у ланцюжку ETH, або не мають обов'язкових функцій зняття/обов'язкових транзакцій, які можна викликати в будь-який час, наприклад, Starknet. Для рівня 2 наведені вище умови необхідні для того, щоб гарантувати, що він «такий же безпечний, як і ETH». Звичайно, на додачу до цього, майже всі партнери L2 проекту наразі залишили для себе «чорний хід». Вони покладаються на набір кількох підписів для керування кодом контракту L2 на Ethereum і можуть змінити хеш статусу в будь-який час. Це теж величезна прихована небезпека.

Для кращого відокремлення та визначення Rollup Віталік та інші розділили Rollup на 3 рівні, а саме Етап 0, Етап 1 та Етап 2, в залежності від того, наскільки проект Rollup покладається на допоміжне колесо/ручне втручання. Пізніше L2beat переглянула цю класифікаційну схему, звернувшись до спільноти за коментарями. Це можна приблизно узагальнити наступним чином:

Етап 0 — Повністю покладаючись на допоміжні колеса, мінімальні стандарти, яким повинен відповідати rollup:

· Проект стверджує, що це Rollup.

·Транзакції, оброблені Rollup, повинні бути «on-chain» (дані, що стосуються процесу переходу стану L2, повинні бути розкриті L1, а також повинен бути розкритий хеш стану L2 Stateroot;)

·Потрібно створити партію вузлів rollup з відкритими дозволами та відкритим вихідним кодом, щоб допомогти користувачам дізнатися стан всіх облікових записів на Рівні 2 (включаючи баланс, кількість транзакцій тощо).

Тільки проекти рівня 2, які відповідають усім вищезазначеним умовам, будуть позначені як етап 0 з боку L2beat, тобто вони відповідають мінімальним стандартам для rollup; в іншому випадку їх не буде розглянуто як rollup (наприклад, Arbitrum Nova).

Етап 1, який ґрунтується частково на rollup на допоміжному колесі, має наступні характеристики:

·Повинна бути запущена система підтвердження дійсності/пошук шахрайства, щоб забезпечити ефективність переходів у стан L2;

·Якщо це оптимістичний Rollup, повинно бути принаймні 5 неофіційно контрольованих вузлів L2, які можуть видавати докази шахрайства (біллист челленджера включає принаймні 5 сутностей, окрім офіційного Rollup).

Наприклад, на листі чеків викликача Arbitrum One на листопад 2022 року знаходяться 9 сутностей: Consensys, Ethereum Foundation, L2BEAT, Mycelium, Offchain Labs, P2P, Quicknode, DLRC та Unit410.

· У будь-який час користувачі можуть обійти послідовника Послідовник (Оператор) та примусово зняти активи з L2 на L1, щоб забезпечити, що активи не будуть заморожені; якщо послідовник запускає атаки цензури та відмовляється обробляти певні транзакції, користувачі можуть примусово надсилати транзакції до послідовності транзакцій L1 Rollup. Крім розміщення неправильного Stateroot, послідовник не міг знайти жодного іншого способу злочинності.

·Rollup може створити комітет з безпеки, керований набором мультипідписів, та мати можливість примусового оновлення контракту Rollup у випадку надзвичайної ситуації або втручання у хеш статусу L2, записаний у контракті. Однак приватні ключі мультипідписів комісії повинні бути достатньо розсіяні, а поріг повинен бути достатньо високим. Сам Віталік вважає, що ця величина повинна бути не менше 6/8, тобто керування мультипідписами здійснюється більш ніж 8 людьми, а ефективний поріг становить 75%.

Оновлення контракту rollup, яке не було схвалено кількома підписами Комісією, підлягає затримці часової блокировки принаймні на 7 днів. Таким чином, якщо Rollup стикається зі злоякісним пропозицією оновлення, таким як напад на управління (див. інцидент нападу на управління Tornado Cash), користувачам може бути надано принаймні 7 днів для безпечного зняття коштів.

Наразі лише Arbitrum One, dYdX та zkSync Lite відповідають вимогам Етапу 1; всі інші основні Rollups залишаються на Етапі 0.

Етап 2 — Повністю відмовитися від додаткового колеса і стати повноцінним роллапом:

Вузли L2 в оптимістичній мережі Rollup, які можуть публікувати свідоцтва про шахрайство, мають бути бездозвільними та видаляти налаштування білого списку (у відповідь на це, Arbitrum One нещодавно ввів угоду, яку називають BOLD);

·Усі оновлення контрактів роллапу обмежені часовим затримкою від 30 днів або контракт не може бути оновлений взагалі. Це означає, що в разі зловживання оновленням роллапу користувачі L2 мають принаймні 30 днів для безпечного зняття коштів.

Для кращого розуміння показників оцінки ризику, перерахованих L2BEAT, ми можемо вибрати три приклади Rollup з різними рівнями безпеки для аналізу.

Stage0-Base, Stage1-Arbitrum One, Stage2-Fuel:

База є одним із провідних проектів Оптимістичного обгортання рулону. Вона покладається на контракти на рівні L1 для запису статусу хеша Stateroot на рівні L2, обробки коштів в L2 та виведення їх з L2, використовуючи Ethereum для досягнення доступності даних (DA), і має мостовий зв'язок з L1.

Базовий послідовник повинен розкрити дані транзакцій L2 для L1. Зокрема, кожні кілька хвилин послідовник запускає транзакцію на вказану адресу на Ethereum та записує партію стислих даних транзакцій у додаткові дані Calldata Transcation. Оскільки всі вузли L2 автоматично синхронізують блок L1, вони можуть відстежувати транзакцію, випущену послідовником, аналізувати дані транзакцій L2 в його Calldata, а потім отримувати останній статус послідовника L2, обчислювати правильний хеш статусу, Stateroot, та порівнювати його з Stateroot, надісланим сортувальником L1.

Наразі у Base відсутня система онлайн-сертифікації шахрайства, тому немає гарантії, що L2 Stateroot, записаний у договорі L1, є правильним, але користувачі, які можуть виконувати всі вузли L2, можуть вчасно виявити помилку; крім того, у Base немає плану опиратися на атаки цензури, такі як примусові виведення. Якщо послідовник буде вимкнено на довгий час або спеціально відхилить запити користувачів, користувачі L2 не зможуть безпечно вивести кошти на L1, що становить величезний ризик безпеки.

Очевидно, що цей вид rollup небезпечний на рівні конструювання механізмів, але користувачі та члени спільноти L2 можуть видаляти попередження через соціальні медіа, коли це необхідно, щоб регулятори, такі як Фонд Ефіріуму та навіть SEC, були обізнані з виникненням небезпеки. Це так званий "соціальний консенсус", тобто шляхом високого рівня прозорості даних та добровільного нагляду членів спільноти, щоб стримувати порушення партнерів проектів L2 через "ферментацію громадської думки" та "ручне втручання" та наступну "правову відповідальність". Це найнижчий рівень гарантії безпеки, оскільки він не може зупинити зло наперед, а лише після вчинення порушення.

Проте насправді «соціальна згода» є також основною умовою для забезпечення блокчейну (якщо хтось намагається зловживати форком Ethereum, спільнота Ethereum також використовуватиме соціальну згоду для визначення того, який форк-ланцюжок слідувати), і оскільки зловмисники враховують наслідки викриття своїх дій, вони, як правило, не осмілюються приймати ризики (з винятком бірж FTX, ZT і Mentougou, ін.).

Коли ми змінюємо об'єкт інспекції на Arbitrum One, ми можемо відразу побачити різницю між ним та Base. Наприклад, він запустив систему корисного обману та створив білий список викликачів. Він включає вузли, що працюють дев'ятьма різними сутностями, включаючи Ethereum Foundation та L2beat. Поки секвенсор публікує помилковий статусний хеш Stateroot на L1, викликач-вузол опублікує сертифікат шахрайства, який може забезпечити правильність L2 Stateroot, записаних у Rollup контракті;

У той же час у Arbitrum One є обов'язковий механізм транзакцій для боротьби з атаками на цензуру послідовників, який дозволяє користувачам викликати функцію Force Inclusion контракту Sequencer Inbox на L1, щоб надсилати інструкції з транзакцій безпосередньо на L1; якщо послідовник не обробляє цю транзакцію/вивід коштів, яка потребує «обов'язкового включення», протягом 24 годин, то транзакційний/вивідний наказ буде безпосередньо включений в послідовність транзакцій Rollup, що створює «безпечний вихід» для користувачів з примусових виведень з L2.

Тут слід підкреслити, що в проекті rollup Stage 1 користувачі можуть змусити виведення через вказану функцію в контракті Rollup, якщо вони знають загальний стан облікового запису L2 і складають доказ Меркла, відповідний до балансу свого облікового запису (цю функцію загалом називають Escape Hetch в капсулі втечі). Щодо того, як знати статус облікового запису L2, це залежить від того, чи є всі вузли в мережі Rollup, які відкривають дані на зовнішній світ (майже всі L2 мають такі вузли).

Крім того, поведінка оновлення контракту Arbitrum One обмежена різними факторами. Наприклад, звичайна пропозиція щодо оновлення контракту повинна спочатку пройти голосування, яке контролюється управлінням на ланцюжку. Після того, як поріг голосування буде перейдений, вона також підлягає часовому блокуванню (затримка в 12 днів) перед автоматичним виконанням. Якщо пропозиція щодо оновлення контракту містить зловмисний кодову логіку, вона може бути відхилена Комітетом з безпеки (виконується через кілька підписів).

Однак Сталевий Комітет Arbitrum One може перетнути часовий замок сам по собі. Наприклад, якщо на 9/12 передається більше одного підпису, Комісія з безпеки може негайно оновити код контракту або примусово змінити L2 Stateroot, записаний в контракті Rollup.

Щодо того, чому Рада безпеки має так багато влади, Віталік колись пояснив:

“Деякі rollups можуть використовувати кілька незалежних функцій переходу до стану, таких як два шахрайських видавці сертифікатів з різними поглядами або кілька вузлів доведення, що подають різні докази валідності або послідовник, який намагається розгалужити обліковий запис L2 на L1, або доказ про валідність не подається на ланцюжок протягом 7 днів, все це може призвести до повного збою системи L2. Комітет з безпеки може приймати рішення в цій небезпечній ситуації, використовуючи ручне втручання, щоб провести систему до правильних результатів.”

Звичайно, Віталік перерахував лише кілька простих "небезпечних ситуацій." Беручи до уваги, що контракт Rollup може бути взламаний, а секвенсер може бути взламаний (або не досвідчений) у будь-який момент, термінові протиборчі заходи, очевидно, необхідні.

За словами Віталіка, якщо це повний Rollup, контракт можна оновити, але він повинен мати затримку часу блокування більше 30 днів, щоб надати користувачам та членам спільноти достатньо часу для реагування.

Очевидно, оскільки комітет з безпеки Arbitrum може оновлювати контракти безпосередньо після схвалення кількох підписів, якщо нова версія коду містить зловмисну бізнес-логіку, теоретично вона може забрати активи користувачів L2. Таким чином, Arbitrum One не відповідає визначенню ідеального роллапа Віталіка; просто рівень ризику відносно низький.

Коли ми розглядали «ідеальний ролап», лише два проекти на L2BEAT відповідали критеріям: Fuel V1 і DeGate. Серед них Fuel V1 є оптимістичним ролапом першої онлайн-системи доказу шахрайства. Його подання сертифікату шахрайства є бездозвільним, і кожен може запустити вузол та публікувати сертифікати шахрайства за необхідності. У той же час контракт Fuel V1 записаний і не може бути оновлений зовсім, і Комісія не може втручатися в L2 Stateroot, записаний в контракт ролапу, тому немає так званого ризику комісії безпеки.

Fuel V1 досягла найнижчого рівня ризику, але кожного разу, коли вона оновлюється та ітерується, контракти повинні бути перевстановлені, а користувачам потрібно вручну мігрувати активи на нову версію. По суті, новий проект був перероблений. Результатом є фрагментація ліквідності, що значно знижує гнучкість. Через різноманітні причини, такі як використання UTXO та несумісність з EVM у програмній моделі, а також засновник пізніше переходить до команди Celestia, розвиток Fuel поступово застоюється, а екологічна конструкція не задовольняє.

У цілому, вартість досягнення абсолютної безпеки - це незручність оновлень та ітерацій. У той час, коли технологія доведення шахрайства та доведення валідності ще не є ідеальними, збереження певного рівня можливості оновлення контракту, напевно, є функцією, яку повинен мати RollUp.

Ще досить довго ми можемо передбачити наступну ситуацію: більшість роллапів не відмовляться від численних підписів комітету з безпеки, а контракт L2 буде «негайно оновлюватися» протягом тривалого періоду часу (якийсь проект ZK Rollup ніколи не відмовлявся від багаторазового підписання комітетом з безпеки, а потім просто повернув голову до нового проекту). Через складність розробки системи захисту від шахрайства більшість оптимістичних роллапів, які не є лідерами, можуть бути не в змозі запустити докази шахрайства в короткостроковій перспективі (ймовірно, не до кінця 2023 року), і Arbitrum One ще довго займатиме лідируючі позиції на схемі Rollup. Незважаючи на те, що він ще не має найвищого рівня безпеки, він має відносно повну систему захисту від шахрайства, а численні підписи комітету з безпеки досить розкидані (9/12 множинних підписів, розподілених між 12 членами спільноти, включаючи учасників проекту ARB), а також має найбільшу екосистему dApp — володіння Понад 440 додатків. Однак, чи зможе Base, яка має поганий рівень безпеки і більше покладається на маркетинг, продовжити темпи зростання останніх кількох місяців, ще належить перевірити. Якщо Base зможе перевершити Arbitrum One за обсягом TVL, це може призвести до краху самої віри в «недовіру».

Звичайно, найважливіше, нам завжди будуть потрібні агентства з рейтингу ризику, такі як L2BEAT. У цю бурхливу та хаотичну епоху набір чітких та комплексних показників ризику завжди буде ключовим для забезпечення процвітання розвитку системи Ethereum та Web3 в цілому.

Disclaimer：

1. Ця стаття перепублікована з [ середній]. Усі авторські права належать оригінальному автору [Faust, веб3 гік]. Якщо є зауваження до цього перепублікування, будь ласка, зв'яжіться з командою Gate Learn（gatelearn@gate.io), і вони негайно з цим впораються.
2. Відповідальність за відмову: Погляди та думки, висловлені в цій статті, є виключно тими автора і не становлять жодної інвестиційної консультації.
3. Переклади статей на інші мови виконуються командою Gate Learn. Якщо не зазначено інше, копіювання, поширення або плагіатування перекладених статей заборонено.