Editor’s Note: The ongoing discussion about the three phases of Ethereum rollup security has always been a focal point for the Ethereum ecosystem community. This is not only related to the operational stability of the Ethereum mainnet and L2 networks but also concerns the actual development status of L2 networks. Recently, Ethereum community member Daniel Wang proposed the naming tag #BattleTested for L2 network Stage 2 on platform X, believing that only L2 networks with current code and configuration running on the Ethereum mainnet for more than 6 months, maintaining a total value locked (TVL) exceeding 100 million dollars, and with at least 50 million dollars in ETH and major stablecoins can earn this title. Additionally, this title will be dynamically evaluated to avoid the emergence of "on-chain phantoms." Ethereum co-founder Vitalik subsequently provided a detailed explanation and shared his views on the issue, which are compiled below by Odaily Planet Daily.
3 Tahap Jaringan L2: Dari 0 ke 1 kemudian ke 2, keamanan ditentukan oleh bagian pemerintahan
Tiga tahap keamanan rollup Ethereum dapat ditentukan berdasarkan kapan dewan keamanan dapat menutupi komponen tanpa kepercayaan (yaitu, murni kriptografi atau teori permainan):
Tahap 0: Dewan Keamanan memiliki kontrol penuh. Mungkin ada sistem bukti yang berjalan (Optimism atau mode ZK), tetapi Dewan Keamanan dapat membatalkan sistem tersebut melalui mekanisme suara mayoritas sederhana. Oleh karena itu, sistem bukti hanya bersifat "nasihat".
Tahap 1: Komite Keamanan memerlukan persetujuan 75% (setidaknya 6/8) untuk menutupi sistem operasi. Harus ada kuorum untuk mencegah subset (seperti ≥ 3) di luar organisasi utama. Oleh karena itu, kontrol terhadap sistem bukti relatif sulit, tetapi tidak mustahil.
Tahap 2: Komite Keamanan hanya dapat bertindak dalam kasus kesalahan yang dapat dibuktikan. Misalnya, kesalahan yang dapat dibuktikan mungkin adalah dua sistem bukti redundan (misalnya OP dan ZK) yang saling bertentangan. Jika ada kesalahan yang dapat dibuktikan, ia hanya dapat memilih salah satu jawaban yang diajukan: ia tidak dapat memberikan respons sembarangan terhadap suatu mekanisme.
Kita dapat menggunakan grafik di bawah ini untuk menunjukkan "porsi suara" yang dimiliki oleh komite keamanan pada berbagai tahap:
Struktur pemungutan suara tata kelola tiga tahap
Sebuah pertanyaan penting adalah: Kapan waktu optimal bagi jaringan L2 untuk beralih dari tahap 0 ke tahap 1, dan dari tahap 1 ke tahap 2?
Satu-satunya alasan yang sah untuk tidak segera pergi ke Fase 2 adalah karena Anda tidak dapat sepenuhnya mempercayai sistem proof-of-proof – kekhawatiran yang dapat dimengerti: sistem terdiri dari banyak kode, dan jika kode tersebut rentan, maka penyerang dapat mencuri semua aset pengguna. Semakin banyak kepercayaan yang Anda miliki dalam sistem pengesahan (atau, sebaliknya, semakin sedikit kepercayaan yang Anda miliki pada komite keamanan), semakin Anda ingin mendorong seluruh ekosistem jaringan ke tahap berikutnya.
Sebenarnya, kita bisa menggunakan model matematika yang disederhanakan untuk mengkuantifikasi hal ini. Pertama, mari kita daftar asumsi:
Setiap anggota komite keamanan memiliki kemungkinan 10% untuk "kegagalan tunggal";
Kami menganggap kegagalan aktivitas (menolak untuk menandatangani kontrak atau kunci tidak tersedia) dan kegagalan keamanan (menandatangani hal yang salah atau kunci diretas) sebagai hal yang mungkin terjadi dengan tingkat yang sama. Secara praktis, kami hanya mengasumsikan satu kategori "kegagalan", di mana anggota dewan keamanan "kegagalan" telah menandatangani hal yang salah dan juga gagal menandatangani hal yang benar.
Pada tahap 0, standar penilaian dewan keamanan adalah 4/7, pada tahap 1 adalah 6/8;
Kita mengasumsikan adanya satu sistem bukti keseluruhan (berlawanan dengan mekanisme desain 2/3, di mana komite keamanan dapat memecahkan kebuntuan ketika ada pertentangan pendapat). Oleh karena itu, pada tahap 2, keberadaan komite keamanan sama sekali tidak relevan.
Dalam asumsi ini, dengan mempertimbangkan probabilitas tertentu dari keruntuhan sistem bukti, kami berharap untuk meminimalkan kemungkinan keruntuhan jaringan L2.
Kita dapat menggunakan distribusi binomial untuk menyelesaikan pekerjaan ini:
Jika setiap anggota Dewan Keamanan memiliki peluang gagal independen sebesar 10%, maka probabilitas setidaknya 4 dari 7 gagal adalah ∑𝑖= 47( 7 𝑖)∗ 0.1 𝑖∗ 0.97 −𝑖= 0.002728 Oleh karena itu, sistem integrasi tahap 0 memiliki probabilitas kegagalan tetap sebesar 0.2728%.
Integrasi tahap 1 juga mungkin gagal, jika sistem pembuktian gagal dan mekanisme verifikasi dewan keamanan mengalami ≥ 3 kegagalan, tidak dapat dilakukan penutupan perhitungan jaringan (probabilitas ∑𝑖= 38( 8 𝑖)∗ 0.1 𝑖∗ 0.98 −𝑖= 0.03809179 dikalikan dengan tingkat kegagalan sistem pembuktian), atau jika dewan keamanan mengalami 6 atau lebih kegagalan, dapat secara paksa menghasilkan jawaban perhitungan yang salah (konstan ∑𝑖= 68( 8 𝑖)∗ 0.1 𝑖∗ 0.98 −𝑖= 0.00002341 probabilitas);
Probabilitas kegagalan penggabungan tahap 2 konsisten dengan probabilitas kegagalan sistem pembuktian.
Ini disajikan dalam bentuk grafik:
Probabilitas kegagalan sistem bukti pada berbagai tahap jaringan L2
Seperti yang diperkirakan di atas, seiring dengan peningkatan kualitas sistem pembuktian, tahap terbaik berpindah dari tahap 0 ke tahap 1, kemudian dari tahap 1 ke tahap 2. Menggunakan sistem pembuktian dengan kualitas tahap 0 untuk operasi jaringan tahap 2 adalah hasil terburuk.
Sekarang, harap diperhatikan bahwa asumsi dalam model yang disederhanakan di atas tidak sempurna:
Dalam praktiknya, anggota dewan keamanan tidak sepenuhnya independen, (mereka mungkin) memiliki "modus kegagalan bersama": mereka mungkin berkolusi satu sama lain, atau semuanya mungkin berada di bawah tekanan atau serangan peretas yang sama, dan sebagainya. Memiliki jumlah minimal di luar organisasi utama untuk mencegah subset adalah untuk menghindari hal ini, tetapi tetap tidak sempurna.
Sistem bukti itu sendiri mungkin terdiri dari beberapa sistem independen yang digabungkan (saya telah menganjurkan ini di blog saya sebelumnya). Dalam kasus ini, (i) probabilitas sistem bukti mengalami kegagalan sangat rendah, dan (ii) bahkan pada tahap 2, dewan keamanan juga sangat penting, karena itu adalah kunci untuk menyelesaikan sengketa.
Kedua argumen ini menunjukkan bahwa Tahap 1 dan Tahap 2 lebih menarik dibandingkan dengan yang ditunjukkan dalam grafik.
Jika Anda percaya pada matematika, maka keberadaan fase 1 hampir tidak akan pernah terbukti masuk akal: Anda harus langsung masuk ke fase 1. Salah satu keberatan utama yang saya dengar adalah: jika terjadi kesalahan kunci, mungkin akan sulit untuk dengan cepat mendapatkan tanda tangan 6 dari 8 anggota komite keamanan untuk memperbaikinya. Namun ada solusi sederhana: memberikan wewenang kepada salah satu anggota komite keamanan untuk menunda penarikan 1 hingga 2 minggu, memberikan waktu yang cukup bagi yang lain untuk mengambil tindakan (perbaikan).
Pada saat yang sama, melompat ke tahap 2 terlalu dini juga salah, terutama jika pekerjaan untuk transisi ke tahap 2 dilakukan dengan mengorbankan upaya untuk memperkuat sistem bukti dasar. Idealnya, penyedia data seperti L2Beat harus menunjukkan audit sistem bukti dan indikator kematangan (sebaiknya indikator implementasi sistem bukti daripada indikator keseluruhan ringkasan, sehingga kita dapat menggunakan kembali), dan menyertakan tampilan tahap.
Konten ini hanya untuk referensi, bukan ajakan atau tawaran. Tidak ada nasihat investasi, pajak, atau hukum yang diberikan. Lihat Penafian untuk pengungkapan risiko lebih lanjut.
Vitalik Artikel Baru: Diskusi Singkat tentang Prinsip Matematika dalam Pembagian Tahap L2 yang Rasional
Tulisan oleh: Vitalik Buterin
Kompilasi: Wenser, Odaily Star Daily
Editor’s Note: The ongoing discussion about the three phases of Ethereum rollup security has always been a focal point for the Ethereum ecosystem community. This is not only related to the operational stability of the Ethereum mainnet and L2 networks but also concerns the actual development status of L2 networks. Recently, Ethereum community member Daniel Wang proposed the naming tag #BattleTested for L2 network Stage 2 on platform X, believing that only L2 networks with current code and configuration running on the Ethereum mainnet for more than 6 months, maintaining a total value locked (TVL) exceeding 100 million dollars, and with at least 50 million dollars in ETH and major stablecoins can earn this title. Additionally, this title will be dynamically evaluated to avoid the emergence of "on-chain phantoms." Ethereum co-founder Vitalik subsequently provided a detailed explanation and shared his views on the issue, which are compiled below by Odaily Planet Daily.
3 Tahap Jaringan L2: Dari 0 ke 1 kemudian ke 2, keamanan ditentukan oleh bagian pemerintahan
Tiga tahap keamanan rollup Ethereum dapat ditentukan berdasarkan kapan dewan keamanan dapat menutupi komponen tanpa kepercayaan (yaitu, murni kriptografi atau teori permainan):
Tahap 0: Dewan Keamanan memiliki kontrol penuh. Mungkin ada sistem bukti yang berjalan (Optimism atau mode ZK), tetapi Dewan Keamanan dapat membatalkan sistem tersebut melalui mekanisme suara mayoritas sederhana. Oleh karena itu, sistem bukti hanya bersifat "nasihat".
Tahap 1: Komite Keamanan memerlukan persetujuan 75% (setidaknya 6/8) untuk menutupi sistem operasi. Harus ada kuorum untuk mencegah subset (seperti ≥ 3) di luar organisasi utama. Oleh karena itu, kontrol terhadap sistem bukti relatif sulit, tetapi tidak mustahil.
Tahap 2: Komite Keamanan hanya dapat bertindak dalam kasus kesalahan yang dapat dibuktikan. Misalnya, kesalahan yang dapat dibuktikan mungkin adalah dua sistem bukti redundan (misalnya OP dan ZK) yang saling bertentangan. Jika ada kesalahan yang dapat dibuktikan, ia hanya dapat memilih salah satu jawaban yang diajukan: ia tidak dapat memberikan respons sembarangan terhadap suatu mekanisme.
Kita dapat menggunakan grafik di bawah ini untuk menunjukkan "porsi suara" yang dimiliki oleh komite keamanan pada berbagai tahap:
Struktur pemungutan suara tata kelola tiga tahap
Sebuah pertanyaan penting adalah: Kapan waktu optimal bagi jaringan L2 untuk beralih dari tahap 0 ke tahap 1, dan dari tahap 1 ke tahap 2?
Satu-satunya alasan yang sah untuk tidak segera pergi ke Fase 2 adalah karena Anda tidak dapat sepenuhnya mempercayai sistem proof-of-proof – kekhawatiran yang dapat dimengerti: sistem terdiri dari banyak kode, dan jika kode tersebut rentan, maka penyerang dapat mencuri semua aset pengguna. Semakin banyak kepercayaan yang Anda miliki dalam sistem pengesahan (atau, sebaliknya, semakin sedikit kepercayaan yang Anda miliki pada komite keamanan), semakin Anda ingin mendorong seluruh ekosistem jaringan ke tahap berikutnya.
Sebenarnya, kita bisa menggunakan model matematika yang disederhanakan untuk mengkuantifikasi hal ini. Pertama, mari kita daftar asumsi:
Setiap anggota komite keamanan memiliki kemungkinan 10% untuk "kegagalan tunggal";
Kami menganggap kegagalan aktivitas (menolak untuk menandatangani kontrak atau kunci tidak tersedia) dan kegagalan keamanan (menandatangani hal yang salah atau kunci diretas) sebagai hal yang mungkin terjadi dengan tingkat yang sama. Secara praktis, kami hanya mengasumsikan satu kategori "kegagalan", di mana anggota dewan keamanan "kegagalan" telah menandatangani hal yang salah dan juga gagal menandatangani hal yang benar.
Pada tahap 0, standar penilaian dewan keamanan adalah 4/7, pada tahap 1 adalah 6/8;
Kita mengasumsikan adanya satu sistem bukti keseluruhan (berlawanan dengan mekanisme desain 2/3, di mana komite keamanan dapat memecahkan kebuntuan ketika ada pertentangan pendapat). Oleh karena itu, pada tahap 2, keberadaan komite keamanan sama sekali tidak relevan.
Dalam asumsi ini, dengan mempertimbangkan probabilitas tertentu dari keruntuhan sistem bukti, kami berharap untuk meminimalkan kemungkinan keruntuhan jaringan L2.
Kita dapat menggunakan distribusi binomial untuk menyelesaikan pekerjaan ini:
Jika setiap anggota Dewan Keamanan memiliki peluang gagal independen sebesar 10%, maka probabilitas setidaknya 4 dari 7 gagal adalah ∑𝑖= 47( 7 𝑖)∗ 0.1 𝑖∗ 0.97 −𝑖= 0.002728 Oleh karena itu, sistem integrasi tahap 0 memiliki probabilitas kegagalan tetap sebesar 0.2728%.
Integrasi tahap 1 juga mungkin gagal, jika sistem pembuktian gagal dan mekanisme verifikasi dewan keamanan mengalami ≥ 3 kegagalan, tidak dapat dilakukan penutupan perhitungan jaringan (probabilitas ∑𝑖= 38( 8 𝑖)∗ 0.1 𝑖∗ 0.98 −𝑖= 0.03809179 dikalikan dengan tingkat kegagalan sistem pembuktian), atau jika dewan keamanan mengalami 6 atau lebih kegagalan, dapat secara paksa menghasilkan jawaban perhitungan yang salah (konstan ∑𝑖= 68( 8 𝑖)∗ 0.1 𝑖∗ 0.98 −𝑖= 0.00002341 probabilitas);
Probabilitas kegagalan penggabungan tahap 2 konsisten dengan probabilitas kegagalan sistem pembuktian.
Ini disajikan dalam bentuk grafik:
Probabilitas kegagalan sistem bukti pada berbagai tahap jaringan L2
Seperti yang diperkirakan di atas, seiring dengan peningkatan kualitas sistem pembuktian, tahap terbaik berpindah dari tahap 0 ke tahap 1, kemudian dari tahap 1 ke tahap 2. Menggunakan sistem pembuktian dengan kualitas tahap 0 untuk operasi jaringan tahap 2 adalah hasil terburuk.
Sekarang, harap diperhatikan bahwa asumsi dalam model yang disederhanakan di atas tidak sempurna:
Dalam praktiknya, anggota dewan keamanan tidak sepenuhnya independen, (mereka mungkin) memiliki "modus kegagalan bersama": mereka mungkin berkolusi satu sama lain, atau semuanya mungkin berada di bawah tekanan atau serangan peretas yang sama, dan sebagainya. Memiliki jumlah minimal di luar organisasi utama untuk mencegah subset adalah untuk menghindari hal ini, tetapi tetap tidak sempurna.
Sistem bukti itu sendiri mungkin terdiri dari beberapa sistem independen yang digabungkan (saya telah menganjurkan ini di blog saya sebelumnya). Dalam kasus ini, (i) probabilitas sistem bukti mengalami kegagalan sangat rendah, dan (ii) bahkan pada tahap 2, dewan keamanan juga sangat penting, karena itu adalah kunci untuk menyelesaikan sengketa.
Kedua argumen ini menunjukkan bahwa Tahap 1 dan Tahap 2 lebih menarik dibandingkan dengan yang ditunjukkan dalam grafik.
Jika Anda percaya pada matematika, maka keberadaan fase 1 hampir tidak akan pernah terbukti masuk akal: Anda harus langsung masuk ke fase 1. Salah satu keberatan utama yang saya dengar adalah: jika terjadi kesalahan kunci, mungkin akan sulit untuk dengan cepat mendapatkan tanda tangan 6 dari 8 anggota komite keamanan untuk memperbaikinya. Namun ada solusi sederhana: memberikan wewenang kepada salah satu anggota komite keamanan untuk menunda penarikan 1 hingga 2 minggu, memberikan waktu yang cukup bagi yang lain untuk mengambil tindakan (perbaikan).
Pada saat yang sama, melompat ke tahap 2 terlalu dini juga salah, terutama jika pekerjaan untuk transisi ke tahap 2 dilakukan dengan mengorbankan upaya untuk memperkuat sistem bukti dasar. Idealnya, penyedia data seperti L2Beat harus menunjukkan audit sistem bukti dan indikator kematangan (sebaiknya indikator implementasi sistem bukti daripada indikator keseluruhan ringkasan, sehingga kita dapat menggunakan kembali), dan menyertakan tampilan tahap.