Chú thích của biên tập viên: Từ trước đến nay, cuộc thảo luận về ba giai đoạn an ninh của Ethereum rollup luôn là điểm quan tâm của cộng đồng sinh thái Ethereum, điều này không chỉ liên quan đến sự ổn định hoạt động của mạng chính Ethereum và mạng L2, mà còn liên quan đến tình trạng phát triển thực tế của mạng L2. Gần đây, thành viên cộng đồng Ethereum Daniel Wang đã đề xuất nhãn tên giai đoạn 2 của mạng L2 trên nền tảng X với tên gọi #BattleTested, cho rằng chỉ có mạng L2 nào mà mã và cấu hình hiện tại đã được đưa vào mạng chính Ethereum hơn 6 tháng, và luôn duy trì giá trị tổng khoá hơn 100 triệu đô la (TVL) trong đó ít nhất có 50 triệu đô la ETH và các stablecoin chính, thì mới có thể nhận được danh hiệu này, và danh hiệu này sẽ được đánh giá động để tránh việc tạo ra "ma quái trên chuỗi". Đồng sáng lập Ethereum Vitalik sau đó đã đưa ra giải đáp chi tiết và chia sẻ quan điểm về vấn đề này, Odaily 星球日报 đã biên dịch như sau.
3 giai đoạn của mạng L2: từ 0 đến 1 rồi đến 2, độ an toàn được quyết định bởi tỷ lệ quản trị.
Ba giai đoạn an toàn của Ethereum rollup có thể được xác định dựa trên thời điểm hội đồng an toàn có thể bao trùm các thành phần không tin cậy (tức là thuần túy mã hóa hoặc lý thuyết trò chơi):
Giai đoạn 0: Ủy ban an ninh có quyền kiểm soát hoàn toàn. Có thể có một hệ thống chứng minh đang hoạt động (chế độ Optimism hoặc ZK), nhưng ủy ban an ninh có thể lật ngược nó thông qua cơ chế bỏ phiếu đơn giản với đa số. Do đó, hệ thống chứng minh chỉ có tính chất "tư vấn".
Giai đoạn 1: Ủy ban an ninh cần 75% (ít nhất 6/8) sự chấp thuận để có thể phủ quyết hệ thống đang hoạt động. Phải có một số lượng tối thiểu để ngăn chặn một tập hợp con (như ≥ 3) bên ngoài tổ chức chính. Do đó, việc kiểm soát hệ thống chứng minh là tương đối khó khăn, nhưng không phải là không thể vượt qua.
Giai đoạn 2: Ủy ban an ninh chỉ có thể hành động trong các trường hợp có lỗi có thể chứng minh. Ví dụ, lỗi có thể chứng minh có thể là hai hệ thống chứng thực dự phòng (ví dụ OP và ZK) mâu thuẫn với nhau. Nếu có lỗi có thể chứng minh, nó chỉ có thể chọn một trong các câu trả lời được đề xuất: nó không thể phản hồi tùy ý với một cơ chế nào đó.
Chúng ta có thể sử dụng biểu đồ dưới đây để biểu thị "tỷ lệ bỏ phiếu" mà Ủy ban An ninh có ở các giai đoạn khác nhau:
Cấu trúc bỏ phiếu quản trị ba giai đoạn
Một câu hỏi quan trọng là: Thời điểm tối ưu để mạng L2 chuyển từ giai đoạn 0 sang giai đoạn 1, cũng như từ giai đoạn 1 phát triển lên giai đoạn 2 là gì?
Lý do duy nhất để không ngay lập tức bước vào giai đoạn 2 là bạn không thể hoàn toàn tin tưởng vào hệ thống chứng minh - đây là một lo ngại có thể hiểu được: hệ thống được cấu thành từ một đống mã, và nếu mã có lỗ hổng, thì kẻ tấn công có thể đánh cắp tài sản của tất cả người dùng. Niềm tin của bạn vào hệ thống chứng minh càng mạnh (hoặc ngược lại, niềm tin của bạn vào hội đồng an ninh càng yếu), bạn càng muốn thúc đẩy toàn bộ hệ sinh thái mạng tiến đến giai đoạn tiếp theo.
Trên thực tế, chúng ta có thể định lượng điều này bằng một mô hình toán học đơn giản. Đầu tiên, hãy liệt kê các giả thuyết:
Mỗi thành viên của ủy ban an ninh có khả năng "sự cố riêng lẻ" là 10%;
Chúng tôi coi sự cố hoạt động (từ chối ký hợp đồng hoặc khóa không khả dụng) và sự cố an ninh (ký vào vấn đề sai hoặc khóa bị hack) là những vấn đề có khả năng xảy ra như nhau. Trên thực tế, chúng tôi chỉ giả định một loại "thất bại", trong đó thành viên hội đồng an ninh "thất bại" vừa ký vào vấn đề sai, vừa không ký vào các vấn đề đúng.
Tại giai đoạn 0, tiêu chí đánh giá của ủy ban an toàn là 4/7, còn tại giai đoạn 1 là 6/8;
Chúng ta giả định có một hệ thống chứng minh toàn diện duy nhất (so với cơ chế thiết kế 2/3, ủy ban an ninh có thể phá vỡ bế tắc khi có sự mâu thuẫn giữa hai ý kiến). Do đó, trong giai đoạn 2, sự tồn tại của ủy ban an ninh hoàn toàn không quan trọng.
Dưới những giả định này, với xác suất cụ thể của việc hệ thống chứng minh bị sập, chúng tôi muốn tối thiểu hóa khả năng sập của mạng L2.
Chúng ta có thể sử dụng phân phối nhị thức để hoàn thành công việc này:
Nếu mỗi thành viên trong Hội đồng Bảo an có 10% cơ hội lỗi độc lập, thì xác suất có ít nhất 4 trong 7 thành viên bị lỗi là ∑𝑖= 47( 7 𝑖)∗ 0.1 𝑖∗ 0.97 −𝑖= 0.002728 Do đó, hệ thống tích hợp ở giai đoạn 0 có xác suất thất bại cố định là 0.2728%.
Sự tích hợp của giai đoạn 1 cũng có thể thất bại, nếu hệ thống chứng minh thất bại và cơ chế xác minh của ủy ban an ninh gặp ≥ 3 lần thất bại, không thể thực hiện tính toán mạng (xác suất ∑𝑖= 38( 8 𝑖)∗ 0.1 𝑖∗ 0.98 −𝑖= 0.03809179 nhân với tỷ lệ thất bại của hệ thống chứng minh), hoặc nếu ủy ban an ninh đã thất bại 6 lần hoặc nhiều hơn, có thể tự động ép buộc tạo ra một câu trả lời tính toán sai (cố định ∑𝑖= 68( 8 𝑖)∗ 0.1 𝑖∗ 0.98 −𝑖= 0.00002341 xác suất);
Xác suất thất bại của giai đoạn 2 là nhất quán với xác suất thất bại của hệ thống chứng minh.
Được trình bày dưới dạng biểu đồ:
Xác suất lỗi hệ thống chứng nhận ở các giai đoạn khác nhau của mạng L2
Như kết quả đã được suy đoán ở trên, với việc nâng cao chất lượng của hệ thống chứng minh, giai đoạn tối ưu chuyển từ giai đoạn 0 sang giai đoạn 1, sau đó từ giai đoạn 1 sang giai đoạn 2. Việc sử dụng hệ thống chứng minh với chất lượng giai đoạn 0 để vận hành mạng trong giai đoạn 2 là kết quả tồi tệ nhất.
Bây giờ, xin lưu ý rằng các giả định trong mô hình đơn giản hóa ở trên là không hoàn hảo:
Trong thực tế, các thành viên của ủy ban an ninh không hoàn toàn độc lập, (giữa họ có thể) tồn tại "sự cố mô hình chung": họ có thể thông đồng với nhau, hoặc đều bị sức ép hoặc tấn công bởi hacker như nhau, v.v. Yêu cầu có một số lượng tối thiểu bên ngoài tổ chức chính để ngăn chặn một tập hợp là nhằm tránh điều này xảy ra, nhưng vẫn không hoàn hảo.
Hệ thống chứng minh có thể được kết hợp từ nhiều hệ thống độc lập (tôi đã từng đề xuất điều này trong blog trước đây). Trong trường hợp này, (i) xác suất hệ thống chứng minh bị sập là rất thấp, và (ii) ngay cả ở giai đoạn 2, ủy ban an ninh cũng rất quan trọng, vì nó là chìa khóa để giải quyết tranh chấp.
Hai luận điểm này đều chỉ ra rằng, so với biểu đồ, Giai đoạn 1 và Giai đoạn 2 hấp dẫn hơn.
Nếu bạn tin vào toán học, thì sự tồn tại của giai đoạn 1 gần như sẽ không bao giờ được chứng minh là hợp lý: bạn nên trực tiếp bước vào giai đoạn 1. Ý kiến phản đối chính mà tôi nghe thấy là: nếu xảy ra một lỗi nghiêm trọng, có thể rất khó để nhanh chóng có được chữ ký của 6 trong số 8 thành viên của ủy ban an toàn để sửa chữa nó. Nhưng có một giải pháp đơn giản: cho phép bất kỳ thành viên nào của ủy ban an toàn quyền trì hoãn rút tiền từ 1 đến 2 tuần, để cho những người khác có đủ thời gian để thực hiện hành động (khắc phục).
Đồng thời, tuy nhiên, việc nhảy quá sớm vào giai đoạn 2 cũng là sai lầm, đặc biệt nếu công việc chuyển giao sang giai đoạn 2 phải đánh đổi để tăng cường công việc của hệ thống chứng minh cơ sở. Lý tưởng nhất là, các nhà cung cấp dữ liệu như L2Beat nên trình bày kiểm toán hệ thống chứng minh và các chỉ số trưởng thành (tốt nhất là các chỉ số thực hiện hệ thống chứng minh thay vì toàn bộ tổng hợp, để chúng ta có thể tái sử dụng), kèm theo việc trình bày giai đoạn.
Nội dung chỉ mang tính chất tham khảo, không phải là lời chào mời hay đề nghị. Không cung cấp tư vấn về đầu tư, thuế hoặc pháp lý. Xem Tuyên bố miễn trừ trách nhiệm để biết thêm thông tin về rủi ro.
Vitalik bài viết mới: Thảo luận về nguyên lý toán học để phân chia hợp lý giai đoạn L2
Tác giả: Vitalik Buterin
Biên dịch: Wenser, Odaily 星球日报
Chú thích của biên tập viên: Từ trước đến nay, cuộc thảo luận về ba giai đoạn an ninh của Ethereum rollup luôn là điểm quan tâm của cộng đồng sinh thái Ethereum, điều này không chỉ liên quan đến sự ổn định hoạt động của mạng chính Ethereum và mạng L2, mà còn liên quan đến tình trạng phát triển thực tế của mạng L2. Gần đây, thành viên cộng đồng Ethereum Daniel Wang đã đề xuất nhãn tên giai đoạn 2 của mạng L2 trên nền tảng X với tên gọi #BattleTested, cho rằng chỉ có mạng L2 nào mà mã và cấu hình hiện tại đã được đưa vào mạng chính Ethereum hơn 6 tháng, và luôn duy trì giá trị tổng khoá hơn 100 triệu đô la (TVL) trong đó ít nhất có 50 triệu đô la ETH và các stablecoin chính, thì mới có thể nhận được danh hiệu này, và danh hiệu này sẽ được đánh giá động để tránh việc tạo ra "ma quái trên chuỗi". Đồng sáng lập Ethereum Vitalik sau đó đã đưa ra giải đáp chi tiết và chia sẻ quan điểm về vấn đề này, Odaily 星球日报 đã biên dịch như sau.
3 giai đoạn của mạng L2: từ 0 đến 1 rồi đến 2, độ an toàn được quyết định bởi tỷ lệ quản trị.
Ba giai đoạn an toàn của Ethereum rollup có thể được xác định dựa trên thời điểm hội đồng an toàn có thể bao trùm các thành phần không tin cậy (tức là thuần túy mã hóa hoặc lý thuyết trò chơi):
Giai đoạn 0: Ủy ban an ninh có quyền kiểm soát hoàn toàn. Có thể có một hệ thống chứng minh đang hoạt động (chế độ Optimism hoặc ZK), nhưng ủy ban an ninh có thể lật ngược nó thông qua cơ chế bỏ phiếu đơn giản với đa số. Do đó, hệ thống chứng minh chỉ có tính chất "tư vấn".
Giai đoạn 1: Ủy ban an ninh cần 75% (ít nhất 6/8) sự chấp thuận để có thể phủ quyết hệ thống đang hoạt động. Phải có một số lượng tối thiểu để ngăn chặn một tập hợp con (như ≥ 3) bên ngoài tổ chức chính. Do đó, việc kiểm soát hệ thống chứng minh là tương đối khó khăn, nhưng không phải là không thể vượt qua.
Giai đoạn 2: Ủy ban an ninh chỉ có thể hành động trong các trường hợp có lỗi có thể chứng minh. Ví dụ, lỗi có thể chứng minh có thể là hai hệ thống chứng thực dự phòng (ví dụ OP và ZK) mâu thuẫn với nhau. Nếu có lỗi có thể chứng minh, nó chỉ có thể chọn một trong các câu trả lời được đề xuất: nó không thể phản hồi tùy ý với một cơ chế nào đó.
Chúng ta có thể sử dụng biểu đồ dưới đây để biểu thị "tỷ lệ bỏ phiếu" mà Ủy ban An ninh có ở các giai đoạn khác nhau:
Cấu trúc bỏ phiếu quản trị ba giai đoạn
Một câu hỏi quan trọng là: Thời điểm tối ưu để mạng L2 chuyển từ giai đoạn 0 sang giai đoạn 1, cũng như từ giai đoạn 1 phát triển lên giai đoạn 2 là gì?
Lý do duy nhất để không ngay lập tức bước vào giai đoạn 2 là bạn không thể hoàn toàn tin tưởng vào hệ thống chứng minh - đây là một lo ngại có thể hiểu được: hệ thống được cấu thành từ một đống mã, và nếu mã có lỗ hổng, thì kẻ tấn công có thể đánh cắp tài sản của tất cả người dùng. Niềm tin của bạn vào hệ thống chứng minh càng mạnh (hoặc ngược lại, niềm tin của bạn vào hội đồng an ninh càng yếu), bạn càng muốn thúc đẩy toàn bộ hệ sinh thái mạng tiến đến giai đoạn tiếp theo.
Trên thực tế, chúng ta có thể định lượng điều này bằng một mô hình toán học đơn giản. Đầu tiên, hãy liệt kê các giả thuyết:
Mỗi thành viên của ủy ban an ninh có khả năng "sự cố riêng lẻ" là 10%;
Chúng tôi coi sự cố hoạt động (từ chối ký hợp đồng hoặc khóa không khả dụng) và sự cố an ninh (ký vào vấn đề sai hoặc khóa bị hack) là những vấn đề có khả năng xảy ra như nhau. Trên thực tế, chúng tôi chỉ giả định một loại "thất bại", trong đó thành viên hội đồng an ninh "thất bại" vừa ký vào vấn đề sai, vừa không ký vào các vấn đề đúng.
Tại giai đoạn 0, tiêu chí đánh giá của ủy ban an toàn là 4/7, còn tại giai đoạn 1 là 6/8;
Chúng ta giả định có một hệ thống chứng minh toàn diện duy nhất (so với cơ chế thiết kế 2/3, ủy ban an ninh có thể phá vỡ bế tắc khi có sự mâu thuẫn giữa hai ý kiến). Do đó, trong giai đoạn 2, sự tồn tại của ủy ban an ninh hoàn toàn không quan trọng.
Dưới những giả định này, với xác suất cụ thể của việc hệ thống chứng minh bị sập, chúng tôi muốn tối thiểu hóa khả năng sập của mạng L2.
Chúng ta có thể sử dụng phân phối nhị thức để hoàn thành công việc này:
Nếu mỗi thành viên trong Hội đồng Bảo an có 10% cơ hội lỗi độc lập, thì xác suất có ít nhất 4 trong 7 thành viên bị lỗi là ∑𝑖= 47( 7 𝑖)∗ 0.1 𝑖∗ 0.97 −𝑖= 0.002728 Do đó, hệ thống tích hợp ở giai đoạn 0 có xác suất thất bại cố định là 0.2728%.
Sự tích hợp của giai đoạn 1 cũng có thể thất bại, nếu hệ thống chứng minh thất bại và cơ chế xác minh của ủy ban an ninh gặp ≥ 3 lần thất bại, không thể thực hiện tính toán mạng (xác suất ∑𝑖= 38( 8 𝑖)∗ 0.1 𝑖∗ 0.98 −𝑖= 0.03809179 nhân với tỷ lệ thất bại của hệ thống chứng minh), hoặc nếu ủy ban an ninh đã thất bại 6 lần hoặc nhiều hơn, có thể tự động ép buộc tạo ra một câu trả lời tính toán sai (cố định ∑𝑖= 68( 8 𝑖)∗ 0.1 𝑖∗ 0.98 −𝑖= 0.00002341 xác suất);
Xác suất thất bại của giai đoạn 2 là nhất quán với xác suất thất bại của hệ thống chứng minh.
Được trình bày dưới dạng biểu đồ:
Xác suất lỗi hệ thống chứng nhận ở các giai đoạn khác nhau của mạng L2
Như kết quả đã được suy đoán ở trên, với việc nâng cao chất lượng của hệ thống chứng minh, giai đoạn tối ưu chuyển từ giai đoạn 0 sang giai đoạn 1, sau đó từ giai đoạn 1 sang giai đoạn 2. Việc sử dụng hệ thống chứng minh với chất lượng giai đoạn 0 để vận hành mạng trong giai đoạn 2 là kết quả tồi tệ nhất.
Bây giờ, xin lưu ý rằng các giả định trong mô hình đơn giản hóa ở trên là không hoàn hảo:
Trong thực tế, các thành viên của ủy ban an ninh không hoàn toàn độc lập, (giữa họ có thể) tồn tại "sự cố mô hình chung": họ có thể thông đồng với nhau, hoặc đều bị sức ép hoặc tấn công bởi hacker như nhau, v.v. Yêu cầu có một số lượng tối thiểu bên ngoài tổ chức chính để ngăn chặn một tập hợp là nhằm tránh điều này xảy ra, nhưng vẫn không hoàn hảo.
Hệ thống chứng minh có thể được kết hợp từ nhiều hệ thống độc lập (tôi đã từng đề xuất điều này trong blog trước đây). Trong trường hợp này, (i) xác suất hệ thống chứng minh bị sập là rất thấp, và (ii) ngay cả ở giai đoạn 2, ủy ban an ninh cũng rất quan trọng, vì nó là chìa khóa để giải quyết tranh chấp.
Hai luận điểm này đều chỉ ra rằng, so với biểu đồ, Giai đoạn 1 và Giai đoạn 2 hấp dẫn hơn.
Nếu bạn tin vào toán học, thì sự tồn tại của giai đoạn 1 gần như sẽ không bao giờ được chứng minh là hợp lý: bạn nên trực tiếp bước vào giai đoạn 1. Ý kiến phản đối chính mà tôi nghe thấy là: nếu xảy ra một lỗi nghiêm trọng, có thể rất khó để nhanh chóng có được chữ ký của 6 trong số 8 thành viên của ủy ban an toàn để sửa chữa nó. Nhưng có một giải pháp đơn giản: cho phép bất kỳ thành viên nào của ủy ban an toàn quyền trì hoãn rút tiền từ 1 đến 2 tuần, để cho những người khác có đủ thời gian để thực hiện hành động (khắc phục).
Đồng thời, tuy nhiên, việc nhảy quá sớm vào giai đoạn 2 cũng là sai lầm, đặc biệt nếu công việc chuyển giao sang giai đoạn 2 phải đánh đổi để tăng cường công việc của hệ thống chứng minh cơ sở. Lý tưởng nhất là, các nhà cung cấp dữ liệu như L2Beat nên trình bày kiểm toán hệ thống chứng minh và các chỉ số trưởng thành (tốt nhất là các chỉ số thực hiện hệ thống chứng minh thay vì toàn bộ tổng hợp, để chúng ta có thể tái sử dụng), kèm theo việc trình bày giai đoạn.