Оригінальний автор: @IsdrsP, керівник верифікаційних нод Lido
Оригінальний переклад: Nicky, Foresight News
5 травня о півночі постачальник послуг оракула Chorus One повідомив, що гарячий гаманець оракула Lido був зламаний, внаслідок чого було вкрадено 1,46 ETH. Але, згідно з результатами безпекового аудиту, цей ізольований інцидент має обмежений вплив, оскільки гаманець, про який йдеться, спочатку був розроблений лише для легковагової експлуатації.
Атака на оракули звучить дійсно погано. Проте архітектурний дизайн Lido, ціннісні ідеї зацікавлених сторін та культура внесків, орієнтована на безпеку, означають, що вплив таких подій є надзвичайно обмеженим – навіть якщо оракул буде повністю зламано, це не призведе до катастрофічних наслідків.
Отже, що ж особливого в Lido?
Продуманий дизайн та багатошарова система захисту
Оракул Lido відповідає за передачу інформації з рівня консенсусу на рівень виконання та звітує про динаміку протоколу. Вони не контролюють кошти користувачів. Одиничний збої оракула спричинять лише невеликі проблеми, навіть якщо арбітражна процедура (quorum) буде зламано, це не призведе до катастрофічних наслідків.
Які зловмисні дії може спробувати окремий зламаний оракул?
A) Подати зловмисний звіт (але буде проігнорований чесними оракулами);
B) вичерпав ETH баланс цієї конкретної адреси оракула (адреса використовується лише для операційних транзакцій і не містить коштів стейкерів).
Які обов'язки виконує оракул?
Оракул Lido в основному складається з розподіленого механізму з 9 незалежних учасників (необхідно досягти консенсусу 5/9), основна відповідальність якого полягає у звітуванні про стан протоколу. Поточні основні функції включають:
• Виплата винагород за інфляцію токенів (rebase)
• Процес обробки виведення
• Вихід ноди верифікації та моніторинг продуктивності для посилання CSM (Модуль Безпеки Спільноти)
Ці прогнозні можливості подають свої спостережені стани «звіти» до протоколу. Ці звіти використовуються для обчислення щоденних накопичених винагород або покарань, оновлення балансу stETH, обробки та остаточного підтвердження запитів на виведення, обчислення заявок на вихід валідаторів та оцінки їхньої продуктивності.
По суті, оракул Lido відрізняється від того, що зазвичай розуміється під «мультипідписом». Оракул не може отримати доступ до коштів стейкерів та протоколу, не може контролювати оновлення будь-яких контрактів протоколу і не може оновлювати або керувати своїм членством. Натомість Lido DAO підтримує список оракулів через голосування.
Функції орендної системи надзвичайно обмежені — вона може виконувати лише такі операції: подання звітів, які суворо дотримуються детермінованих, перевірених та відкритих алгоритмів, розроблених для різних цілей протоколу; у певних випадках виконувати транзакції для реалізації результатів звітів (наприклад, щоденна операція ребейсу протоколу).
Якщо з 9 оракулів 5 будуть зламані, якою буде найгірша ситуація? У цьому випадку зламані оракули можуть змовитися, щоб подати зловмисні звіти, але будь-який звіт повинен пройти перевірку обґрунтованості, що виконується через протокол, що примусово реалізується в мережі.
Якщо звіт порушує ці цілу перевірки, час його обробки буде подовжено (можливо, навіть ніколи не буде) «урегульовано», оскільки значення в звіті повинні відповідати дозволеному діапазону зміни значень за певний період часу (кілька днів або кілька тижнів).
У найгіршому випадку це може означати, що ребейз, подібний до stETH (незалежно від того, позитивний чи негативний), потребує більше часу для вступу в силу, що вплине на власників stETH, але вплив на більшість власників буде мінімальним, якщо тільки хтось не використовує stETH з важелем у DeFi.
Є й інші можливості: зловмисники та їхні спільники можуть використовувати затримку оновлення stETH виконавчого рівня для отримання фінансової вигоди, якщо вони мають доступ до певної інформації, або мають можливість накладати великі санкції на рівні консенсусу (наприклад, масове скорочення). Наприклад, у разі масштабного скорочення, деякі люди можуть продати частину свого stETH на децентралізованій біржі (DEX) до того, як негативний перебазування почне діяти. Однак це не вплине на виведення коштів, ініційоване безпосередньо користувачами через Lido, оскільки «бункерний режим» протоколу буде активований, щоб гарантувати, що процес виведення коштів буде проведено чесно.
Миттєва та повна прозорість
Від початку і до кінця всі учасники екосистеми Lido — чи то учасники, оператори вузлів, оператори оракулів тощо, завжди надавали пріоритет прозорості та доброзичливості, надаючи пріоритет правам стейкерів та здоров'ю екосистеми в цілому. Незалежно від того, чи йдеться про проактивну публікацію детального звіту після смерті, компенсацію збитків від стейкінгу через простой інфраструктури, проактивний вихід валідаторів з міркувань обережності чи швидку публікацію всеосяжного звіту про інцидент, прозорість завжди є головним пріоритетом для цих учасників.
Постійне вдосконалення
Lido завжди стоїть на передовій технологічних розробок, прагнучи використовувати технологію нульових знань (ZK) для підвищення безпеки механізму оракулів і рівня децентралізації. Ще на початкових етапах команда інвестувала понад 200 тисяч доларів США спеціально для підтримки реалізації довірчої верифікації даних рівня консенсусу за допомогою технології нульових знань.
Ці дослідження в галузі технологій врешті-решт призвели до розробки механізму «Подвійна перевірка» SP1 нульового знання від команди SuccinctLabs, який буде офіційно запущений в цьому році. Цей механізм забезпечує додатковий рівень безпеки для потенційних негативних операцій з ребейсом через перевіряємий консенсусний рівень даних.
Наразі ці технології нульового знання все ще перебувають на стадії розвитку, відповідні нульові віртуальні машини (zkVM) повинні пройти практичне випробування, а також мають обмеження, пов'язані з повільною швидкістю обчислень і високими витратами на обчислення, і поки не можуть повністю замінити надійні оракули. Але в довгостроковій перспективі ці рішення мають потенціал стати мінімалізованою альтернативою існуючим оракулам.
Технологія оракулів є дуже складною, а її застосування в сфері DeFi різноманітне. У протоколі Lido оракул є основним компонентом, ретельно спроектованим з використанням ефективної децентралізованої архітектури, механізму розподілу обов'язків та багаторівневої системи перевірки, що значно знижує потенційний ризик.
Контент має виключно довідковий характер і не є запрошенням до участі або пропозицією. Інвестиційні, податкові чи юридичні консультації не надаються. Перегляньте Відмову від відповідальності , щоб дізнатися більше про ризики.
Оракул-машина Закритий ключ витоку втрати лише 1.4ETH, Lido механізм безпеки вважається «підручниковим»?
5 травня о півночі постачальник послуг оракула Chorus One повідомив, що гарячий гаманець оракула Lido був зламаний, внаслідок чого було вкрадено 1,46 ETH. Але, згідно з результатами безпекового аудиту, цей ізольований інцидент має обмежений вплив, оскільки гаманець, про який йдеться, спочатку був розроблений лише для легковагової експлуатації.
Атака на оракули звучить дійсно погано. Проте архітектурний дизайн Lido, ціннісні ідеї зацікавлених сторін та культура внесків, орієнтована на безпеку, означають, що вплив таких подій є надзвичайно обмеженим – навіть якщо оракул буде повністю зламано, це не призведе до катастрофічних наслідків.
Отже, що ж особливого в Lido?
Продуманий дизайн та багатошарова система захисту
Оракул Lido відповідає за передачу інформації з рівня консенсусу на рівень виконання та звітує про динаміку протоколу. Вони не контролюють кошти користувачів. Одиничний збої оракула спричинять лише невеликі проблеми, навіть якщо арбітражна процедура (quorum) буде зламано, це не призведе до катастрофічних наслідків.
Які зловмисні дії може спробувати окремий зламаний оракул?
A) Подати зловмисний звіт (але буде проігнорований чесними оракулами);
B) вичерпав ETH баланс цієї конкретної адреси оракула (адреса використовується лише для операційних транзакцій і не містить коштів стейкерів).
Які обов'язки виконує оракул?
Оракул Lido в основному складається з розподіленого механізму з 9 незалежних учасників (необхідно досягти консенсусу 5/9), основна відповідальність якого полягає у звітуванні про стан протоколу. Поточні основні функції включають:
• Виплата винагород за інфляцію токенів (rebase)
• Процес обробки виведення
• Вихід ноди верифікації та моніторинг продуктивності для посилання CSM (Модуль Безпеки Спільноти)
Ці прогнозні можливості подають свої спостережені стани «звіти» до протоколу. Ці звіти використовуються для обчислення щоденних накопичених винагород або покарань, оновлення балансу stETH, обробки та остаточного підтвердження запитів на виведення, обчислення заявок на вихід валідаторів та оцінки їхньої продуктивності.
По суті, оракул Lido відрізняється від того, що зазвичай розуміється під «мультипідписом». Оракул не може отримати доступ до коштів стейкерів та протоколу, не може контролювати оновлення будь-яких контрактів протоколу і не може оновлювати або керувати своїм членством. Натомість Lido DAO підтримує список оракулів через голосування.
Функції орендної системи надзвичайно обмежені — вона може виконувати лише такі операції: подання звітів, які суворо дотримуються детермінованих, перевірених та відкритих алгоритмів, розроблених для різних цілей протоколу; у певних випадках виконувати транзакції для реалізації результатів звітів (наприклад, щоденна операція ребейсу протоколу).
Якщо з 9 оракулів 5 будуть зламані, якою буде найгірша ситуація? У цьому випадку зламані оракули можуть змовитися, щоб подати зловмисні звіти, але будь-який звіт повинен пройти перевірку обґрунтованості, що виконується через протокол, що примусово реалізується в мережі.
Якщо звіт порушує ці цілу перевірки, час його обробки буде подовжено (можливо, навіть ніколи не буде) «урегульовано», оскільки значення в звіті повинні відповідати дозволеному діапазону зміни значень за певний період часу (кілька днів або кілька тижнів).
У найгіршому випадку це може означати, що ребейз, подібний до stETH (незалежно від того, позитивний чи негативний), потребує більше часу для вступу в силу, що вплине на власників stETH, але вплив на більшість власників буде мінімальним, якщо тільки хтось не використовує stETH з важелем у DeFi.
Є й інші можливості: зловмисники та їхні спільники можуть використовувати затримку оновлення stETH виконавчого рівня для отримання фінансової вигоди, якщо вони мають доступ до певної інформації, або мають можливість накладати великі санкції на рівні консенсусу (наприклад, масове скорочення). Наприклад, у разі масштабного скорочення, деякі люди можуть продати частину свого stETH на децентралізованій біржі (DEX) до того, як негативний перебазування почне діяти. Однак це не вплине на виведення коштів, ініційоване безпосередньо користувачами через Lido, оскільки «бункерний режим» протоколу буде активований, щоб гарантувати, що процес виведення коштів буде проведено чесно.
Миттєва та повна прозорість
Від початку і до кінця всі учасники екосистеми Lido — чи то учасники, оператори вузлів, оператори оракулів тощо, завжди надавали пріоритет прозорості та доброзичливості, надаючи пріоритет правам стейкерів та здоров'ю екосистеми в цілому. Незалежно від того, чи йдеться про проактивну публікацію детального звіту після смерті, компенсацію збитків від стейкінгу через простой інфраструктури, проактивний вихід валідаторів з міркувань обережності чи швидку публікацію всеосяжного звіту про інцидент, прозорість завжди є головним пріоритетом для цих учасників.
Постійне вдосконалення
Lido завжди стоїть на передовій технологічних розробок, прагнучи використовувати технологію нульових знань (ZK) для підвищення безпеки механізму оракулів і рівня децентралізації. Ще на початкових етапах команда інвестувала понад 200 тисяч доларів США спеціально для підтримки реалізації довірчої верифікації даних рівня консенсусу за допомогою технології нульових знань.
Ці дослідження в галузі технологій врешті-решт призвели до розробки механізму «Подвійна перевірка» SP1 нульового знання від команди SuccinctLabs, який буде офіційно запущений в цьому році. Цей механізм забезпечує додатковий рівень безпеки для потенційних негативних операцій з ребейсом через перевіряємий консенсусний рівень даних.
Наразі ці технології нульового знання все ще перебувають на стадії розвитку, відповідні нульові віртуальні машини (zkVM) повинні пройти практичне випробування, а також мають обмеження, пов'язані з повільною швидкістю обчислень і високими витратами на обчислення, і поки не можуть повністю замінити надійні оракули. Але в довгостроковій перспективі ці рішення мають потенціал стати мінімалізованою альтернативою існуючим оракулам.
Технологія оракулів є дуже складною, а її застосування в сфері DeFi різноманітне. У протоколі Lido оракул є основним компонентом, ретельно спроектованим з використанням ефективної децентралізованої архітектури, механізму розподілу обов'язків та багаторівневої системи перевірки, що значно знижує потенційний ризик.
Посилання на оригінал
: