Blast多签安全问题遭诟病,为何L2技术去中心化那么难?
原文作者:Haotian(X: @tmel0211 )
编者按:此前, Polygon Labs 开发者关系工程师 Jarrod Watts 表示 ,Blast 合约是一个由 3/5 多签控制的可升级合约, 5 个地址均为匿名新地址,Blast 有可能通过多重签名来执行代码升级并立即窃取资金。对此 Blast 在 X 回应 称,安全是多方面的,涉及智能合约、浏览器和物理安全维度。不可变的智能合约通常被认为更安全,但可能会带来更大的风险,并表示将在一周内更换 1 个多签地址的硬件钱包类型,以增强安全性。Blast 的多签安全风险仍还在被诟病,社区甚至流传着「 5 个多签都属于铁顺」的段子。撇开 Blast 的多签安全问题,为何 Layer 2 的技术去中心化那么难?加密分析师 Haotian 发文从 Layer 2 行业的视角,探讨了各 L2 核心技术组件的去中心化现状和问题,Odaily星球日报整理如下:
Blast 的多签安全风险还在被诟病,连 5 个多签都属于铁顺的段子都传疯了,然而并没有影响 @Blast_L2 TVL 的持续上涨。 理性的认知驱使大家批判 Blast,但趋利的本能又不能拒绝拥抱 Blast。
接下来,撇开 Blast 具体的多签安全问题,从 layer 2 行业的视角,探讨下为啥 layer 2 的技术去中心化那么难?
首先厘清所谓 layer 2 的技术组件去中心化,包括:Sequencer、Prover、Validator、主网 Rollup Contract 等分布于主网和 layer 2 的多个关键组件,其中 ZK-Rollup 比 OP-Rollup 多了 Prover 系统,基本大家都围绕 Sequencer 的运营为核心。此外有的区别就是 Data Avaliablity 的实现依赖以太坊主网的程度,以及 EVM 主网的等效程度了。
目前各 layer 2 核心技术组件去中心化现状:
-
Arbitrum 称和 Espresso Systerm 合作探寻去中心化 Sequencer 的可能性,还只是在探索阶段;
-
Starknet 的 Prover 系统实现了无许可去中心化,Sequencer 还没明确的去中心化消息;
-
Optimism 更是把 Sequencer 中心化合理化了,推出 OP Stack 战略,试图用全新的共享 Sequencer 安全治理委员会来分散中心化权限,用曲线的社会化共识来弥补技术共识缺陷;
-
zkSync 许久没有核心组件的开源及去中心化迹象,推出了 ZK Stack 多应用链战略,按官方说法,zkSync 退居成 Stack 大战略下的一个模范应用链也是在逃避去中心化技术上的无力感。
不难看出,四大天王 layer 2 在核心技术组件的去中心化问题上,各有考量,有的还在讲技术去中心化的故事, 有的已经试图将用 Stack 战略弥补纯技术去中心化存在的缺憾, 总之,layer 2 的纯技术去中心化很难。Why?
1)layer 2 的 Sequencer 一般采用了中心化的 EOA 地址,这样可节省主网交互成本, 像 Optimism 和 zkSync 等均采用了 EOA 地址,直接简单地由私钥控制,比较灵活操作,且相比智能合约复杂的逻辑和功能,EOA 结构攻击面更小。
最关键是,这些 EOA 地址在与主网合约交互时可以降低成本。然而,管理私钥最有效的方式就是强中心化管理。若要对私钥进行去中心化管理,反倒会增加系统可攻击面。
2)Sequencer 负责给 layer 2 营收抽水, 通常 Sequencer 收取的手续费扣除向主网 batch 交易所需的成本等等费用就是 layer 2 的毛收入。
这使得 Sequencer 的控制方轻易不愿意将权利分散化,一旦过于去中心化,在核心激励机制收费问题上势必也会产生新问题,比如利益分配。
3)Prover 系统生成 Proof 并验证的过程技术门槛较高, 现在 ZK-Rollup 生态项目创新少,一大部分原因都是在数据结构适配上和 ZK circuit 有较大程度门槛,对于分散的 Validator 更是如此,一旦 Validators 节点过于分散,在处理并验证 Proof 的过程中也会存在稳定性难题;
4)OP-Rollup 鲜有实际的 battle-tested 挑战发生,正是因为中心化 Sequencer 会让 layer 2 天然趋向于乐观零挑战, 某种程度上过于中心化的 Sequencer 看似是一种软肋,实际却成了另一种安全机制。
5)若 layer 2 发生安全故障,Sequencer 可以强行冻结并控制资产流出,大不了在二层进行一次低成本的硬分叉,但倘若是 Sequencer 受到攻击呢? 大批的资金回撤到主网,主网 Rollup 合约实施可升级的多签治理就是另一层双保险。 因为 layer 2 不可能指望主网级的硬分叉发生。
说直白点, 主网做多签治理只是为了给 layer 2 Sequencer 受攻击上保险,讨论多签名单上是谁,是否有威望根本就没意义。
以上。
之所以目前很少听到 layer 2 因过于中心化 rug 的消息,主要是由于 layer 2 的整体技术门槛高,创始团队的过往声誉,投资机构的背书,以及内置的特殊安全机制(挑战机制,DA)等,都使得运营 layer 2 是个长线可持续的 Business,尤其是坐看生态一个个崛起然后持续抽水营收才是 layer 2 的 End Game。
如果一个 layer 2 项目不提生态,不谈技术,却以「大家都一样」的名义,只谈空投预期,Rug 风险之外,首先应该发问其到底是不是 layer 2 ?
layer 2 的技术去中心化现状发展并不理想,拜原教旨主义的去中心化在 layer 2 领域或许根本就不存在?这样来看,Stack 战略虚无缥缈的多链共享组件策略,更长远看会是剔除 layer 2 中心化权利过大的唯一解了。
根本上,无论技术共识还是社会共识,终究都是一种约束作恶的力量。