Vào rạng sáng ngày 10 tháng 5, nhà cung cấp dịch vụ oracle Chorus One đã công bố rằng một ví nóng của oracle Lido đã bị hacker xâm nhập, dẫn đến việc 1.46 ETH bị đánh cắp. Tuy nhiên, theo báo cáo kiểm toán an ninh, sự cố này có ảnh hưởng hạn chế, vì ví liên quan được thiết kế chỉ để sử dụng cho các hoạt động nhẹ.
Việc oracle bị tấn công nghe có vẻ thật tệ. Tuy nhiên, thiết kế kiến trúc của Lido, giá trị của các bên liên quan, cũng như văn hóa những người đóng góp hướng tới an toàn, có nghĩa là tác động của những sự kiện như vậy là vô cùng hạn chế - ngay cả khi oracle bị xâm nhập hoàn toàn, cũng sẽ không gây ra hậu quả thảm khốc.
Vậy thì, Lido có điểm gì độc đáo?
Thiết kế suy nghĩ kỹ lưỡng với cơ chế bảo vệ nhiều lớp
Lido của oracle chịu trách nhiệm truyền đạt thông tin từ lớp đồng thuận đến lớp thực thi, và báo cáo về động thái của giao thức. Chúng không kiểm soát quỹ của người dùng. Một oracle lỗi đơn lẻ chỉ gây ra một số rắc rối nhỏ, ngay cả khi quy trình trọng tài (quorum) bị tấn công cũng sẽ không gây ra hậu quả thảm khốc.
Một oracle bị tấn công đơn lẻ có thể cố gắng thực hiện hành vi độc hại nào?
A) Gửi báo cáo ác ý (nhưng sẽ bị Oracle trung thực bỏ qua);
B) Cạn kiệt số dư ETH của địa chỉ oracle cụ thể này (địa chỉ này chỉ được sử dụng cho giao dịch vận hành và không chứa tiền của người staking).
Oracle đảm nhận trách nhiệm gì?
Oracle của Lido về bản chất là một cơ chế phân tán bao gồm 9 người tham gia độc lập (cần đạt được đồng thuận 5/9), chủ yếu chịu trách nhiệm báo cáo trạng thái của giao thức, các chức năng cốt lõi hiện tại bao gồm:
• Phát thưởng lạm phát token (rebase)
• Quy trình xử lý rút tiền
• Xác minh Nút rời khỏi và giám sát hiệu suất, để cung cấp cho CSM (Mô-đun An ninh Cộng đồng) tham khảo
Những cơ hội tiên tri này sẽ gửi «báo cáo» trạng thái mà chúng quan sát được tới giao thức. Những báo cáo này được sử dụng để tính toán phần thưởng hoặc hình phạt tích lũy hàng ngày, cập nhật số dư stETH, xử lý và cuối cùng xác nhận yêu cầu rút tiền, tính toán đơn xin rút lui của người xác thực cũng như đánh giá hiệu suất của người xác thực.
Về bản chất, oracle của Lido khác với cái mà mọi người thường hiểu về "multi-signature". Oracle không thể truy cập vào quỹ của các staker và giao thức, cũng như không thể kiểm soát bất kỳ nâng cấp hợp đồng nào của giao thức, và càng không thể tự nâng cấp hoặc quản lý tư cách thành viên của chính nó. Ngược lại, Lido DAO duy trì danh sách oracle thông qua việc bỏ phiếu.
Chức năng của oracle rất hạn chế - chỉ có thể thực hiện các thao tác sau: gửi báo cáo, những báo cáo này tuân theo các thuật toán xác định, đã được kiểm toán và mã nguồn mở được thiết kế cho các mục tiêu giao thức khác nhau; thực hiện giao dịch trong các trường hợp cụ thể để thực hiện kết quả báo cáo (ví dụ, thao tác rebase hàng ngày của giao thức).
Nếu 5 trong 9 oracle bị tấn công, tình huống xấu nhất sẽ như thế nào? Trong trường hợp này, các oracle bị tấn công có thể thông đồng để gửi báo cáo độc hại, nhưng bất kỳ báo cáo nào cũng phải trải qua kiểm tra tính hợp lý được thực thi trên chuỗi.
Nếu báo cáo vi phạm các kiểm tra hợp lý này, thời gian xử lý sẽ bị kéo dài (thậm chí có thể không bao giờ) "thanh toán", vì các giá trị trong báo cáo phải phù hợp với phạm vi biến động giá trị cho phép trong một khoảng thời gian cụ thể (vài ngày hoặc vài tuần).
Trong trường hợp xấu nhất, điều này có thể có nghĩa là việc rebase giống như stETH (dù là tăng hay giảm) cần nhiều thời gian hơn để có hiệu lực, điều này sẽ ảnh hưởng đến những người nắm giữ stETH, nhưng ảnh hưởng đối với hầu hết các nhà đầu tư là rất nhỏ, trừ khi có ai đó sử dụng stETH với đòn bẩy trong DeFi.
Cũng có những khả năng khác: nếu oracle độc hại và đồng phạm của chúng nắm giữ một số thông tin, hoặc có khả năng thực hiện hình phạt lớn trên tầng đồng thuận (như tịch thu quy mô lớn), thì họ có thể lợi dụng việc cập nhật stETH trên tầng thực thi bị trì hoãn để thu lợi kinh tế.
Ví dụ, nếu xảy ra việc tịch thu quy mô lớn, một số người có thể bán bớt stETH qua sàn giao dịch phi tập trung (DEX) trước khi rebase âm có hiệu lực. Tuy nhiên, điều này sẽ không ảnh hưởng đến các thao tác rút tiền mà người dùng thực hiện trực tiếp qua Lido, vì chế độ "khẩn cấp" (bunker mode) của giao thức sẽ được kích hoạt, đảm bảo quy trình rút tiền được thực hiện một cách công bằng.
tính minh bạch ngay lập tức và hoàn toàn
Từ đầu đến cuối, tất cả các bên tham gia trong hệ sinh thái Lido — dù là người đóng góp, Nút vận hành hay bên vận hành oracle, luôn đặt tính minh bạch và thiện chí lên hàng đầu, ưu tiên bảo vệ quyền lợi của người cược và sự phát triển khỏe mạnh của toàn bộ hệ sinh thái.
Dù là chủ động phát hành báo cáo phân tích chi tiết sau sự việc, bồi thường cho những tổn thất do ngừng hoạt động cơ sở hạ tầng gây ra, hay chủ động rút lui khỏi Nút xác thực vì lý do phòng ngừa, hoặc nhanh chóng phát hành báo cáo sự cố toàn diện, những người tham gia này luôn coi trọng tính minh bạch như là điều quan trọng hàng đầu.
Liên tục cải tiến và nâng cấp
Lido luôn đứng ở đầu của nghiên cứu và phát triển công nghệ, cam kết sử dụng công nghệ chứng minh không kiến thức (ZK) để nâng cao tính an toàn và mức độ phi tập trung của cơ chế oracle. Ngay từ giai đoạn đầu, đội ngũ đã đầu tư hơn 200.000 USD cho quỹ đặc biệt, hỗ trợ việc xác minh dữ liệu lớp đồng thuận mà không cần tin cậy thông qua công nghệ chứng minh không kiến thức.
Các khám phá về công nghệ này cuối cùng đã dẫn đến việc cơ chế "Kiểm tra kép" của Oracle Zero-Knowledge SP1 do đội ngũ SuccinctLabs phát triển sẽ chính thức ra mắt trong năm nay. Cơ chế này cung cấp một lớp xác minh an toàn bổ sung cho các hoạt động rebase tiêu cực tiềm năng thông qua dữ liệu lớp đồng thuận có thể xác minh.
Hiện tại, các công nghệ zero-knowledge này vẫn đang trong giai đoạn phát triển, các máy ảo zero-knowledge liên quan (zkVM) không chỉ cần trải qua kiểm tra thực tiễn mà còn gặp phải những hạn chế như tốc độ tính toán chậm và chi phí tính toán cao, vẫn chưa thể hoàn toàn thay thế các oracle đáng tin cậy. Tuy nhiên, về lâu dài, các giải pháp này có khả năng trở thành một giải pháp thay thế tối thiểu về niềm tin cho các oracle hiện có.
Công nghệ Oracle rất phức tạp và có nhiều ứng dụng khác nhau trong lĩnh vực DeFi. Trong giao thức Lido, Oracle được thiết kế tỉ mỉ như một thành phần cốt lõi, thông qua kiến trúc phi tập trung hiệu quả, cơ chế phân tách trách nhiệm và hệ thống kiểm tra đa lớp, đã giảm đáng kể phạm vi ảnh hưởng của các rủi ro tiềm ẩn.
Nội dung chỉ mang tính chất tham khảo, không phải là lời chào mời hay đề nghị. Không cung cấp tư vấn về đầu tư, thuế hoặc pháp lý. Xem Tuyên bố miễn trừ trách nhiệm để biết thêm thông tin về rủi ro.
1.4 ETH nhỏ bị đánh cắp: Phân tích Lido làm thế nào để thông qua thiết kế Phi tập trung thực hiện phân tách rủi ro
Tác giả: @IsdrsP (Giám đốc nút xác thực Lido)
Biên dịch: Nicky, Foresight News
Vào rạng sáng ngày 10 tháng 5, nhà cung cấp dịch vụ oracle Chorus One đã công bố rằng một ví nóng của oracle Lido đã bị hacker xâm nhập, dẫn đến việc 1.46 ETH bị đánh cắp. Tuy nhiên, theo báo cáo kiểm toán an ninh, sự cố này có ảnh hưởng hạn chế, vì ví liên quan được thiết kế chỉ để sử dụng cho các hoạt động nhẹ.
Việc oracle bị tấn công nghe có vẻ thật tệ. Tuy nhiên, thiết kế kiến trúc của Lido, giá trị của các bên liên quan, cũng như văn hóa những người đóng góp hướng tới an toàn, có nghĩa là tác động của những sự kiện như vậy là vô cùng hạn chế - ngay cả khi oracle bị xâm nhập hoàn toàn, cũng sẽ không gây ra hậu quả thảm khốc.
Vậy thì, Lido có điểm gì độc đáo?
Thiết kế suy nghĩ kỹ lưỡng với cơ chế bảo vệ nhiều lớp
Lido của oracle chịu trách nhiệm truyền đạt thông tin từ lớp đồng thuận đến lớp thực thi, và báo cáo về động thái của giao thức. Chúng không kiểm soát quỹ của người dùng. Một oracle lỗi đơn lẻ chỉ gây ra một số rắc rối nhỏ, ngay cả khi quy trình trọng tài (quorum) bị tấn công cũng sẽ không gây ra hậu quả thảm khốc.
Một oracle bị tấn công đơn lẻ có thể cố gắng thực hiện hành vi độc hại nào?
A) Gửi báo cáo ác ý (nhưng sẽ bị Oracle trung thực bỏ qua);
B) Cạn kiệt số dư ETH của địa chỉ oracle cụ thể này (địa chỉ này chỉ được sử dụng cho giao dịch vận hành và không chứa tiền của người staking).
Oracle đảm nhận trách nhiệm gì?
Oracle của Lido về bản chất là một cơ chế phân tán bao gồm 9 người tham gia độc lập (cần đạt được đồng thuận 5/9), chủ yếu chịu trách nhiệm báo cáo trạng thái của giao thức, các chức năng cốt lõi hiện tại bao gồm:
• Phát thưởng lạm phát token (rebase)
• Quy trình xử lý rút tiền
• Xác minh Nút rời khỏi và giám sát hiệu suất, để cung cấp cho CSM (Mô-đun An ninh Cộng đồng) tham khảo
Những cơ hội tiên tri này sẽ gửi «báo cáo» trạng thái mà chúng quan sát được tới giao thức. Những báo cáo này được sử dụng để tính toán phần thưởng hoặc hình phạt tích lũy hàng ngày, cập nhật số dư stETH, xử lý và cuối cùng xác nhận yêu cầu rút tiền, tính toán đơn xin rút lui của người xác thực cũng như đánh giá hiệu suất của người xác thực.
Về bản chất, oracle của Lido khác với cái mà mọi người thường hiểu về "multi-signature". Oracle không thể truy cập vào quỹ của các staker và giao thức, cũng như không thể kiểm soát bất kỳ nâng cấp hợp đồng nào của giao thức, và càng không thể tự nâng cấp hoặc quản lý tư cách thành viên của chính nó. Ngược lại, Lido DAO duy trì danh sách oracle thông qua việc bỏ phiếu.
Chức năng của oracle rất hạn chế - chỉ có thể thực hiện các thao tác sau: gửi báo cáo, những báo cáo này tuân theo các thuật toán xác định, đã được kiểm toán và mã nguồn mở được thiết kế cho các mục tiêu giao thức khác nhau; thực hiện giao dịch trong các trường hợp cụ thể để thực hiện kết quả báo cáo (ví dụ, thao tác rebase hàng ngày của giao thức).
Nếu 5 trong 9 oracle bị tấn công, tình huống xấu nhất sẽ như thế nào? Trong trường hợp này, các oracle bị tấn công có thể thông đồng để gửi báo cáo độc hại, nhưng bất kỳ báo cáo nào cũng phải trải qua kiểm tra tính hợp lý được thực thi trên chuỗi.
Nếu báo cáo vi phạm các kiểm tra hợp lý này, thời gian xử lý sẽ bị kéo dài (thậm chí có thể không bao giờ) "thanh toán", vì các giá trị trong báo cáo phải phù hợp với phạm vi biến động giá trị cho phép trong một khoảng thời gian cụ thể (vài ngày hoặc vài tuần).
Trong trường hợp xấu nhất, điều này có thể có nghĩa là việc rebase giống như stETH (dù là tăng hay giảm) cần nhiều thời gian hơn để có hiệu lực, điều này sẽ ảnh hưởng đến những người nắm giữ stETH, nhưng ảnh hưởng đối với hầu hết các nhà đầu tư là rất nhỏ, trừ khi có ai đó sử dụng stETH với đòn bẩy trong DeFi.
Cũng có những khả năng khác: nếu oracle độc hại và đồng phạm của chúng nắm giữ một số thông tin, hoặc có khả năng thực hiện hình phạt lớn trên tầng đồng thuận (như tịch thu quy mô lớn), thì họ có thể lợi dụng việc cập nhật stETH trên tầng thực thi bị trì hoãn để thu lợi kinh tế.
Ví dụ, nếu xảy ra việc tịch thu quy mô lớn, một số người có thể bán bớt stETH qua sàn giao dịch phi tập trung (DEX) trước khi rebase âm có hiệu lực. Tuy nhiên, điều này sẽ không ảnh hưởng đến các thao tác rút tiền mà người dùng thực hiện trực tiếp qua Lido, vì chế độ "khẩn cấp" (bunker mode) của giao thức sẽ được kích hoạt, đảm bảo quy trình rút tiền được thực hiện một cách công bằng.
tính minh bạch ngay lập tức và hoàn toàn
Từ đầu đến cuối, tất cả các bên tham gia trong hệ sinh thái Lido — dù là người đóng góp, Nút vận hành hay bên vận hành oracle, luôn đặt tính minh bạch và thiện chí lên hàng đầu, ưu tiên bảo vệ quyền lợi của người cược và sự phát triển khỏe mạnh của toàn bộ hệ sinh thái.
Dù là chủ động phát hành báo cáo phân tích chi tiết sau sự việc, bồi thường cho những tổn thất do ngừng hoạt động cơ sở hạ tầng gây ra, hay chủ động rút lui khỏi Nút xác thực vì lý do phòng ngừa, hoặc nhanh chóng phát hành báo cáo sự cố toàn diện, những người tham gia này luôn coi trọng tính minh bạch như là điều quan trọng hàng đầu.
Liên tục cải tiến và nâng cấp
Lido luôn đứng ở đầu của nghiên cứu và phát triển công nghệ, cam kết sử dụng công nghệ chứng minh không kiến thức (ZK) để nâng cao tính an toàn và mức độ phi tập trung của cơ chế oracle. Ngay từ giai đoạn đầu, đội ngũ đã đầu tư hơn 200.000 USD cho quỹ đặc biệt, hỗ trợ việc xác minh dữ liệu lớp đồng thuận mà không cần tin cậy thông qua công nghệ chứng minh không kiến thức.
Các khám phá về công nghệ này cuối cùng đã dẫn đến việc cơ chế "Kiểm tra kép" của Oracle Zero-Knowledge SP1 do đội ngũ SuccinctLabs phát triển sẽ chính thức ra mắt trong năm nay. Cơ chế này cung cấp một lớp xác minh an toàn bổ sung cho các hoạt động rebase tiêu cực tiềm năng thông qua dữ liệu lớp đồng thuận có thể xác minh.
Hiện tại, các công nghệ zero-knowledge này vẫn đang trong giai đoạn phát triển, các máy ảo zero-knowledge liên quan (zkVM) không chỉ cần trải qua kiểm tra thực tiễn mà còn gặp phải những hạn chế như tốc độ tính toán chậm và chi phí tính toán cao, vẫn chưa thể hoàn toàn thay thế các oracle đáng tin cậy. Tuy nhiên, về lâu dài, các giải pháp này có khả năng trở thành một giải pháp thay thế tối thiểu về niềm tin cho các oracle hiện có.
Công nghệ Oracle rất phức tạp và có nhiều ứng dụng khác nhau trong lĩnh vực DeFi. Trong giao thức Lido, Oracle được thiết kế tỉ mỉ như một thành phần cốt lõi, thông qua kiến trúc phi tập trung hiệu quả, cơ chế phân tách trách nhiệm và hệ thống kiểm tra đa lớp, đã giảm đáng kể phạm vi ảnh hưởng của các rủi ro tiềm ẩn.
Nội dung nguồn: