Рано вранці 10 травня постачальник послуг оракула Chorus One повідомив, що гарячий гаманець оракула Lido був зламаний, що призвело до крадіжки 1,46 ETH. Однак, згідно з аудитом безпеки, вплив цього ізольованого інциденту був обмеженим, а задіяний гаманець був розроблений лише для легких операційних цілей.
Атаку на оріакл дійсно звучить погано. Однак архітектурний дизайн Lido, ціннісні концепції зацікавлених сторін та культура внесків, орієнтована на безпеку, означають, що вплив таких подій є надзвичайно обмеженим — навіть якщо оріакл буде повністю зламаний, це не призведе до катастрофічних наслідків.
Отже, в чому ж унікальність Lido?
Ретельно продуманий дизайн та багаторівневі механізми захисту
Оракул Lido відповідає за передачу інформації з рівня консенсусу на рівень виконання та звітність про динаміку протоколу. Вони не контролюють кошти користувачів. Єдиний збої оракула призведе до незначних проблем, навіть якщо арбітражна процедура (quorum) буде зламано, це не призведе до катастрофічних наслідків.
Які зловмисні дії може спробувати окремий зламаний оракул?
A) Подати недобросовісний звіт (але буде проігноровано чесним оракулом);
B) вичерпав ETH баланс цієї конкретної адреси оракула (ця адреса використовується лише для проведення транзакцій і не містить коштів стейкерів).
Які обов'язки виконує оракул?
Оракул Lido по суті складається з розподіленого механізму, що складається з 9 незалежних учасників (необхідно 5/9 для досягнення консенсусу), основна відповідальність якого полягає у звітуванні про стан протоколу, поточні ключові функції включають:
• Виплата інфляційних винагород токенів (rebase)
• Обробка процесу виведення коштів
• Вихід ноди та моніторинг продуктивності для посилання CSM (Модуль безпеки спільноти)
Ці прогнози можуть подати «звіт» про спостережуваний стан протоколу. Ці звіти використовуються для розрахунку щоденних накопичених винагород або покарань, оновлення балансу stETH, обробки та остаточного підтвердження запитів на виведення, розрахунку заявок на вихід валідаторів, а також для оцінки продуктивності валідаторів.
По суті, оракул Lido відрізняється від того, як зазвичай розуміють «мультіпідпис». Оракул не має доступу до коштів стейкерів і протоколу, не може контролювати оновлення будь-яких контрактів протоколу, і ще менше може оновлювати себе чи керувати членством. Натомість Lido DAO підтримує список оракулів через голосування.
Функції оракула вкрай обмежені — він може виконувати лише такі операції: подавати звіти, які суворо відповідають детермінованим, перевіреним та відкритим алгоритмам, розробленим для різних цілей протоколу; у певних випадках виконувати транзакції для реалізації результатів звіту (наприклад, щоденна операція rebase протоколу).
Якщо 5 із 9 оракулів будуть зламані, яка буде найгірша ситуація? У цьому випадку зламані оракули можуть змовитися для подання недобросовісних звітів, але будь-який звіт повинен пройти перевірку обґрунтованості, що виконується за допомогою протоколу, що забезпечується в ланцюгу.
Якщо звіт порушує ці цілувальні перевірки, його час обробки буде подовжено (навіть може ніколи не бути) «урегульовано», оскільки значення у звіті повинні відповідати дозволеному діапазону зміни значень за певний період часу (кілька днів або кілька тижнів).
У найгіршому випадку це може означати, що ребейс, подібний до stETH (незалежно від того, позитивний він чи негативний), вимагатиме більше часу для реалізації, що вплине на власників stETH, але вплив на більшість власників буде незначним, якщо тільки хтось не використовує stETH з кредитним плечем у DeFi.
Існують і інші можливості: якщо зловмисний оракул та його спільники володіють певною інформацією або мають змогу здійснювати великі покарання на рівні консенсусу (наприклад, масове конфіскування), вони можуть використовувати затримку оновлення stETH на виконавчому рівні для отримання економічної вигоди.
Наприклад, якщо відбудеться масове конфіскація, деякі люди можуть продати частину stETH через децентралізовану біржу (DEX) до того, як настане негативний rebase. Проте це не вплине на операції з виведення, ініційовані користувачами безпосередньо через Lido, оскільки протокол активує режим «аварійного реагування» (bunker mode), що забезпечує справедливе виконання процесу виведення.
миттєва та повна прозорість
Від початку до кінця всі учасники екосистеми Lido — незалежно від того, чи це внесники, оператори нод, чи оператори оракулів — завжди ставили прозорість та доброчесність на перше місце, першочергово забезпечуючи права стейкерів та здоровий розвиток всієї екосистеми.
Незалежно від того, чи це активне публікування детальних звітів про аналіз після події, компенсація втрат від стейкінгу через зупинку інфраструктури, чи проактивний вихід з верифікаційних нод з превентивних міркувань, або ж швидке публікування всебічного звіту про інцидент, ці учасники завжди вважають прозорість найважливішою.
Постійна ітераційна модернізація
Lido завжди перебуває на передньому краї технологічних розробок, прагнучи використовувати технологію нульових знань (ZK) для підвищення безпеки та рівня децентралізації механізму оракула. Ще на початковому етапі команда вклала понад 200 тисяч доларів спеціального фінансування, щоб підтримати реалізацію бездокументної верифікації даних рівня консенсусу через технологію нульових знань.
Ці технічні дослідження врешті-решт призвели до розробки механізму "подвійної перевірки" SP1 нульового знання, розробленого командою SuccinctLabs, який буде офіційно запущений цього року. Цей механізм забезпечує додатковий рівень безпеки для потенційних негативних операцій rebase завдяки даним з підтверджуваного рівня консенсусу.
Наразі ці технології нульового знання все ще перебувають на стадії розвитку, відповідні віртуальні машини нульового знання (zkVM) повинні пройти практичне випробування, а також мають обмеження, пов'язані з повільною швидкістю обчислень та високими витратами на обчислення, і поки що не можуть повністю замінити надійні оракули. Але в довгостроковій перспективі ці рішення можуть стати альтернативою з мінімізацією довіри для існуючих оракулів.
Технологія ораклів є дуже складною, і її застосування в сфері DeFi різноманітне. У протоколі Lido оракл є ключовим компонентом, ретельно спроектованим за допомогою ефективної децентралізованої архітектури, механізму розділення обов'язків та багатошарової системи перевірки, що суттєво знижує вплив потенційних ризиків.
Контент має виключно довідковий характер і не є запрошенням до участі або пропозицією. Інвестиційні, податкові чи юридичні консультації не надаються. Перегляньте Відмову від відповідальності , щоб дізнатися більше про ризики.
1.4 ETH маленька крадіжка: аналіз того, як Lido реалізує ізоляцію ризиків через Децентралізацію
Автор: @IsdrsP (Керівник верифікаційної Ноди Lido)
Упорядник: Нікі, Foresight News
Рано вранці 10 травня постачальник послуг оракула Chorus One повідомив, що гарячий гаманець оракула Lido був зламаний, що призвело до крадіжки 1,46 ETH. Однак, згідно з аудитом безпеки, вплив цього ізольованого інциденту був обмеженим, а задіяний гаманець був розроблений лише для легких операційних цілей.
Атаку на оріакл дійсно звучить погано. Однак архітектурний дизайн Lido, ціннісні концепції зацікавлених сторін та культура внесків, орієнтована на безпеку, означають, що вплив таких подій є надзвичайно обмеженим — навіть якщо оріакл буде повністю зламаний, це не призведе до катастрофічних наслідків.
Отже, в чому ж унікальність Lido?
Ретельно продуманий дизайн та багаторівневі механізми захисту
Оракул Lido відповідає за передачу інформації з рівня консенсусу на рівень виконання та звітність про динаміку протоколу. Вони не контролюють кошти користувачів. Єдиний збої оракула призведе до незначних проблем, навіть якщо арбітражна процедура (quorum) буде зламано, це не призведе до катастрофічних наслідків.
Які зловмисні дії може спробувати окремий зламаний оракул?
A) Подати недобросовісний звіт (але буде проігноровано чесним оракулом);
B) вичерпав ETH баланс цієї конкретної адреси оракула (ця адреса використовується лише для проведення транзакцій і не містить коштів стейкерів).
Які обов'язки виконує оракул?
Оракул Lido по суті складається з розподіленого механізму, що складається з 9 незалежних учасників (необхідно 5/9 для досягнення консенсусу), основна відповідальність якого полягає у звітуванні про стан протоколу, поточні ключові функції включають:
• Виплата інфляційних винагород токенів (rebase)
• Обробка процесу виведення коштів
• Вихід ноди та моніторинг продуктивності для посилання CSM (Модуль безпеки спільноти)
Ці прогнози можуть подати «звіт» про спостережуваний стан протоколу. Ці звіти використовуються для розрахунку щоденних накопичених винагород або покарань, оновлення балансу stETH, обробки та остаточного підтвердження запитів на виведення, розрахунку заявок на вихід валідаторів, а також для оцінки продуктивності валідаторів.
По суті, оракул Lido відрізняється від того, як зазвичай розуміють «мультіпідпис». Оракул не має доступу до коштів стейкерів і протоколу, не може контролювати оновлення будь-яких контрактів протоколу, і ще менше може оновлювати себе чи керувати членством. Натомість Lido DAO підтримує список оракулів через голосування.
Функції оракула вкрай обмежені — він може виконувати лише такі операції: подавати звіти, які суворо відповідають детермінованим, перевіреним та відкритим алгоритмам, розробленим для різних цілей протоколу; у певних випадках виконувати транзакції для реалізації результатів звіту (наприклад, щоденна операція rebase протоколу).
Якщо 5 із 9 оракулів будуть зламані, яка буде найгірша ситуація? У цьому випадку зламані оракули можуть змовитися для подання недобросовісних звітів, але будь-який звіт повинен пройти перевірку обґрунтованості, що виконується за допомогою протоколу, що забезпечується в ланцюгу.
Якщо звіт порушує ці цілувальні перевірки, його час обробки буде подовжено (навіть може ніколи не бути) «урегульовано», оскільки значення у звіті повинні відповідати дозволеному діапазону зміни значень за певний період часу (кілька днів або кілька тижнів).
У найгіршому випадку це може означати, що ребейс, подібний до stETH (незалежно від того, позитивний він чи негативний), вимагатиме більше часу для реалізації, що вплине на власників stETH, але вплив на більшість власників буде незначним, якщо тільки хтось не використовує stETH з кредитним плечем у DeFi.
Існують і інші можливості: якщо зловмисний оракул та його спільники володіють певною інформацією або мають змогу здійснювати великі покарання на рівні консенсусу (наприклад, масове конфіскування), вони можуть використовувати затримку оновлення stETH на виконавчому рівні для отримання економічної вигоди.
Наприклад, якщо відбудеться масове конфіскація, деякі люди можуть продати частину stETH через децентралізовану біржу (DEX) до того, як настане негативний rebase. Проте це не вплине на операції з виведення, ініційовані користувачами безпосередньо через Lido, оскільки протокол активує режим «аварійного реагування» (bunker mode), що забезпечує справедливе виконання процесу виведення.
миттєва та повна прозорість
Від початку до кінця всі учасники екосистеми Lido — незалежно від того, чи це внесники, оператори нод, чи оператори оракулів — завжди ставили прозорість та доброчесність на перше місце, першочергово забезпечуючи права стейкерів та здоровий розвиток всієї екосистеми.
Незалежно від того, чи це активне публікування детальних звітів про аналіз після події, компенсація втрат від стейкінгу через зупинку інфраструктури, чи проактивний вихід з верифікаційних нод з превентивних міркувань, або ж швидке публікування всебічного звіту про інцидент, ці учасники завжди вважають прозорість найважливішою.
Постійна ітераційна модернізація
Lido завжди перебуває на передньому краї технологічних розробок, прагнучи використовувати технологію нульових знань (ZK) для підвищення безпеки та рівня децентралізації механізму оракула. Ще на початковому етапі команда вклала понад 200 тисяч доларів спеціального фінансування, щоб підтримати реалізацію бездокументної верифікації даних рівня консенсусу через технологію нульових знань.
Ці технічні дослідження врешті-решт призвели до розробки механізму "подвійної перевірки" SP1 нульового знання, розробленого командою SuccinctLabs, який буде офіційно запущений цього року. Цей механізм забезпечує додатковий рівень безпеки для потенційних негативних операцій rebase завдяки даним з підтверджуваного рівня консенсусу.
Наразі ці технології нульового знання все ще перебувають на стадії розвитку, відповідні віртуальні машини нульового знання (zkVM) повинні пройти практичне випробування, а також мають обмеження, пов'язані з повільною швидкістю обчислень та високими витратами на обчислення, і поки що не можуть повністю замінити надійні оракули. Але в довгостроковій перспективі ці рішення можуть стати альтернативою з мінімізацією довіри для існуючих оракулів.
Технологія ораклів є дуже складною, і її застосування в сфері DeFi різноманітне. У протоколі Lido оракл є ключовим компонентом, ретельно спроектованим за допомогою ефективної децентралізованої архітектури, механізму розділення обов'язків та багатошарової системи перевірки, що суттєво знижує вплив потенційних ризиків.
Джерело контенту: