数据可用性风险框架——征求反馈
- l2beat
- 发布于 2024-05-18 19:18
- 阅读 83
L2BEAT发布了一个数据可用性(DA)解决方案的风险评估框架,旨在评估不同DA解决方案的安全性。该框架从经济安全、欺诈检测机制、证明安全性、退出窗口和可访问性五个方面对DA解决方案进行分级评估,并邀请社区提供反馈以完善该框架, 从而帮助L2用户了解不同DA提供商的风险情况。
数据可用性风险框架——征集反馈
注意: 此帖子与同一主题的论坛帖子相呼应。我们邀请社区分享他们的反馈,以最终确定此风险框架,请加入 L2BEAT 论坛上的讨论。
L2BEAT 研究团队想介绍一个风险框架,旨在评估数据可用性 (DA) 解决方案的安全概况。此框架扩展了我们之前在评估不同 L2 架构的安全性方面所做的努力,旨在提供一个特定于 DA 提供商的风险分类系统。在此阶段,我们邀请广泛的社区反馈,以完善和加强我们的框架。
背景
数据可用性 (DA) 层需要保证用户可以访问 L2 交易数据。在 ZK rollup 中,用户需要能够访问交易数据或状态差异,以重新创建和推进状态(例如,用于提款)。此外,在 Optimistic rollup 中,用户需要数据才能够质疑不诚实的状态根提议者。
为了确保数据可用,结算层上的 L2 状态验证桥需要证明在某个时间点,数据已在 DA 层上公开可用。如果 L2 以 blob 或 calldata 的形式将数据直接发布到以太坊,则此要求自然得到满足,因为所有数据都发布在链上,并且验证桥可以访问其承诺。另一方面,如果 L2 选择外部 DA 提供商,则只有数据承诺会发布到以太坊(而完整数据会发布到该 DA 提供商)。在这种情况下,必须“说服”以太坊完整数据确实可用。这是通过所谓的 DA 桥完成的,它只是证明给定承诺的某些数据已提供给外部系统(因此,此 DA 桥充当以太坊的 Oracle)。
从以太坊的角度来看,外部 DA 提供商的安全假设不仅取决于 DA 解决方案本身的内在特征,还取决于其安全属性与发布到以太坊上 DA 桥的数据证明的映射程度。
以下部分旨在对 DA 解决方案需要为 L2 提供的安全保证进行分类,以便 L2 继承结算层的安全属性。
1 — 经济安全
经济安全衡量的是我们可以对多数共识的信任程度,可视为委员会成功欺骗 DA 桥所需的烧毁资金量。其评分如下:
级别
- 🟢 绿色:贿赂风险可在链上量化,且总可削减资金 > 总价值保障。委员会成员在公共网络上持有可削减资产。
- 🟡 黄色:贿赂风险可在链下公开验证(例如,声誉风险)或总可削减资金 < 总价值保障。委员会成员的贿赂风险可公开验证,但不可削减。
- 🔴 红色:贿赂风险无法公开验证或量化(例如,匿名委员会)。
2 — 欺诈检测机制
欺诈检测机制类别衡量的是用户如何有效地保护自己免受恶意多数委员会成员(例如,验证者)的侵害。
数据可用性证明的问题在于,如果数据不可用,我们无法轻易地说——作为一个独立的观察者——丢失的交易从未由区块生产者发布,或者它已发布但由于某种原因我们没有收到它。正如渔民困境中所述,数据扣留攻击不是可归因的错误,并且在智能合约级别无法实现削减机制。因此,需要一种在 DA 层上进行削减的机制,以防止无利害关系问题。在某些项目中,此机制是数据可用性采样 (DAS)。未能执行 DAS 的轻客户端将停止处理新的区块头,从而强制停止并诉诸社会共识来削减恶意验证者。
以太坊无法执行此数据可用性验证,因为智能合约具有被动性,无法主动从外部来源采样数据。因此,对 Optimium 和 Validium 的风险分析需要侧重于链下观察者(如轻节点)的角度,并评估其检测 DA 层欺诈的能力。其评分如下:
级别
- 🟢 绿色:可以在 DA 层上检测到数据扣留攻击和无效数据。DAS 具有区块重建,具有纠删码欺诈证明。
- 🟡 黄色:DAS 没有区块重建,具有纠删码欺诈证明。
- 🔴 红色:没有欺诈检测机制。
将来,这些级别可以扩展到包括特定于 DAS 安全性的其他级别,例如匿名抽样以防止选择性共享披露攻击。有关更多详细信息,请参见此帖子,其中介绍了不同的 DAS 安全级别。
请注意,虽然当前的 Proto-Danksharding (EIP-4844) 没有针对不诚实多数的欺诈保护机制,但未来的 Danksharding 计划采用 DAS 机制,从而可以实现高效的轻客户端。
3 — 证明安全
证明安全评估 DA 桥验证数据承诺的能力的稳健性,而不会引入额外的信任假设。它评估 DA 桥是否可以安全地确认数据可用性证明受到 DA 层的经济安全支持,从而确保 DA 层的签名得到准确验证并在链上跟踪。其评分如下:
级别
- 🟢 绿色:验证证明是否由 DA 层定义的经济安全支持,验证委员会签名,并在链上跟踪签名者集。在 zk 证明数据承诺的情况下,验证者签名的正确性和阈值应作为证明的一部分进行验证。不允许签名伪造。承诺频率应尊重 DA 终结性和委员会成员取消绑定期。
- 🟡 黄色:可能存在签名伪造,签名者集与 DA 层本身不同(通常小得多)。
- 🔴 红色:没有桥或未满足任何要求。
4 — 退出窗口
退出窗口标准检查 DA 桥的可升级性,特别关注提款机制以及允许用户在升级时退出的时间。此类别考虑了时间锁或其他安全措施的存在,这些措施确保用户有足够的时间在实施对桥合约的任何更改之前提取资金。其评分如下:
级别
- 🟢 绿色:不可变的桥,或升级时间锁允许用户有足够的时间退出
- 🟡 黄色:安全委员会可以升级桥,或者带有时间锁的 EOA
- 🔴 红色:没有时间锁的智能合约(例如,多重签名),或者 EOA 可以升级桥
5 — 可访问性
可访问性衡量的是可以直接从以太坊网络访问数据的难易程度。此类别区分了集成到以太坊协议(已嵌入)中的 DA 解决方案和未集成到以太坊协议中的 DA 解决方案。其评分如下:
级别
- 🟢 绿色:嵌入在以太坊协议中。
- 🔴 红色:未嵌入。
重要的是要注意,此风险类别仅适用于以太坊 L2,而不适用于独立使用 DA 层的 Sovereign Rollup。
此风险框架旨在指导 L2 用户了解不同 DA 提供商的风险概况,并指导开发人员和研究人员加强 L2 扩展解决方案的安全性。我们邀请社区分享他们的反馈,以最终确定此风险框架,请加入 L2BEAT 论坛上的讨论。
- 原文链接: medium.com/l2beat/data-a...
- 登链社区 AI 助手,为大家转译优秀英文文章,如有翻译不通的地方,还请包涵~
