Layer 2 安全性底层探究：证明系统、升级密钥，以及究竟是什么在保护你的资金

如果你正在以太坊 L2 上部署合约，证明系统并不是你的主要安全风险。升级密钥才是。

本指南详细解析了 Arbitrum One、Optimism (OP Mainnet) 和 Polygon zkEVM 这三种架构的信任假设、证明机制和中心化向量，它们代表了两种主流的 Rollup 范式。尽管 Polygon zkEVM 将在 2026 年弃用，但仍将其包含在内，因为它的故障模式对于任何评估 ZK rollup 部署的人都具有启发意义。

目标很简单：在发布前为你提供建模风险所需的技术数据。

Rollup 如何从 L1 获得安全性

这三个网络都在链下执行交易，并将状态承诺锚定到以太坊。区别在于它们如何证明这些承诺是正确的。

• Optimistic Rollup (Arbitrum, Optimism)：假设状态转换是有效的。如果验证者发现无效的状态根，他们会在挑战窗口内提交 fraud proof。只要存在一个诚实的验证者，并且该验证者能够访问构建证明所需的数据，安全性就能得到保障。
• ZK Rollup (Polygon zkEVM)：每个批次都包含一个在链上验证的加密有效性证明。没有挑战窗口，对于状态正确性没有诚实观察者假设。权衡之处在于：电路复杂度变成了攻击面。

两种模型都会将完整的交易数据发布到以太坊 L1（calldata 或 EIP-4844 blob），从而实现独立的状态重建。这种数据可用性层是将 Rollup 与侧链区分开来的关键——如果你正在评估跨链桥安全，理解这一区别至关重要。Polygon zkEVM 从未集成 blob 支持——这一成本劣势导致了它的弃用。

欺诈证明：BoLD vs. Cannon

Arbitrum 的多轮交互式证明

Arbitrum 使用 BoLD (Bounded Liquidity Delay)，于 2025 年 2 月部署到主网。其机制为：

• 被争议的状态断言会触发一个交互式的二分游戏 (Bisection game)
• 协议通过三个阶段缩小分歧：区块级 → 2²⁰ 条 WASM 指令范围 → 单条指令
• 该单条 WASM 指令在以太坊 L1 上执行，进行确定性裁决
• 败诉方的质押金将被罚没 (Slashed)

BoLD 的关键特性：

• 无许可验证——任何人都可以发布和挑战断言（此前仅限于约 14 个白名单验证者）
• 全员对全员 (All-vs-all) 的争议模型——一个诚实的防御者可以同时抵抗任意数量的恶意挑战者，消除了顺序延迟攻击
• 固定确认上限——争议在约 12.8 天内解决（两个 6.4 天的挑战期加上 2 天的安全委员会宽限期）
• 无需信任的债券池——保卫网络需要大量资金（例如 Arbitrum One 上每个断言需 200 WETH），但资金池允许在互不信任的情况下进行集体出资
• 防御者资本风险：约占攻击者部署总资本的 15%

BoLD 由 Trail of Bits 审计，并经历了 Code4rena 竞赛审计（300,500 美元奖金池，2024 年 5 月）。了解在此规模下审计的实际成本有助于理解对 L2 安全基础设施的投资背景。

Optimism 的单轮故障证明

Optimism 于 2024 年 6 月部署了 Cannon 故障证明系统，从完全信任的提议者转向了无许可挑战。在此之前，该网络在没有实时证明系统的情况下运行了多年——这是对中心化提议者的明确信任假设。

其机制为：

• 状态转换函数编译为 MIPS 虚拟机
• op-challenger 监控 DisputeGameFactory 合约中的无效输出提案
• 争议使用最大深度为 73 层的二分游戏
• 在游戏解决后、提款执行前增加了一个空窗期 (Airgap window) 延迟
• 管理员角色（由安全委员会持有）可以暂停提款或将特定的争议游戏列入黑名单

值得注意的工程考虑：

• Cannon 在历史上需要补丁来禁用 Go 的垃圾回收器以实现确定性执行
• 多线程 Cannon (MT-Cannon) 引入了 64 位 MIPS 模拟以解决内存限制，但增加了并发风险——理论上，死锁或线程饥饿可能会阻止证明生成
• 防御者资本风险：在最大游戏深度下约占攻击者部署资本的 109%（累计约 691 ETH 债券）

资本不对称性非常显著。在资源耗尽攻击中，只有资金雄厚的机构实体才能可靠地在 Optimism 上担任诚实观察者。Arbitrum 的 BoLD 将这一门槛降低了一个数量级。

证明系统对比

ZK 有效性证明：Polygon zkEVM 的架构

Polygon zkEVM 使用了结合 STARK 和 SNARK 的混合证明系统：

1. eSTARK 作为主要后端——在 Goldilocks 域 (p = 2⁶⁴ − 2³² + 1) 上的扩展 STARK，使用 FRI 进行多项式承诺
2. 递归聚合——聚合 STARK 证明以降低验证成本
3. STARK 到 SNARK 的转换——最后一步转换为 Groth16 SNARK (FFLONK 方案)，通过 BN254 配对曲线进行常数大小的链上验证，将 L1 验证 Gas 从约 5M 降低到约 350K

EVM 操作码通过 zkASM 实现，这是一种在 ZK 电路内运行的自定义汇编语言。证明者 (zkProver) 是中心化的，仅由 Polygon Labs 运营。

ZK 电路漏洞类别

电路复杂度引入了 Optimistic Rollup 中不存在的漏洞类别：

• 约束不足的自由输入 (Underconstrained free inputs)：zkASM 模式中自由输入缺乏足够的多项式约束。攻击者可以操纵执行路径，同时仍能生成有效的证明。
• 双重执行路径攻击：消耗不同 ZK 计数器的不同路径可能都会产生有效的证明。FreeVer 工具（2025 年学术研究）发现了 6 个健全性 (Soundness) 问题和 1 个完整性 (Completeness) 问题，所有这些问题都被 Polygon 确认具有高影响。
• STARK↔SNARK 域不兼容：Goldilocks 域（64 位）和 BN254 域（254 位）具有不同的算术特性。Verichains 在 2023 年底发现，该转换层中的 Merkle 根计算可能被利用来完全伪造证明。已于 2023 年 12 月修复。
• ecrecover 差异：zkASM 的 ecrecover 与标准 EVM 之间的实现差异可能允许为不合规的交易生成证明。
• 存储状态机中的整数溢出：Spearbit 的发布前审计发现了溢出漏洞，可能使不诚实的证明者能够进行未经授权的状态操纵。

对于任何评估 ZK Rollup 的人的启示：攻击面从博弈论（我们能否激励诚实观察者？）转向了加密实现的正确性（电路是否真的健全？）。ZK 电路中的漏洞更难检测，且具有潜在的灾难性——一个看起来有效的伪造证明可以抽干所有资金。

升级密钥凌驾于证明系统之上

这是风险建模中最重要的部分。

如果一个多签 (Multisig) 可以在没有延迟的情况下升级 Rollup 的 L1 合约，那么证明系统就变得无关紧要了。安全模型塌缩为“信任密钥持有者”。如果你处理过智能合约中的升级模式，你会意识到这就是同样的代理升级风险——只是被放大到了协议规模。

Arbitrum：受 Timelock 控制的 DAO 治理

• DAO 治理控制所有升级（4.5% 法定人数门槛）
• 常规升级路径：L2 Timelock (8 天) → L2→L1 消息 (6.4 天挑战期，可延长 2 天) → L1 Timelock (3 天)。总计：约 17 天以上
• 安全委员会：12 名成员，由 DAO 在半年一次的队列选举中选出，名单公开
• 紧急路径：9/12 多签可以立即升级（无延迟）
• 非紧急路径：7/12 阈值，受 Timelock 限制
• 8 天的 L2 Timelock 是刻意设计的——它超过了 6.4 天的 BoLD 挑战期，防止委员会在争议中途更改合约规则
• 退出窗口：用户可以在任何 DAO 发起的升级执行前撤资

Optimism：无退出窗口

• 所有合约均可通过 SuperchainProxyAdmin 升级，由 2/2 多签（Optimism 基金会 + 安全委员会）控制
• 常规升级没有 Timelock——更改可以立即执行
• 没有退出窗口——用户无法在升级生效前撤资
• 管理员角色（由安全委员会持有）可以在整个超级链 (Superchain) 范围内暂停提款长达 3 个月
• 副管理员角色（由基金会持有）可实现快速事件响应；可由委员会移除
• DAO 治理通过投票表达意图，但没有直接的链上升级权限

缺乏升级 Timelock 是 Optimism 最显著的中心化向量。如果 2/2 多签被攻破——通过密钥窃取、胁迫或勾结——管理桥接和故障证明解决的合约逻辑可以在用户无法追索的情况下更改。这是一个独立于证明系统之外的治理攻击面。

Polygon zkEVM：无 Timelock 的紧急权力

• 常规升级：带有 10 天 Timelock 的 2/3 开发者多签
• 紧急状态：6/8 安全委员会可以激活 activateEmergencyState，这将停止排序 (Sequencing)、阻塞桥接并禁用 forceBatch
• 专门针对 zkEVM 没有 DAO 治理机制
• Sequencer 和 Aggregator 都在 Polygon Labs 的中心化控制下

升级治理摘要

Sequencer 中心化与抗审查性

所有三个网络都在运行（或曾运行）中心化的 Sequencer。Sequencer 无法捏造无效状态——L1 结算强制执行正确性——但它可以重新排序、延迟或审查交易。这创造了与 L1 相同的 MEV 提取机会，但集中在单一运营商手中。

• Arbitrum：Sequencer 由 Arbitrum 基金会运营。用户可以通过 L1 DelayedInbox 强制包含交易。Sequencer 去中心化已在计划中，但仍在进行中。

• Optimism：Sequencer 由 Optimism 基金会运营。用户可以在 L1 上强制执行交易，延迟最多 12 小时。如果 Sequencer 离线超过 30 分钟的偏移阈值，它将进入追赶阶段，以与 L1 1:1 的比例生产区块，直到重新同步。

• Polygon zkEVM：Sequencer 和 Aggregator 由 Polygon Labs 运营。forceBatch 仅在该链生命周期的后期、弃用公告发布前才被启用。

• • *

活性故障：什么出了故障以及原因

• Arbitrum (2023 年 12 月)：铭文相关的流量消耗了约 90% 的网络负载，导致 Sequencer 停机约 1.5 小时。由于并发的软件升级冲突，次级节点未能接管。
• Optimism：在早期运行期间发生了多次与 RPC 相关的小事故。Sequencer 层面没有记录到长时间停机。
• Polygon zkEVM (2024 年 3 月)：由于 L1 区块重组引发了 10-14 小时的停机。L2 同步器未能检测到丢失的全局状态更新交易，导致 Sequencer 生产了带有损坏时间戳和无效全局退出根 (Global Exit Root) 的批次。L1 拒绝了这些批次，导致证明生成完全停止。恢复工作需要宣布进入紧急状态、手动重写 ROM 架构、强制升级 L1 验证器并重新执行数千个孤立交易。在停机期间，用户没有通用的机制来强制提取资产。

这些事件说明了为什么深度防御方法对于 L2 部署至关重要——单一层的保护是不够的。

审计历史和关键事件

了解审计覆盖范围为这些网络的安全投资的真实回报 (ROI) 提供了背景。

Arbitrum

• 审计：Trail of Bits (BoLD, Nitro v3.9.3)、Code4rena 竞赛审计（300.5K 美元奖金池）、ChainSecurity
• Bug Bounty：Immunefi，针对严重漏洞最高奖励 200 万美元
• 著名事件：2024 年安全委员会修复了一个漏洞，保护了 Arbitrum dApp 中约 1 亿美元的 TVL。核心协议上没有已知的导致用户资金损失的漏洞。

Optimism

• 审计：核心开发团队 (OP Labs, Base, Succinct Labs) 以及外部审计机构
• Bug Bounty：Immunefi。2022 年 2 月为无限增发漏洞支付了 200 万美元奖金
• 著名事件：OVM 的 SELFDESTRUCT 操作码处理缺陷允许通过合约重用循环在 L2 上无限铸造合成 ETH。L2 Token 已归还，但债务记录未清除，导致余额增加到三倍。由白帽在被利用前发现。

Polygon zkEVM

• 审计：35 个组件由 26 名研究人员审计了 3 次（约 4 个月）。Hexens 发现了 9 个漏洞（4 个严重）。Spearbit 发现了 10 个严重、1 个高危、4 个中危。Spearbit 进行了专门的 ZK 电路/密码学审计。

• Bug Bounty：Immunefi

• 著名事件：STARK↔SNARK 证明伪造（Verichains，2023 年 12 月修复）；FreeVer 研究发现 zkASM 电路中的 6 个健全性 + 1 个完整性问题（2025 年，确认具有高影响）

• • *

Polygon zkEVM 弃用：ZK Rollup 评估的教训

Polygon 宣布于 2025 年年中关闭 zkEVM 主网 Beta 版。促成因素包括：

• TVL 低于 50M；年运营亏损超过 50M；年运营亏损超过 50M；年运营亏损超过 1M
• 从未集成 EIP-4844 blob 支持，失去了相对于 Optimistic Rollup 的成本竞争力
• ZK 计数器限制阻碍了与复杂 DeFi 协议的集成
• 电路复杂度创造了需要深度密码学专业知识才能审计的漏洞类别
• Prover 在该链的整个生命周期内保持中心化

ZK 技术被重新定向到 Polygon 的 AggLayer 和 CDK 框架。AggLayer 使用悲观证明 (Pessimistic Proofs)——一种基于 ZK 的会计抽象，默认假设每个参与的 L2 都是欺诈的。它不是验证跨链的完整状态执行，而仅验证没有任何链从统一桥提取的资金超过其原始存款。这件任何单一被攻破的链的破坏半径限制在自有的资本内。

Sequencer 将继续运行 12 个月，并永久启用 forceBatch 以供用户退出。

使用这些数据进行风险建模

截至 2026 年 4 月，还没有任何以太坊 L2 达到 Stage 2。每次部署都带有残留的信任假设。在做出部署或集成决策时，请按照以下方式使用上述内容：

• 评估升级路径，而非证明系统。9/12 紧急多签 (Arbitrum) 或 2/2 立即升级多签 (Optimism) 定义了你实际的信任边界。模拟这些密钥被攻破的场景。
• 量化你的退出窗口。Arbitrum 约 17 天的 DAO 升级流水线给了用户撤资的时间。Optimism 的零延迟常规升级则没有。如果你的协议在 L2 上持有大量 TVL，这一差距直接影响你用户的风险敞口。
• 评估诚实验证的资本要求。如果你计划运行验证者或观察者，Arbitrum 的 BoLD 需要约 15% 的攻击者资本来防御。Optimism 的 Cannon 需要约 109%。这决定了独立验证对你的团队在经济上是否可行。
• 对于 ZK Rollup 集成：审计电路约束，而不仅仅是智能合约。约束不足的自由输入、证明转换中的域不兼容以及 ZK 计数器限制是你的审计员需要专门针对的类别。
• 监控数据可用性。Arbitrum 和 Optimism 都会将完整的 DA 发布到以太坊 L1。如果你正在评估替代 DA 层（例如 Arbitrum Nova 的 AnyTrust DAC），请理解 DA 越弱 = 欺诈证明保证越弱。
• 跟踪治理变化。安全委员会的组成、多签阈值和 Timelock 时长都会通过治理提案发生变化。订阅你拥有重大敞口的任何 L2 的治理论坛。

证明系统是机制。升级密钥是政策。安全的部署需要对两者进行建模。

在任何 L2 上部署之前，请通读预审计安全检查清单，以确保你的合约针对目标链的特定信任模型进行了加固。

与 Zealynx 合作

在 Zealynx，我们审计部署在 L1 和 L2 环境（包括 Arbitrum、Optimism 和 ZK Rollup 链）中的智能合约。我们不仅评估你的合约逻辑，还评估你的协议所依赖的基础设施的信任假设。无论你需要全方位的安全审计还是针对 L2 集成点的专项审查，我们都能助你信心十足地发布。

联系我们——保障你的 L2 部署安全

FAQ：Layer 2 安全

1. 什么是 Rollup，它与侧链有何不同？

Rollup 在链下执行交易，但将交易数据发回以太坊 L1，允许任何人独立验证状态正确性。侧链运行自己的共识，且不将数据锚定到以太坊——如果侧链验证者勾结，资金可能被盗且无法在 L1 追索。Rollup 继承了以太坊的安全性保证，因为重建状态所需的数据始终在 L1 上可用。这种区别对于风险建模非常重要：Rollup 用户始终可以通过 L1 强制退出，而侧链用户则完全依赖于侧链自身的验证者集。

2. 什么是欺诈证明 (Fraud proof)，它如何保护 Optimistic Rollup 上的资金？

欺诈证明是一种允许任何验证者对发布到以太坊的无效状态转换提出挑战的机制。在像 Arbitrum 和 Optimism 这样的 Optimistic Rollup 中，状态更新被假定为有效，除非有人在挑战窗口（通常为 7-14 天）内证明其无效。如果验证者检测到欺诈性的状态根，他们会向 L1 提交欺诈证明——争议的计算将在链上重新执行，不诚实方的质押金将被罚没。安全性依赖于至少有一个诚实的验证者监控链，并拥有发布挑战债券的资本。

3. L2 成熟度的 "Stage 1" 与 "Stage 2" 是什么意思？

L2BEAT 根据信任假设将 Rollup 分为不同的成熟阶段。Stage 0 意味着 Rollup 依赖于一个没有实时证明系统的中心化运营商。Stage 1 意味着存在工作的证明系统且用户可以强制退出，但安全委员会仍可以覆盖系统（例如紧急升级）。Stage 2 意味着证明系统是完全无需信任的——安全委员会只能在受到严格约束、可审计的范围内行动。截至 2026 年 4 月，尚无主流 L2 达到 Stage 2。Arbitrum 和 Optimism 都处于 Stage 1，这意味着它们的安全委员会仍然是一个核心信任假设。

4. 什么是升级密钥，为什么它们比证明系统的风险更大？

升级密钥是控制修改 Rollup L1 智能合约能力的私钥（通常由多签钱包持有）。如果多签可以在没有 Timelock 或退出窗口的情况下推送合约升级，密钥持有者就可以更改桥接逻辑、禁用欺诈证明或抽干锁定的资金——无论证明系统多么稳健。例如，Optimism 的 2/2 多签可以立即升级所有合约，没有用户退出窗口。证明系统仅能防止无效的状态转换；升级密钥可以重写什么是“有效的”。这就是为什么评估治理比评估证明设计更重要的原因。

5. 中心化 Sequencer 能盗取我的 Layer 2 资金吗？

不能——中心化的 Sequencer 无法捏造无效的状态转换，因为 L1 结算通过欺诈证明或有效性证明强制执行正确性。然而，中心化的 Sequencer 可以审查你的交易（拒绝包含它们）、重新排序交易以提取 MEV，或者完全离线，暂时阻止你进行交易。在 Arbitrum 和 Optimism 上，用户有一个后备方案：他们可以直接通过 L1 合约强制包含交易，绕过 Sequencer。这种强制包含路径有一定的延迟（在 Optimism 上长达 12 小时），但只要以太坊 L1 正常运行，它就能保证抗审查性。

6. 我该如何评估哪种 L2 部署高 TVL 协议最安全？

重点关注四个因素：(1) 退出窗口——你的用户能否在治理发起的升级生效前撤资？Arbitrum 提供约 17 天；Optimism 提供零天。(2) 升级权限——什么多签阈值控制合约更改，是否有 Timelock？(3) 验证者经济学——你是否负担得起运行一个独立的观察者？Arbitrum 的 BoLD 需要攻击者资本的约 15% 即可防御，而 Optimism 的 Cannon 需要约 109%。(4) 数据可用性——Rollup 是将完整交易数据发布到以太坊，还是依赖委员会（如 Arbitrum Nova 的 AnyTrust DAC）？对于高 TVL 部署，优先选择具有 Timelock 升级、退出窗口和经济上可行的独立验证的链。

术语表

查看完整术语表 →

• 原文链接： zealynx.io/blogs/l2-roll...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～