10 мая в полночь провайдер оракулов Chorus One сообщил, что горячий кошелек Lido оракула был взломан, в результате чего было украдено 1,46 ETH. Однако, согласно проведенному аудиту безопасности, это изолированное событие имеет ограниченное влияние, так как затронутый кошелек изначально был спроектирован только для легковесного операционного использования.
Атака на оркул звучит действительно плохо. Тем не менее, архитектурный дизайн Lido, ценности заинтересованных сторон и культура участников, ориентированная на безопасность, означают, что влияние таких событий крайне ограничено — даже если оркул будет полностью взломан, это не приведет к катастрофическим последствиям.
Итак, в чем же уникальность Lido?
Продуманный дизайн и многоуровневая система защиты
Оракулы Lido отвечают за передачу информации с уровня консенсуса на уровень исполнения и отчет о динамике протокола. Они не управляют средствами пользователей. Один единственный оракул, вышедший из строя, приведет лишь к небольшим проблемам, даже если арбитражная процедура (кворум) будет нарушена, это не приведет к катастрофическим последствиям.
Какие злонамеренные действия может предпринять один скомпрометированный оракул?
A) Подать недобросовестный отчет (но будет проигнорирован честным оракулом);
B) Исчерпать ETH баланс данного конкретного адреса оракула (адрес используется только для операционных транзакций и не хранит средства ставщиков).
Какова роль оракула?
Оракул Lido по сути представляет собой распределенный механизм, состоящий из 9 независимых участников (необходима консенсус 5/9), который в основном отвечает за отчетность о состоянии протокола, а текущие основные функции включают:
• Выход узла верификации и мониторинг производительности для использования CSM (Модуль Сообщества Безопасности)
Эти предсказательные возможности предоставляют протоколу свои наблюдаемые состояния «отчеты». Эти отчеты используются для расчета ежедневных накопленных вознаграждений или наказаний, обновления баланса stETH, обработки и окончательного подтверждения запросов на вывод средств, расчета заявок на выход валидаторов, а также для оценки производительности валидаторов.
По сути, оракул Lido отличается от того, что люди обычно понимают под «мультиподписанием». Оракул не может получить доступ к средствам ставщиков и протокола, не может контролировать обновления любых контрактов протокола и не может обновлять себя или управлять своим членством. Вместо этого Lido DAO поддерживает список оракулов через голосование.
Функции оракула крайне ограничены — он может выполнять только следующие действия: подавать отчеты, которые строго соответствуют детерминированным, проверенным и открытым алгоритмам, разработанным для различных целевых протоколов; в определенных случаях выполнять транзакции для реализации результатов отчетов (например, ежедневная операция rebase протокола).
Если 5 из 9 оракулов будут взломаны, каковы будут наихудшие последствия? В этом случае взломанные оракулы могут сговориться и подать злонамеренные отчеты, но любые отчеты должны пройти проверку разумности по протоколу, принудительно исполняемому на блокчейне.
Если отчет нарушает эти проверки разумности, время его обработки будет увеличено (возможно, он никогда не сможет быть) «рассчитан», так как значения в отчете должны соответствовать диапазону допустимых изменений значений за определенный период времени (несколько дней или недель).
В худшем случае это может означать, что ребейз, подобный stETH (независимо от того, положительный он или отрицательный), будет требовать больше времени для вступления в силу, что повлияет на держателей stETH, но влияние на большинство держателей будет минимальным, если только кто-то не использует stETH с кредитным плечом в DeFi.
Также существуют и другие возможности: если злонамеренные оракулы и их сообщники обладают определенной информацией или имеют возможность применить крупные штрафы на уровне консенсуса (например, массовые конфискации), они могут использовать задержку обновления stETH на уровне исполнения для получения экономической выгоды.
Например, если произойдет массовое конфискация, некоторые люди могут продать часть stETH через децентрализованную биржу (DEX) до вступления в силу негативного ребейса. Однако это не повлияет на операции по снятию, инициированные пользователями напрямую через Lido, так как «режим экстренной ситуации» (bunker mode) будет активирован, чтобы обеспечить справедливое выполнение процесса снятия.
Мгновенная и полная прозрачность
На протяжении всего времени все участники экосистемы Lido — будь то вкладчики, узел операторы или операторы оракулов и т. д. — всегда ставили прозрачность и доброжелательность на первое место, приоритетно защищая права стейкеров и здоровье всей экосистемы.
Независимо от того, публикуют ли они подробные отчеты о последующем анализе, компенсируют ли убытки от стейкинга, вызванные простой инфраструктуры, или по профилактическим соображениям активно выходят из узлов верификации, либо быстро публикуют полные отчеты о происшествиях, эти участники всегда рассматривают прозрачность как первоочередную задачу.
Продолжительное итерационное обновление
Lido всегда находится на переднем крае разработки технологий, стремясь использовать технологии нулевых знаний (ZK) для повышения безопасности и уровня децентрализации механизма оракулов. Уже на начальном этапе команда вложила более 200000 долларов специального финансирования, поддерживая реализацию бездоверительной верификации данных уровня консенсуса с помощью технологий нулевых знаний.
Эти исследования в области технологий в конечном итоге привели к запуску механизма «Двойной проверки» SP1 нулевого знания, разработанного командой SuccinctLabs, который будет официально запущен в этом году. Этот механизм предоставляет дополнительный уровень безопасности для потенциальных негативных операций rebase через проверяемые данные на уровне консенсуса.
В настоящее время такие технологии нулевых знаний все еще находятся на стадии разработки. Связанные с ними виртуальные машины нулевых знаний (zkVM) должны пройти испытания в реальных условиях, а также имеют ограничения, такие как медленная скорость вычислений и высокая стоимость вычислений, и пока не могут полностью заменить доверенные оракулы. Однако в долгосрочной перспективе такие решения могут стать минимизированной альтернативой для существующих оракулов.
Технология Oracle сложна и имеет множество вариантов использования в пространстве DeFi. В протоколе Lido оракулы спроектированы как ключевые компоненты, позволяющие значительно снизить объем потенциальных рисков за счет эффективной децентрализованной архитектуры, разделения обязанностей и многоуровневой системы валидации.
Содержание носит исключительно справочный характер и не является предложением или офертой. Консультации по инвестициям, налогообложению или юридическим вопросам не предоставляются. Более подробную информацию о рисках см. в разделе «Дисклеймер».
1.4 ETH маленькое дело о краже: анализ того, как Lido реализует риск-менеджмент через Децентрализация дизайна
Автор: @IsdrsP (Руководитель узла в Lido)
Компиляция: Nicky, Foresight News
10 мая в полночь провайдер оракулов Chorus One сообщил, что горячий кошелек Lido оракула был взломан, в результате чего было украдено 1,46 ETH. Однако, согласно проведенному аудиту безопасности, это изолированное событие имеет ограниченное влияние, так как затронутый кошелек изначально был спроектирован только для легковесного операционного использования.
Атака на оркул звучит действительно плохо. Тем не менее, архитектурный дизайн Lido, ценности заинтересованных сторон и культура участников, ориентированная на безопасность, означают, что влияние таких событий крайне ограничено — даже если оркул будет полностью взломан, это не приведет к катастрофическим последствиям.
Итак, в чем же уникальность Lido?
Продуманный дизайн и многоуровневая система защиты
Оракулы Lido отвечают за передачу информации с уровня консенсуса на уровень исполнения и отчет о динамике протокола. Они не управляют средствами пользователей. Один единственный оракул, вышедший из строя, приведет лишь к небольшим проблемам, даже если арбитражная процедура (кворум) будет нарушена, это не приведет к катастрофическим последствиям.
Какие злонамеренные действия может предпринять один скомпрометированный оракул?
A) Подать недобросовестный отчет (но будет проигнорирован честным оракулом);
B) Исчерпать ETH баланс данного конкретного адреса оракула (адрес используется только для операционных транзакций и не хранит средства ставщиков).
Какова роль оракула?
Оракул Lido по сути представляет собой распределенный механизм, состоящий из 9 независимых участников (необходима консенсус 5/9), который в основном отвечает за отчетность о состоянии протокола, а текущие основные функции включают:
• Выплата инфляционных вознаграждений токенов (rebase)
• Обработка процесса вывода средств
• Выход узла верификации и мониторинг производительности для использования CSM (Модуль Сообщества Безопасности)
Эти предсказательные возможности предоставляют протоколу свои наблюдаемые состояния «отчеты». Эти отчеты используются для расчета ежедневных накопленных вознаграждений или наказаний, обновления баланса stETH, обработки и окончательного подтверждения запросов на вывод средств, расчета заявок на выход валидаторов, а также для оценки производительности валидаторов.
По сути, оракул Lido отличается от того, что люди обычно понимают под «мультиподписанием». Оракул не может получить доступ к средствам ставщиков и протокола, не может контролировать обновления любых контрактов протокола и не может обновлять себя или управлять своим членством. Вместо этого Lido DAO поддерживает список оракулов через голосование.
Функции оракула крайне ограничены — он может выполнять только следующие действия: подавать отчеты, которые строго соответствуют детерминированным, проверенным и открытым алгоритмам, разработанным для различных целевых протоколов; в определенных случаях выполнять транзакции для реализации результатов отчетов (например, ежедневная операция rebase протокола).
Если 5 из 9 оракулов будут взломаны, каковы будут наихудшие последствия? В этом случае взломанные оракулы могут сговориться и подать злонамеренные отчеты, но любые отчеты должны пройти проверку разумности по протоколу, принудительно исполняемому на блокчейне.
Если отчет нарушает эти проверки разумности, время его обработки будет увеличено (возможно, он никогда не сможет быть) «рассчитан», так как значения в отчете должны соответствовать диапазону допустимых изменений значений за определенный период времени (несколько дней или недель).
В худшем случае это может означать, что ребейз, подобный stETH (независимо от того, положительный он или отрицательный), будет требовать больше времени для вступления в силу, что повлияет на держателей stETH, но влияние на большинство держателей будет минимальным, если только кто-то не использует stETH с кредитным плечом в DeFi.
Также существуют и другие возможности: если злонамеренные оракулы и их сообщники обладают определенной информацией или имеют возможность применить крупные штрафы на уровне консенсуса (например, массовые конфискации), они могут использовать задержку обновления stETH на уровне исполнения для получения экономической выгоды.
Например, если произойдет массовое конфискация, некоторые люди могут продать часть stETH через децентрализованную биржу (DEX) до вступления в силу негативного ребейса. Однако это не повлияет на операции по снятию, инициированные пользователями напрямую через Lido, так как «режим экстренной ситуации» (bunker mode) будет активирован, чтобы обеспечить справедливое выполнение процесса снятия.
Мгновенная и полная прозрачность
На протяжении всего времени все участники экосистемы Lido — будь то вкладчики, узел операторы или операторы оракулов и т. д. — всегда ставили прозрачность и доброжелательность на первое место, приоритетно защищая права стейкеров и здоровье всей экосистемы.
Независимо от того, публикуют ли они подробные отчеты о последующем анализе, компенсируют ли убытки от стейкинга, вызванные простой инфраструктуры, или по профилактическим соображениям активно выходят из узлов верификации, либо быстро публикуют полные отчеты о происшествиях, эти участники всегда рассматривают прозрачность как первоочередную задачу.
Продолжительное итерационное обновление
Lido всегда находится на переднем крае разработки технологий, стремясь использовать технологии нулевых знаний (ZK) для повышения безопасности и уровня децентрализации механизма оракулов. Уже на начальном этапе команда вложила более 200000 долларов специального финансирования, поддерживая реализацию бездоверительной верификации данных уровня консенсуса с помощью технологий нулевых знаний.
Эти исследования в области технологий в конечном итоге привели к запуску механизма «Двойной проверки» SP1 нулевого знания, разработанного командой SuccinctLabs, который будет официально запущен в этом году. Этот механизм предоставляет дополнительный уровень безопасности для потенциальных негативных операций rebase через проверяемые данные на уровне консенсуса.
В настоящее время такие технологии нулевых знаний все еще находятся на стадии разработки. Связанные с ними виртуальные машины нулевых знаний (zkVM) должны пройти испытания в реальных условиях, а также имеют ограничения, такие как медленная скорость вычислений и высокая стоимость вычислений, и пока не могут полностью заменить доверенные оракулы. Однако в долгосрочной перспективе такие решения могут стать минимизированной альтернативой для существующих оракулов.
Технология Oracle сложна и имеет множество вариантов использования в пространстве DeFi. В протоколе Lido оракулы спроектированы как ключевые компоненты, позволяющие значительно снизить объем потенциальных рисков за счет эффективной децентрализованной архитектуры, разделения обязанностей и многоуровневой системы валидации.
Источники содержания: