人治与机制相结合,L2 的第二阶段阶段才更具反脆弱性。

撰文: Vitalik Buterin

编译: Wenser,Odaily 星球日报

编者按:一直以来,关于以太坊 rollup 安全性的三个阶段的讨论都是以太坊生态社区的关注重点,这不仅仅事关以太坊主网及 L2 网络的运行稳定性,更与 L2 网络的真实发展状况有关。近日,以太坊社区成员 Daniel Wang 于 X 平台提出了 L2 网络 Stage 2 阶段的命名标签 #BattleTested,认为只有当前代码和配置在 Ethereum 主网上线超过 6 个月,并且一直保持超过 1 亿美元的总锁仓价值(TVL)且其中至少有 5000 万美元的 ETH 和主要稳定币的 L2 网络才能获得这一称号,且该称号动态评估,避免产生「链上鬼蜮」。以太坊联合创始人 Vitalik 随后对该问题进行了详细解答与观点分享,Odaily 星球日报编译如下。

L2 网络的 3 大阶段:从 0 到 1 再到 2 ,安全性由治理份额决定

以太坊 rollup 安全性的三个阶段可以根据安全委员会何时可以覆盖无信任(即纯加密或博弈论)组件来判定:

  • 阶段 0 :安全委员会拥有完全控制权。可能有一个运行中的证明系统( Optimism 或 ZK 模式),但安全委员会可以通过简单的多数票机制推翻它。因此,证明系统仅为「咨询性质」。

  • 阶段 1 :安全委员会需要 75% (至少 6/8)的批准才能覆盖运行系统。必须有一个法定人数阻止子集(如 ≥ 3)在主要组织之外。因此,控制证明系统的难度相对较高,但并非不可逾越。

  • 阶段 2 :安全委员会只能在可证明的错误情况下采取行动。例如,可证明的错误可能是两个冗余的证明系统(例如 OP 和 ZK)相互矛盾。如果有可证明的错误,它只能选择提出的答案之一:它不能任意响应某一机制。

我们可以用下面的图表来表示安全委员会在不同阶段拥有的「投票份额」:

三个阶段的治理投票结构

一个重要的问题是:L2 网络从阶段 0 转换到阶段 1 ,以及从阶段 1 发展到阶段 2 的最优时机分别是什么?

不立即进入阶段 2 的唯一有效理由是,你不能完全信任证明系统——这是一种可以理解的担忧:该系统由一大堆代码组成,如果代码有存在漏洞,那么攻击者可能窃取所有用户的资产。你对证明系统的信心越强(或者相反,你对安全委员会的信心越弱),你就越想推动整个网络生态向后一个阶段发展。

事实上,我们可以用简化的数学模型来量化这一点。首先,让我们列出假设:

  • 每个安全委员会的成员有 10% 的「单独故障」的可能;

  • 我们将活跃性故障(拒绝签署合约或密钥不可用)和安全性故障(签署错误事项或密钥被黑)视为同等可能事项。实际上,我们只假设一个「失败」的类别,其中「失败」的安全理事会成员既签署了错误的事项,又未能签署推进正确的事项;

  • 在阶段 0 ,安全委员会的判定标准是 4/7 ,在阶段 1 是 6/8 ;

  • 我们假设存在一个单一的整体证明系统(与 2/3 的设计机制相对,安全委员会可以在两者意见矛盾时打破僵局)。因此,在阶段 2 ,安全委员会的存在根本无关紧要。

在这些假设下,考虑到证明系统崩溃的特定概率,我们希望最小化 L2 网络崩溃的可能。

我们可以使用二项分布来完成这项工作:

  • 如果每个安全理事会成员有 10% 的独立故障机会,那么至少有 4 个在 7 个中故障的概率是 ∑