อ่านเพิ่มเติมเพื่อทำความเข้าใจว่าเหตุใด Rollup จึงจำเป็นต้องมีคณะกรรมการความปลอดภัย
ผู้เขียนต้นฉบับ: แพทริค แม็กคอร์รี
ต้นฉบับเรียบเรียง: ลูฟี่, Foresight News
วันหนึ่งฐานข้อมูลใด ๆ ที่โต้ตอบกับสินทรัพย์ crypto จะเลือก Rollup เป็นกองเทคโนโลยี มีเหตุผลดีๆ มากมายว่าทำไมนักพัฒนาจึงตัดสินใจเช่นนี้:
การตรวจสอบแบบเรียลไทม์
หลักฐานการละลายเริ่มต้น
การฝากเงินทุนของผู้ใช้เป็นทางเลือก
ฝ่ายที่ซื่อสัตย์จะปกป้องทั้งระบบ
สิ่งสำคัญที่สุดคือ ความพยายามในการออกแบบและการใช้งานทั้งหมดของ Rollup มุ่งเน้นไปที่การปกป้องผู้ใช้ เงินทุนของพวกเขา และการโต้ตอบทั้งหมดของพวกเขาจากผู้ปฏิบัติงานระบบที่อาจไม่รู้จักและทรงพลัง
แม้ว่าทั้งระบบจะออฟไลน์ แต่ผู้ใช้สามารถกู้คืนเงินได้ด้วยตนเอง
หาก Rollup สามารถนำไปใช้อย่างกว้างขวางในฐานะกลุ่มเทคโนโลยี เราอาจมีความสามารถในการทลายกำแพงแห่งความไว้วางใจ และเปิดใช้งานปฏิสัมพันธ์ทางการเงินกับใครก็ตามในชุมชนโลก นำไปสู่ยุคใหม่ของอีคอมเมิร์ซระดับโลก การสรรหาบุคลากรจากระยะไกล และบริการที่ราบรื่น จัดส่ง.
ต้องใช้ความพยายามอย่างมากในการทำให้ Rollup ทำงานได้อย่างถูกต้อง
แล้วการใช้หลายลายเซ็นล่ะ?
ฟังดูดี แต่ในที่สุดทั้งระบบก็ถูกควบคุมโดยลายเซ็นหลายตัว หากผู้ลงนามถูกบุกรุกหรือมีเจตนาร้าย พวกเขาสามารถขโมยเงินทั้งหมดได้อย่างง่ายดาย
แล้วใครล่ะจะสนใจ Rollup? ที่ไหนสักแห่งใน CT
เป็นเรื่องจริงที่ชุดรวมอัปเดตปัจจุบันทั้งหมดมีลายเซ็นหลายลายเซ็นที่มีอำนาจในการอัพเกรดสัญญาอัจฉริยะพื้นฐาน แต่ดังที่เราจะได้เห็น มันเป็นกลไกอนุรักษ์นิยมในการปกป้องเงินทุนของผู้ใช้ และเป็นส่วนหนึ่งของสถาปัตยกรรมระบบที่กว้างขึ้น
ความรับผิดชอบของคณะกรรมการความปลอดภัย
ลายเซ็นหลายลายเซ็นเป็นคำศัพท์ทางเทคนิคที่หมายถึงระบบที่ต้องใช้ผู้ลงนามหลายคนเพื่ออนุมัติการดำเนินการ ตัวอย่างเช่น ธุรกรรมจะได้รับอนุญาตก็ต่อเมื่อผู้ลงนาม K จาก N กรอกลายเซ็นดิจิทัลให้สมบูรณ์
ในบริบทของ Rollup นั้น multisig มักถูกเรียกว่าคณะกรรมการความปลอดภัย และผู้ลงนามจะได้รับอำนาจในการอัปเกรดสัญญาอัจฉริยะทั้งหมดที่เกี่ยวข้อง
ลองมาดูคณะกรรมการความปลอดภัยใน Arbitrum (เนื่องจากฉันคุ้นเคยมาก) เพื่อทำความเข้าใจประเภทของความรับผิดชอบที่องค์กรนี้อาจมี:
อำนาจยับยั้ง หากคณะกรรมการความมั่นคงเชื่อว่าข้อเสนอที่ผ่านโดยอนุญาโตตุลาการ DAO ละเมิดกฎบัตรอนุญาโตตุลาการและอาจเป็นอันตรายต่อระบบนิเวศของอนุญาโตตุลาการ ก็สามารถยกเลิกข้อเสนอได้ ตัวอย่างเช่น การยกเลิกข้อเสนอที่ผ่านเนื่องจากการโจมตีแบบกำกับดูแล
บำรุงรักษา. อัปเกรดชุดสัญญาอัจฉริยะของ Arbitrum เพื่อทำการเปลี่ยนแปลงเล็กน้อยที่มีผลกระทบต่ำ และไม่จำเป็นต้องมีส่วนร่วมของ DAO ของ Arbitrum
ภาวะฉุกเฉิน. ตอบสนองอย่างรวดเร็วในสถานการณ์ฉุกเฉินและสามารถอัปเกรดสัญญาอัจฉริยะอย่างเร่งด่วนได้ หากพวกเขาเชื่อว่าเงินทุนของผู้ใช้กำลังตกอยู่ในความเสี่ยง
แน่นอน สิ่งสำคัญที่สุดคือ ความรับผิดชอบหลักของคณะกรรมการความปลอดภัยคือการตอบสนองต่อเหตุฉุกเฉินและดำเนินการอย่างรวดเร็วเพื่อปกป้องเงินทุนของผู้ใช้
กรรมการความปลอดภัยต้องมีความน่าเชื่อถือสูง
ผู้ลงนามได้รับความไว้วางใจให้ตอบสนองอย่างรวดเร็ว อัปเกรดสัญญาอัจฉริยะเมื่อเกิดเหตุฉุกเฉิน และพยายามอย่างเต็มที่เพื่อปกป้องกองทุนในสัญญาอัจฉริยะ
การเลือกเกณฑ์หลายลายเซ็นที่เหมาะสม
ในการตัดสินใจจัดตั้งคณะกรรมการความปลอดภัยฯ มีปัจจัยสำคัญที่ต้องพิจารณาอยู่ 2 ประการ คือ
มีผู้ลงนามทั้งหมดกี่คน?
จำนวนผู้ลงนามขั้นต่ำที่ต้องใช้ในการอนุมัติการดำเนินการคือเท่าใด
นี่อาจดูเหมือนเป็นคำถามเล็กๆ น้อยๆ เพราะเป็นเพียงตัวเลขสองตัว แต่มีการกระทำที่สมดุลที่ต้องพิจารณา:
การละเมิดความปลอดภัย: สมาชิก K อาจสมรู้ร่วมคิดในการเปลี่ยนแปลงสัญญาอัจฉริยะและขโมยเงินของผู้ใช้
การละเมิดความมีชีวิตชีวา: สมาชิก N-K+ 1 สมรู้ร่วมคิดเพื่อป้องกันการเปลี่ยนแปลงสัญญาอัจฉริยะ ซึ่งเป็นปัญหาอย่างยิ่งหากค้นพบช่องโหว่ร้ายแรง
ความยากอยู่ที่การกำหนดเกณฑ์ที่จะรักษาความปลอดภัยของเงินทุนในยามสงบ แต่ช่วยให้ดำเนินการได้อย่างรวดเร็วในกรณีฉุกเฉินเมื่อเงินทุนของผู้ใช้ถูกคุกคาม
ลองพิจารณาตัวอย่างที่เป็นรูปธรรม สมมติว่าเกณฑ์ถูกตั้งค่าเป็น 9/10 โดยที่ผู้ลงนาม 9 คนต้องลงนามร่วมในข้อความ นี่เป็นเกณฑ์การรักษาความปลอดภัยที่เข้มงวด เนื่องจากผู้ลงนาม 9 คนต้องสมรู้ร่วมคิดเพื่อขโมยเงิน อย่างไรก็ตาม ข้อเสียคือผู้ลงนามสองคนสามารถบล็อกการดำเนินการใดๆ ในกรณีฉุกเฉินได้ ตัวอย่างเช่น หากผู้ลงนามสองคนเดินทางไกลด้วยเที่ยวบินข้ามมหาสมุทรแอตแลนติก คณะกรรมการความปลอดภัยจะไม่สามารถปฏิบัติหน้าที่ของตนได้
แน่นอนว่าหากเกณฑ์ความปลอดภัยต่ำกว่า เช่น 2/10 ก็ต้องใช้ผู้ลงนามเพียงสองคนเท่านั้นที่จะสมรู้ร่วมคิด (หรือคีย์ส่วนตัวรั่วไหล) และเงินทุนของผู้ใช้จะถูกขโมย
การรับรู้ถึงความซื่อสัตย์สุจริตของบุคคลมีแนวโน้มที่จะเปลี่ยนแปลงไปตามกาลเวลา
การเลือกเกณฑ์ที่เหมาะสมนั้นเป็นคำถามทางสังคมมากกว่าคำถามทางเทคนิค และฉันคิดว่ามันเป็นศิลปะมากกว่าวิทยาศาสตร์ การรักษาความปลอดภัยส่วนใหญ่ขึ้นอยู่กับความสมบูรณ์ของผู้ลงนามแต่ละราย ดังที่เราจะได้เห็นในเร็วๆ นี้ มีวิธีต่างๆ ในการลดความไว้วางใจใน Multisigs แต่สิ่งนี้มาพร้อมกับข้อเสียของตัวเอง
กรรมการความปลอดภัย
Major Rollup จะอัปเกรดเกณฑ์หลายลายเซ็นที่จำเป็นสำหรับสัญญาอัจฉริยะทั้งหมดทันที
Rollups ส่วนใหญ่มีกลุ่มผู้ลงนามที่ไม่ระบุชื่อในคณะกรรมการรักษาความปลอดภัย เราสงสัยว่านี่อาจเป็นเพราะ:
ขั้นตอนการพัฒนาของ Rollup
ปกป้องความปลอดภัยส่วนบุคคลของสมาชิก
ถือว่าการไม่เปิดเผยตัวตนเป็นตัวเลือกที่ดีที่สุดในการปกป้องเงินทุนของผู้ใช้
ในทางกลับกัน มีโครงการ Rollup สามโครงการที่ได้ประกาศต่อสาธารณะเกี่ยวกับการเป็นสมาชิกคณะกรรมการความปลอดภัย:
อนุญาโตตุลาการ: ผู้ลงนามได้รับการเลือกตั้งโดยสาธารณะ สามารถดูรายชื่อปัจจุบันได้ที่Tallyตรวจสอบออก มีผู้ลงนามเพียงสามคนเท่านั้นที่เกี่ยวข้องกับโครงการ Arbitrum (สองคนจาก Offchain Labs และอีกหนึ่งคนจาก Arbitrum Foundation)
ฐาน: 2/2 ลายเซ็นหลายรายการ หนึ่งรายการควบคุมโดย Base และอีกรายการควบคุมโดย Optimism
Polygon zkEVM: ยังไม่ได้ใช้งาน แต่พวกเขาได้ประกาศว่าพวกเขาจะอัปเกรด multisig เป็น 10/13 ซึ่งรวมถึงสมาชิกสองคนจาก Polygon Labs และที่ปรึกษาจาก Polygon Labs
zkSync Lite: zkSync Lite ควรแตกต่างจาก ZkSync Era ตรงที่คณะกรรมการรักษาความปลอดภัยได้ประกาศต่อสาธารณะ และไม่รวมบริษัทในเครือโดยตรงจากโครงการ Rollup (นอกเหนือจากนักลงทุน zkSync)
ใน Arbitrum และในรูปหลายเหลี่ยมที่กำลังจะมาถึง มีผู้ลงนามเพียงไม่กี่รายเท่านั้นที่เกี่ยวข้องโดยตรงกับโครงการ Rollup และจำนวนนี้น้อยพอที่จะรับประกันว่าบริษัทในเครือจะไม่สามารถสมรู้ร่วมคิดเพื่อบล็อกการดำเนินการของคณะมนตรีความมั่นคงได้ ใน zkSync Lite นอกเหนือจากนักลงทุนของ zkSync แล้ว พวกเขายังแต่งตั้งผู้ลงนามที่ไม่ขึ้นอยู่กับโครงการอีกด้วย
ในทุกกรณี Rollup จะให้ความสำคัญกับผู้ลงนามที่ไม่เกี่ยวข้องโดยตรงกับโครงการ
อย่างไรก็ตาม ดูเหมือนว่าจะไม่มีความเห็นพ้องต้องกันเกี่ยวกับสิ่งที่ถือเป็น multisig ที่ดี ซึ่งทำให้เราต้องพบกับปัญหาการออกแบบหลายประการ:
สมาชิกที่ไม่เปิดเผยตัวตนควรได้รับอนุญาตหรือไม่?
สมาชิกควรมาจากที่ตั้งทางภูมิศาสตร์ที่แตกต่างกันหรือไม่
สมาชิกควรเป็นบุคคลหรือบริษัท?
สมาชิกควรได้รับการแต่งตั้งหรือเลือก?
ควรอนุญาตให้มีสมาชิกจากบริษัทเดียวกัน (หรือประเทศ) จำนวนเท่าใด
มีขนาดและเกณฑ์ขั้นต่ำที่ถือว่าเหมาะสมหรือไม่
หลักการทั่วไปควรเลือกสมาชิกที่มีความซื่อสัตย์สูง เพื่อให้ประชาชนมีความมั่นใจในความปลอดภัยของระบบ อย่างน้อย ฉันเชื่อว่าโครงการส่วนใหญ่น่าจะทำเช่นนี้ แม้ว่าสิ่งนี้จะไม่สามารถตรวจสอบได้ต่อสาธารณะเสมอไปก็ตาม
ป.ล. ขณะนี้สมาชิกหกคนของคณะกรรมการความปลอดภัยของอนุญาโตตุลาการได้รับการแต่งตั้งล่วงหน้า แต่พวกเขาจะถูกแทนที่ในการเลือกตั้งเดือนมีนาคม
ลดอำนาจของคณะกรรมการ
จนถึงตอนนี้ เราได้พิจารณาเพียงคณะกรรมการที่มีอำนาจในการอัพเกรดสัญญาอัจฉริยะได้ทันที แต่มีวิธีจำกัดอำนาจของคณะกรรมการดังนี้
หน่วงเวลา. การดำเนินการทั้งหมดที่ได้รับอนุญาตจากคณะกรรมการจะดำเนินการและมีผลเฉพาะหลังจากเวลาที่ T ผ่านไปแล้วเท่านั้น
หยุดชั่วคราวเท่านั้น คณะกรรมการสามารถระงับทรัพย์สินทั้งหมดที่ถือครองโดย Cross-chain Bridge ได้ สิ่งนี้อาจระงับฟังก์ชันการทำงานต่อไปนี้:
ส่งข้อความจาก L2 ถึง L1 (เช่น การถอนเงิน)
จัดเรียงธุรกรรมที่รอดำเนินการให้สมบูรณ์
กรอกจุดตรวจ/ใบรับรองใหม่
ยอมรับข้อมูล Rollup ใหม่ (นั่นคือ ธุรกรรมที่รอดำเนินการ)
คณะกรรมการบายพาส (ลบออก) ละทิ้งคณะกรรมการและพึ่งพากลไกการกำกับดูแลอื่น (เช่น DAO) เพื่ออนุมัติการอัพเกรด
แน่นอนว่าสิ่งนี้จำกัดความสามารถของคณะกรรมการในการดำเนินการอย่างรวดเร็วและความสามารถในการตอบสนองต่อเหตุฉุกเฉินที่คุกคามเงินทุนของผู้ใช้ได้อย่างมีประสิทธิภาพ
หากมีการเปิดเผยช่องโหว่ต่อคณะกรรมการเป็นการส่วนตัว แต่แฮกเกอร์ยังไม่ถูกโจมตี คณะกรรมการความปลอดภัยอาจเลือกที่จะอัปเกรดสัญญาอัจฉริยะและแก้ไขข้อบกพร่อง การเพิ่มการหน่วงเวลาให้กับการอัพเกรดจะเพิ่มความเสี่ยงที่ผู้โจมตีจะศึกษาการอัพเกรดที่เปิดเผยต่อสาธารณะ ค้นหาช่องโหว่ และใช้ประโยชน์จากมัน
ตัวอย่างเช่น CVE-2018-17144 ใน Bitcoin ได้รับการส่งเสริมในตอนแรกว่าเป็นช่องโหว่ DDoS ในความพยายามที่จะซ่อนช่องโหว่อัตราเงินเฟ้อโทเค็นที่ร้ายแรงยิ่งขึ้น ความเร็วของการอัพเกรดมีความสำคัญอย่างยิ่งต่อการป้องกันการแสวงหาผลประโยชน์
ประเมินความสามารถในการป้องกันของกลไกหยุดชั่วคราวเท่านั้น
ลองพิจารณาสถานการณ์ที่อาจเกิดขึ้นซึ่งผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้:
ข้อความที่เป็นอันตราย L2 → L1 ผู้โจมตีสามารถสร้างข้อความตามอำเภอใจที่มาจากสัญญาอัจฉริยะบน Rollup และส่งต่อข้อความไปยังสัญญาอัจฉริยะบน Ethereum ผ่านสะพานข้ามเครือข่ายดั้งเดิม
การเปลี่ยนสถานะไม่ถูกต้อง ผู้โจมตีสามารถดำเนินธุรกรรมบน Rollup ที่ฝ่าฝืนกฎของฟังก์ชันการเปลี่ยนสถานะ และโดยทั่วไปควรถือว่าไม่ถูกต้อง
ช่องโหว่ในการถอนเงิน ผู้โจมตีสามารถถอนเงินจาก Cross-chain Bridge ได้ง่ายๆ เพียงออกธุรกรรมบน Ethereum (เลเยอร์ 1)
ในทั้งสามกรณี การหน่วงเวลาจะทำให้ผู้โจมตีมีเวลามากขึ้นในการขโมยเงินต่อไป และลดหน้าต่างโอกาสของคณะกรรมการในการปกป้องระบบ ฟังก์ชันหน่วงเวลาไม่สามารถป้องกันการโจมตีที่ทำงานอยู่ได้ และสามารถใช้ได้เฉพาะสำหรับการบำรุงรักษาตามปกติและงานที่ไม่เร่งด่วนเท่านั้น
เราจะประเมินความสามารถในการระงับระบบและขอบเขตที่สามารถระงับระบบได้เท่านั้น
ในกรณีของข้อความ L2 → L1 ที่เป็นอันตราย ฟังก์ชันหยุดชั่วคราวสามารถลดการโจมตีได้โดยไม่รบกวนกิจกรรมการซื้อขาย คณะกรรมการควรระงับการส่งข้อความและ/หรือสรุปการทำงานของจุดตรวจใหม่ มีข้อโต้แย้งว่าข้อความ L2 → L1 ควรมีการหน่วงเวลาก่อนที่จะดำเนินการ เพื่อให้คณะกรรมการมีเวลาในการตรวจจับข้อผิดพลาดและตอบสนองต่อเหตุฉุกเฉิน
การป้องกันการเปลี่ยนสถานะที่ไม่ถูกต้องนั้นยากกว่าเนื่องจากการสิ้นสุดของธุรกรรมมีเลเยอร์ที่แตกต่างกันใน Rollup หากเราพิจารณาเฉพาะธุรกรรมแบบสะสมโดยไม่คำนึงถึงผลข้างเคียงใดๆ การป้องกันที่ดีที่สุดของคณะกรรมการความปลอดภัยคือการหยุดความสามารถของจุดตรวจที่จะสรุปผล แต่ยังคงอนุญาตให้มีการสั่งธุรกรรมต่อไป ซึ่งช่วยให้มีเวลาแก้ไขข้อผิดพลาด เปิดใช้งานจุดตรวจสอบให้เสร็จสิ้นอีกครั้ง และเพียงเพิกเฉยต่อธุรกรรมที่ไม่ถูกต้อง
อย่างไรก็ตาม หากไม่ได้ปิดกิจกรรมการซื้อขายบน Rollup ประสบการณ์ผู้ใช้จะวุ่นวายและ Rollup อาจปรากฏในสถานะเสียหายอย่างรุนแรงจนกว่าซอฟต์แวร์ไคลเอนต์จะได้รับการอัพเกรด
สิ่งนี้นำเราไปสู่ฉากต่อไป หากเราพิจารณาว่าธุรกรรมที่ไม่ถูกต้องใน Rollup อาจส่งผลกระทบต่อระบบอื่น ๆ อย่างไร คณะกรรมการควรตอบสนองอย่างไร แนวป้องกันที่ดีที่สุดคือการหยุดความสามารถของ cross-chain bridge ดั้งเดิมในการสรุปคำสั่งซื้อธุรกรรม หรือปิดผู้สั่งซื้อทั้งหมด
เนื่องจากบางระบบ เช่น สะพานข้ามสายโซ่ที่รวดเร็วซึ่งย้ายเงินทุนจากที่หนึ่งไปยังอีกที่หนึ่ง อาจอนุมัติการโอนเงินเมื่อพวกเขาเชื่อว่าธุรกรรมของ Rollup (รวมถึงธุรกรรมที่ไม่ถูกต้อง) มีลำดับ ในตัวอย่างนี้ อาจทำให้ผู้โจมตีใช้ประโยชน์จากโปรโตคอล DeFi บน Rollup แล้วย้ายเงินทุนอย่างรวดเร็วโดยการโอนไปยัง Rollup อื่นผ่านสะพานข้ามสายโซ่ที่รวดเร็ว
เมื่อถึงเวลาที่คณะกรรมการแก้ไขช่องโหว่และกู้คืนธุรกรรมที่ไม่ถูกต้อง ความเสียหายอาจเกิดขึ้นแล้ว ทั้งโปรโตคอล DeFi และ LP ในสะพานข้ามสายโซ่อาจรับความเสียหายที่เกิดจากการโจมตี
สุดท้ายนี้ หากช่องโหว่ดังกล่าวทำให้ผู้โจมตีสามารถถอนเงินได้โดยตรงจาก Cross-chain Bridge ซึ่งคล้ายกับ Nomad Hack คณะกรรมการรักษาความปลอดภัยก็อาจไม่มีอำนาจที่จะหยุดยั้งมันได้
มีปัญหาโดยรวมประการสุดท้ายเกี่ยวกับกลไกการหยุดชั่วคราว เราต้องถือว่ามีระบบการกำกับดูแลที่กว้างขึ้นซึ่งสามารถอนุมัติการอัพเกรดและเปิดใช้งาน Rollup อีกครั้งได้ หากเราสมมติว่าระบบการกำกับดูแลเป็น DAO ที่มีระบบการลงคะแนนแบบออนไลน์ที่ทำงานบน Rollup ปัญหาการใช้งานที่ยุ่งยากก็จะเกิดขึ้น
ตัวอย่างเช่น หากสะพานข้ามสายโซ่ข้อความ L2→L1 ถูกระงับ ผลการลงคะแนนของ DAO จะไม่สามารถส่งผ่านจาก Rollup ไปยังสะพานข้ามสายโซ่ดั้งเดิมบน Ethereum ได้ และจะต้องมีวิธีอื่นเพื่อให้ DAO ส่งข้อมูลการอนุมัติและ ดำเนินการอัพเกรด
ยุติคณะกรรมการความปลอดภัย
มีบางคนในชุมชนที่เชื่อว่าควรยุติคณะกรรมการความปลอดภัย แต่ในความคิดของฉัน สิ่งนี้ทำให้เกิดปัญหาสองประการ:
ความรู้สึกปลอดภัยที่ผิดพลาด ผู้โจมตีที่ทราบเกี่ยวกับการใช้ประโยชน์จะรอจนกว่าคณะกรรมการรักษาความปลอดภัยจะยุติการดำเนินการดังกล่าวก่อนที่จะดำเนินการโจมตี เมื่อเวลาผ่านไป สิ่งนี้สามารถกัดกร่อนความมั่นใจของเราในความปลอดภัยของระบบของเรา
ตัวเลือกการกู้คืนมีจำกัด หากไม่มีคณะกรรมการด้านความปลอดภัย ชุมชนก็ไม่สามารถตอบโต้ผู้โจมตีได้ ทางเลือกเดียวที่มีคือดำเนินการแฮ็กหมวกขาวแบบขนานและหวังว่าจะได้รับเงินคืนบางส่วน
ฉันเชื่อว่าคณะกรรมการความปลอดภัยจะมีความจำเป็นเสมอไป แต่อำนาจที่มอบให้พวกเขาควรจะค่อยๆ ลดลง
ด้วยเหตุนี้ คำถามในการออกแบบจึงควรเป็น:
เราจะอนุญาตให้บอร์ดความปลอดภัยระงับระบบโดยมีผลกระทบต่อผู้ใช้น้อยที่สุดได้อย่างไร ในขณะที่อนุญาตให้ชุมชนในวงกว้างมีส่วนร่วมในการตัดสินใจว่าจะแก้ไขข้อบกพร่องและเปิดใช้งานระบบอีกครั้งได้อย่างไร
กล่าวอีกนัยหนึ่ง เราต้องการแผนการที่อนุญาตให้ชุมชนเข้ามาและฟื้นฟูระบบได้จริง ก่อนที่จะจำกัดอำนาจการระงับของคณะกรรมการความปลอดภัยของ
ในโลกของบล็อกเชนเลเยอร์ 1 ชุมชนสามารถเข้าถึงได้โดยตรงโดยใช้ส้อมที่เปิดใช้งานโดยผู้ใช้ แต่วิธีนี้ใช้ไม่ได้กับสัญญาอัจฉริยะบน Ethereum (เช่น Rollup) เนื่องจากไม่จำเป็นต้องแยก Ethereum ทั้งหมด ในบางกรณี ชุมชน Ethereum อาจร่วมกันตัดสินใจบันทึก Rollup เช่น TheDAO ในปี 2016 แต่ Rollup ไม่ควรพึ่งพาหรือคาดหวังผลลัพธ์ดังกล่าว
แนวคิดที่น่าสนใจอีกประการหนึ่งในบรรทัดเหล่านี้คือการใช้ Ethereum Supreme Court เพื่อตัดสินการอัพเกรดสัญญาอัจฉริยะ และเปิดใช้งานบางอย่างเช่นส้อมที่เปิดใช้งานโดยผู้ใช้
ตามที่กล่าวไว้ก่อนหน้านี้ หาก Rollup มอบหมายการรักษาความปลอดภัยให้กับ DAO ก็ควรมีการดำเนินการที่อนุญาตให้ DAO ลงคะแนนบน Ethereum ได้โดยตรง นี่เป็นเรื่องยุ่งยากมาก โดยเฉพาะอย่างยิ่งหากมีโปรโตคอลการลงคะแนนอยู่ในชุดรวมอัปเดต
ในบันทึกสุดท้าย ฉันเชื่อว่าจำเป็นต้องมีการทบทวนสถานการณ์ประเภทต่างๆ ที่อาจต้องการการตอบสนองจากคณะมนตรีความมั่นคงอย่างครอบคลุม เพื่อช่วยหารือเกี่ยวกับความจำเป็น
หากคุณมีลายเซ็นหลายลายเซ็น เหตุใดจึงต้องกังวลเกี่ยวกับการยกเลิก
เราใช้เวลาอย่างมากในการทำความเข้าใจความรับผิดชอบ การออกแบบ และข้อกำหนดของคณะกรรมการด้านความปลอดภัย แต่สิ่งสำคัญคือต้องกลับไปสู่คำถามเดิมของบทความนี้:
Rollup เป็นเพียงลายเซ็นหลายลายเซ็นใช่หรือไม่
คำตอบคือไม่
เพื่อช่วยให้เข้าใจเหตุผล วิธีที่ดีที่สุดคือย้อนกลับไปและทำความเข้าใจว่าระบบบล็อคเชนพยายามทำอะไรจริงๆ
โปรโตคอลบล็อกเชนเป็นเครื่องมือที่ช่วยให้ผู้ใช้สามารถคำนวณสำเนาของฐานข้อมูลและมั่นใจได้ว่าพวกเขามีฐานข้อมูลเดียวกันกับคนอื่นๆ
ด้วยเหตุนี้ ระบบบล็อกเชนจึงมีองค์ประกอบสองส่วน:
โปรโตคอลบล็อคเชน การผสมผสานระหว่างซอฟต์แวร์ การเข้ารหัส และระบบแบบกระจายทำให้ทุกคนมั่นใจในความสมบูรณ์ของฐานข้อมูล
ระบบการปกครอง กลไกการประสานงานที่ช่วยให้ผู้มีส่วนได้ส่วนเสียทั้งหมดทำงานร่วมกันและตกลงเกี่ยวกับการเปลี่ยนแปลงโปรโตคอลบล็อคเชน
เป้าหมายของระบบบล็อกเชนใดๆ รวมถึง Rollup คือเพื่อให้แน่ใจว่าโปรโตคอลบล็อกเชนจะทำงานด้วยเวลาทำงานที่เชื่อถือได้อย่างยิ่ง 99.9999% เสมอ การดำเนินการระบบในแต่ละวันควรจะหยุดชะงักเล็กน้อยโดยผู้ดำเนินการระบบที่เชื่อถือได้ เป็นซอฟต์แวร์ การเข้ารหัส และระบบแบบกระจายที่ท้ายที่สุดแล้วมีหน้าที่รับผิดชอบในการปกป้องยอดคงเหลือของผู้ใช้ รหัสสัญญาอัจฉริยะ และสถานะ
บางครั้งจำเป็นต้องเปลี่ยนโปรโตคอลบล็อกเชนเพื่อปรับปรุงผลประโยชน์ของผู้ใช้ ชุมชนอาจต้องการแก้ไขปัญหาการกำหนดค่า เพิ่มคุณสมบัติใหม่ หรือตอบสนองต่อช่องโหว่ที่สำคัญที่คุกคามความสมบูรณ์ของระบบ สิ่งนี้ต้องการการแทรกแซงของมนุษย์และสามารถเรียกได้เพียง 0.0001% ของเวลาเท่านั้น
ระบบธรรมาภิบาลมีหน้าที่รับผิดชอบในการแทรกแซงของมนุษย์ และได้เกิดแนวทางหลายประการในช่วงหลายปีที่ผ่านมา:
ฝ่ายรวมศูนย์: ฝ่ายเดียวสามารถตัดสินใจได้เพียงลำพังว่าจะอัพเกรดระบบอย่างไร (หลายโครงการรวมถึง Bitcoin เริ่มต้นด้วยวิธีนี้)
ฉันทามติคร่าวๆ: ผู้เข้าร่วมส่วนใหญ่ระบุว่าพวกเขาพร้อมที่จะปรับใช้การอัปเกรด กำหนดวันที่ทำเครื่องหมาย จากนั้นจึงดำเนินการอัปเกรดในวันที่กำหนด (Bitcoin/Ethereum)
ระเบียบการลงคะแนนเสียง: ทุกฝ่ายมีส่วนร่วมในการเลือกตั้งและลงมติอย่างชัดเจนว่าจะอนุมัติการอัพเกรดหรือไม่
ไม่สามารถแทรกแซงได้: สัญญาอัจฉริยะไม่สามารถเปลี่ยนแปลงได้ และระบบไม่สามารถเปลี่ยนแปลงได้
นอกเหนือจากที่กล่าวมาข้างต้น ชุมชนอาจตัดสินใจแต่งตั้งคณะกรรมการความปลอดภัยเพื่อเป็นทางเลือกเสริมในการกำกับดูแลเพื่อดำเนินการทันทีในกรณีฉุกเฉิน
คณะกรรมการรักษาความปลอดภัยไม่ได้ป้องกันการโจมตี นี่เป็นกลไกแบบพาสซีฟที่เข้ามามีบทบาทควบคู่ไปกับการกำกับดูแลเมื่อเงินทุนของผู้ใช้หรือความน่าเชื่อถือของระบบ/ประสิทธิภาพของโปรโตคอลบล็อกเชนถูกโจมตี
ในที่สุด
การอภิปรายทั้งหมดเกี่ยวกับโปรโตคอลบล็อกเชน การกำกับดูแล และคณะกรรมการความปลอดภัยถือเป็นสิ่งสำคัญ การมีอยู่ของการสนทนานี้คือสิ่งที่ทำให้สกุลเงินดิจิทัลมีความพิเศษมาก
นี่เป็นตัวอย่างที่ดีของวิศวกรรมความไว้วางใจ: วินัยทางวิศวกรรมที่เน้นไปที่การระบุ วัด และลด/ขจัดองค์ประกอบของความไว้วางใจในระบบ
ในสกุลเงินดิจิทัล เรามุ่งเน้นไปที่การสร้างระบบที่ไม่เพียงแต่ปกป้องผู้ใช้จากผู้ปฏิบัติงานระบบที่มีประสิทธิภาพ แต่ยังช่วยให้ระบบทำงานได้อย่างน่าเชื่อถือ (ปลอดภัย) ภายใต้สภาวะที่เลวร้ายที่สุด
ด้วยเหตุนี้จึงเป็นเรื่องดีที่สมาชิกในชุมชนจะยังคงไม่มั่นใจในบทบาทของคณะกรรมการความปลอดภัย แต่เป็นความรับผิดชอบของพวกเขาที่จะต้องคิดหาแนวทางที่ดีกว่าเพื่อปกป้องเงินทุนของผู้ใช้ในลักษณะเชิงโต้ตอบในระหว่างเกิดเหตุฉุกเฉิน
ฉันหวังว่าบทความนี้จะทำให้ชัดเจนว่าทำไมคณะกรรมการความปลอดภัยจึงมีประโยชน์ เนื่องจากจำเป็นในปัจจุบัน แต่เป็นเพียงส่วนเล็กๆ ของสถาปัตยกรรมที่กว้างขึ้นของระบบสัญญาอัจฉริยะ
