في الساعات الأولى من الصباح ، اخترق أحد المتسللين عنوانا في Lido oracle multisig وكشف عن مكان وجوده بعد سرقة 1.4 ETH. هل للسرقة تأثير مادي على Lido؟ هذه المقالة مأخوذة من مقال كتبه @IsdrsP (Lido Validation Node Supervisor) وتم تجميعها وتجميعها ومساهمتها بواسطة Nicky ، Foresight News. (ملخص: امنح حاملي stETH "حق النقض في القرار") اقتراح Lido الجديد أو إعادة بناء هيكل سلطة حوكمة DeFi) (ملحق الخلفية: تجاوز إجمالي TVL ل Aave و Lido 70 مليار دولار لأول مرة ، واحتل نصف عالم DeFi) في الصباح الباكر من يوم 10 مايو ، كشف مزود خدمة أوراكل Chorus One أنه تم اختراق محفظة ساخنة من Lido oracle ، مما أدى إلى سرقة 1.46 ETH. ومع ذلك ، وفقا لعمليات التدقيق الأمنية ، كان تأثير هذا الحادث المعزول محدودا ، وتم تصميم المحافظ المعنية للعمليات خفيفة الوزن فقط. يبدو الهجوم على أوراكل سيئا بالفعل. ومع ذلك ، فإن بنية Lido وقيم أصحاب المصلحة وثقافة المساهمين الموجهة نحو الأمن تعني أن تأثير مثل هذا الحدث محدود للغاية - حتى لو تم اختراق أوراكل بالكامل ، فلن يكون له عواقب وخيمة. إذن ، ما الذي يميز Lido؟ تصميم مدروس جيدا وطبقات حماية أوراكل Lido مسؤولة عن تمرير المعلومات من طبقة الإجماع إلى طبقة التنفيذ وديناميكيات بروتوكول التقارير. لا يتحكمون في أموال المستخدمين. يمكن أن يتسبب أوراكل ذو الخطأ الواحد في حدوث مشاكل طفيفة فقط ، وحتى إذا تم انتهاك النصاب القانوني ، فلن يكون له عواقب وخيمة. ما هي الإجراءات الضارة التي قد تحاول أوراكل واحدة مخترقة؟ A) تقديم تقارير ضارة (ولكن سيتم تجاهلها من قبل أوراكل صادقين) ؛ B) استنزاف رصيد ETH لعنوان أوراكل المعين هذا (والذي يستخدم فقط لتشغيل المعاملات ولا يحتفظ بأموال المخزن). ما هي مسؤولية أوراكل بالضبط؟ أوراكل Lido هو في الأساس آلية موزعة تتكون من 9 مشاركين مستقلين (مطلوب إجماع 5/9) ، مسؤولون بشكل أساسي عن الإبلاغ عن حالة البروتوكول ، وتشمل الوظائف الأساسية الحالية: ・ توزيع مكافأة تضخم الرمز المميز (إعادة التأسيس) ・ معالجة عملية السحب ・ خروج عقدة التحقق ومراقبة الأداء للرجوع إليها بواسطة CSM (وحدة أمان المجتمع) تقدم أوراكل هذه "تقريرا" عن حالتها المرصودة إلى البروتوكول. تستخدم هذه التقارير لحساب المكافآت أو الغرامات المتراكمة يوميا ، وتحديث أرصدة stETH ، ومعالجة طلبات السحب وإنهائها ، وحساب طلبات الخروج من المدقق ، وقياس أداء المدقق. في جوهرها ، يختلف Lido oracle عما يفهم عموما باسم "multisig". لا تتمتع Oracles بإمكانية الوصول إلى المراهنين وأموال البروتوكول ، ولا يمكنها التحكم في ترقية أي عقود بروتوكول ، ولا يمكنها ترقية نفسها أو إدارة العضوية. بدلا من ذلك ، يحتفظ Lido DAO بقائمة أوراكل عن طريق التصويت. قدرات أوراكل محدودة للغاية - يمكنها فقط القيام بما يلي: تقديم تقارير تتبع بدقة خوارزميات حتمية ومدققة ومفتوحة المصدر مصممة لأهداف بروتوكول مختلفة. تنفيذ المعاملات في مواقف محددة لتنفيذ النتائج المبلغ عنها (مثل عمليات إعادة التأسيس اليومية للاتفاقية). ماذا يحدث إذا تم اختراق 5 من أصل 9 أوراكل؟ في هذه الحالة، قد تتآمر أوراكل المخترقة لتقديم تقارير ضارة، ولكن يجب أن يجتاز أي تقرير فحصا لمعقولية البروتوكول المفروض على السلسلة. إذا انتهك التقرير عمليات التحقق من المعقولية هذه، تمديد وقت المعالجة (وقد لا يتم تسويته أبدا)، لأن القيم الواردة في التقرير يجب أن تتوافق مع نطاق القيم المسموح بها لفترة زمنية محددة (أيام أو أسابيع). في أسوأ السيناريوهات، قد يعني هذا أن عمليات إعادة التأسيس الشبيهة ب stETH (سواء كانت إيجابية أو سلبية) تستغرق وقتا أطول لتصبح سارية المفعول، مما يؤثر على حاملي stETH ولكن له تأثير ضئيل على معظم حامليها، ما لم يستفيد شخص ما من stETH في DeFi. هناك أيضا احتمالات أخرى: إذا كان لدى أوراكل الخبيثة والمتآمرين معهم بعض المعلومات ، أو لديهم القدرة على فرض عقوبات كبيرة (مثل المصادرة على نطاق واسع) على مستوى الإجماع ، فقد يستفيدون من التأخير في تحديث stETH في طبقة التنفيذ لتحقيق مكاسب مالية. على سبيل المثال ، في حالة المصادرة على نطاق واسع ، قد يبيع بعض الأشخاص بعضا من stETH الخاص بهم من خلال بورصة لامركزية (DEX) قبل أن تصبح إعادة التأسيس السلبية سارية المفعول. ومع ذلك ، لن يؤثر هذا على عمليات السحب التي بدأها المستخدمون مباشرة من خلال Lido ، حيث سيتم تنشيط "وضع القبو" الخاص بالبروتوكول لضمان تنفيذ عملية السحب بشكل عادل. شفافية شاملة في الوقت الفعلي من البداية إلى النهاية ، وضع جميع المشاركين في نظام Lido البيئي ، سواء كانوا مساهمين أو مشغلي العقد أو مشغلي أوراكل ، الشفافية والنوايا الحسنة أولا ، مع إعطاء الأولوية لحقوق ومصالح المراهنين وصحة النظام البيئي بأكمله. سواء كان الأمر يتعلق بإصدار تقارير مفصلة بعد الوفاة بشكل استباقي ، أو التعويض عن خسائر التخزين بسبب تعطل البنية التحتية ، أو الخروج بشكل استباقي من المدققين لأسباب وقائية ، أو إصدار تقارير شاملة عن الحوادث بسرعة ، كانت الشفافية دائما أولوية قصوى. الترقيات التكرارية المستمرة لطالما كانت Lido في طليعة البحث والتطوير التكنولوجي ، وهي ملتزمة باستخدام تقنية إثبات المعرفة الصفرية (ZK) لتحسين الأمان وانعدام الثقة في آليات أوراكل. في وقت مبكر من المرحلة الأولية ، استثمر الفريق أكثر من 200,000 دولار في أموال مخصصة لدعم التحقق غير الموثوق به من بيانات طبقة الإجماع من خلال تقنية إثبات المعرفة الصفرية. أدت هذه الاستكشافات التقنية في النهاية إلى آلية "التحقق المزدوج" من أوراكل ذات المعرفة الصفرية SP1 التي طورها فريق SuccinctLabs ، والتي سيتم إطلاقها رسميا خلال هذا العام. توفر هذه الآلية طبقة إضافية من التحقق من صحة الأمان لعمليات إعادة التأسيس السلبية المحتملة من خلال بيانات طبقة الإجماع التي يمكن التحقق منها. في الوقت الحاضر ، لا يزال هذا النوع من تقنية المعرفة الصفرية في مرحلة التطوير ، ولا يحتاج الجهاز الافتراضي ذو المعرفة الصفرية (zkVM) إلى الخضوع لاختبار قتالي فعلي فحسب ، بل لديه أيضا قيود على سرعة الحوسبة البطيئة وتكلفة الحوسبة العالية ، ولا يمكن أن يحل محل أوراكل الموثوق به تماما. ولكن على المدى الطويل ، تعد هذه الحلول بأن تكون بديلا للثقة للأوراكل الحالية. تقنية Oracle معقدة ولديها مجموعة متنوعة من حالات الاستخدام في مساحة DeFi. في بروتوكول Lido ، تم تصميم أوراكل بعناية كمكونات أساسية لتقليل نطاق المخاطر المحتملة بشكل كبير من خلال بنية لامركزية فعالة ، وفصل الواجبات ، ونظام تحقق متعدد الطبقات. تقارير ذات صلة يتم التحكم في Polymarket بواسطة أوراكل! أكثر من 7 ملايين دولار رهان على فوز الخاسر "الصواب والخطأ" $Red إدراج تعدين العملات الجديدة في Binance Launchpool ، ما هي خصائص أوراكل RedStone المعياري؟ Ethereum vs Solana: من Lido و Solayer ، الفرق بين نموذجي Staking Staking [1.4 خلف سرقة ETH: علمت آلية أمان Lido صناعة التشفير درسا] تم نشر هذا المقال لأول مرة في BlockTempo "الاتجاه الديناميكي - وسائل الإعلام الإخبارية الأكثر نفوذا في blockchain".
المحتوى هو للمرجعية فقط، وليس دعوة أو عرضًا. لا يتم تقديم أي مشورة استثمارية أو ضريبية أو قانونية. للمزيد من الإفصاحات حول المخاطر، يُرجى الاطلاع على إخلاء المسؤولية.
1.4 ETH وراء جريمة السطو: آلية أمان Lido أعطت درسًا لصناعة التشفير
في الساعات الأولى من الصباح ، اخترق أحد المتسللين عنوانا في Lido oracle multisig وكشف عن مكان وجوده بعد سرقة 1.4 ETH. هل للسرقة تأثير مادي على Lido؟ هذه المقالة مأخوذة من مقال كتبه @IsdrsP (Lido Validation Node Supervisor) وتم تجميعها وتجميعها ومساهمتها بواسطة Nicky ، Foresight News. (ملخص: امنح حاملي stETH "حق النقض في القرار") اقتراح Lido الجديد أو إعادة بناء هيكل سلطة حوكمة DeFi) (ملحق الخلفية: تجاوز إجمالي TVL ل Aave و Lido 70 مليار دولار لأول مرة ، واحتل نصف عالم DeFi) في الصباح الباكر من يوم 10 مايو ، كشف مزود خدمة أوراكل Chorus One أنه تم اختراق محفظة ساخنة من Lido oracle ، مما أدى إلى سرقة 1.46 ETH. ومع ذلك ، وفقا لعمليات التدقيق الأمنية ، كان تأثير هذا الحادث المعزول محدودا ، وتم تصميم المحافظ المعنية للعمليات خفيفة الوزن فقط. يبدو الهجوم على أوراكل سيئا بالفعل. ومع ذلك ، فإن بنية Lido وقيم أصحاب المصلحة وثقافة المساهمين الموجهة نحو الأمن تعني أن تأثير مثل هذا الحدث محدود للغاية - حتى لو تم اختراق أوراكل بالكامل ، فلن يكون له عواقب وخيمة. إذن ، ما الذي يميز Lido؟ تصميم مدروس جيدا وطبقات حماية أوراكل Lido مسؤولة عن تمرير المعلومات من طبقة الإجماع إلى طبقة التنفيذ وديناميكيات بروتوكول التقارير. لا يتحكمون في أموال المستخدمين. يمكن أن يتسبب أوراكل ذو الخطأ الواحد في حدوث مشاكل طفيفة فقط ، وحتى إذا تم انتهاك النصاب القانوني ، فلن يكون له عواقب وخيمة. ما هي الإجراءات الضارة التي قد تحاول أوراكل واحدة مخترقة؟ A) تقديم تقارير ضارة (ولكن سيتم تجاهلها من قبل أوراكل صادقين) ؛ B) استنزاف رصيد ETH لعنوان أوراكل المعين هذا (والذي يستخدم فقط لتشغيل المعاملات ولا يحتفظ بأموال المخزن). ما هي مسؤولية أوراكل بالضبط؟ أوراكل Lido هو في الأساس آلية موزعة تتكون من 9 مشاركين مستقلين (مطلوب إجماع 5/9) ، مسؤولون بشكل أساسي عن الإبلاغ عن حالة البروتوكول ، وتشمل الوظائف الأساسية الحالية: ・ توزيع مكافأة تضخم الرمز المميز (إعادة التأسيس) ・ معالجة عملية السحب ・ خروج عقدة التحقق ومراقبة الأداء للرجوع إليها بواسطة CSM (وحدة أمان المجتمع) تقدم أوراكل هذه "تقريرا" عن حالتها المرصودة إلى البروتوكول. تستخدم هذه التقارير لحساب المكافآت أو الغرامات المتراكمة يوميا ، وتحديث أرصدة stETH ، ومعالجة طلبات السحب وإنهائها ، وحساب طلبات الخروج من المدقق ، وقياس أداء المدقق. في جوهرها ، يختلف Lido oracle عما يفهم عموما باسم "multisig". لا تتمتع Oracles بإمكانية الوصول إلى المراهنين وأموال البروتوكول ، ولا يمكنها التحكم في ترقية أي عقود بروتوكول ، ولا يمكنها ترقية نفسها أو إدارة العضوية. بدلا من ذلك ، يحتفظ Lido DAO بقائمة أوراكل عن طريق التصويت. قدرات أوراكل محدودة للغاية - يمكنها فقط القيام بما يلي: تقديم تقارير تتبع بدقة خوارزميات حتمية ومدققة ومفتوحة المصدر مصممة لأهداف بروتوكول مختلفة. تنفيذ المعاملات في مواقف محددة لتنفيذ النتائج المبلغ عنها (مثل عمليات إعادة التأسيس اليومية للاتفاقية). ماذا يحدث إذا تم اختراق 5 من أصل 9 أوراكل؟ في هذه الحالة، قد تتآمر أوراكل المخترقة لتقديم تقارير ضارة، ولكن يجب أن يجتاز أي تقرير فحصا لمعقولية البروتوكول المفروض على السلسلة. إذا انتهك التقرير عمليات التحقق من المعقولية هذه، تمديد وقت المعالجة (وقد لا يتم تسويته أبدا)، لأن القيم الواردة في التقرير يجب أن تتوافق مع نطاق القيم المسموح بها لفترة زمنية محددة (أيام أو أسابيع). في أسوأ السيناريوهات، قد يعني هذا أن عمليات إعادة التأسيس الشبيهة ب stETH (سواء كانت إيجابية أو سلبية) تستغرق وقتا أطول لتصبح سارية المفعول، مما يؤثر على حاملي stETH ولكن له تأثير ضئيل على معظم حامليها، ما لم يستفيد شخص ما من stETH في DeFi. هناك أيضا احتمالات أخرى: إذا كان لدى أوراكل الخبيثة والمتآمرين معهم بعض المعلومات ، أو لديهم القدرة على فرض عقوبات كبيرة (مثل المصادرة على نطاق واسع) على مستوى الإجماع ، فقد يستفيدون من التأخير في تحديث stETH في طبقة التنفيذ لتحقيق مكاسب مالية. على سبيل المثال ، في حالة المصادرة على نطاق واسع ، قد يبيع بعض الأشخاص بعضا من stETH الخاص بهم من خلال بورصة لامركزية (DEX) قبل أن تصبح إعادة التأسيس السلبية سارية المفعول. ومع ذلك ، لن يؤثر هذا على عمليات السحب التي بدأها المستخدمون مباشرة من خلال Lido ، حيث سيتم تنشيط "وضع القبو" الخاص بالبروتوكول لضمان تنفيذ عملية السحب بشكل عادل. شفافية شاملة في الوقت الفعلي من البداية إلى النهاية ، وضع جميع المشاركين في نظام Lido البيئي ، سواء كانوا مساهمين أو مشغلي العقد أو مشغلي أوراكل ، الشفافية والنوايا الحسنة أولا ، مع إعطاء الأولوية لحقوق ومصالح المراهنين وصحة النظام البيئي بأكمله. سواء كان الأمر يتعلق بإصدار تقارير مفصلة بعد الوفاة بشكل استباقي ، أو التعويض عن خسائر التخزين بسبب تعطل البنية التحتية ، أو الخروج بشكل استباقي من المدققين لأسباب وقائية ، أو إصدار تقارير شاملة عن الحوادث بسرعة ، كانت الشفافية دائما أولوية قصوى. الترقيات التكرارية المستمرة لطالما كانت Lido في طليعة البحث والتطوير التكنولوجي ، وهي ملتزمة باستخدام تقنية إثبات المعرفة الصفرية (ZK) لتحسين الأمان وانعدام الثقة في آليات أوراكل. في وقت مبكر من المرحلة الأولية ، استثمر الفريق أكثر من 200,000 دولار في أموال مخصصة لدعم التحقق غير الموثوق به من بيانات طبقة الإجماع من خلال تقنية إثبات المعرفة الصفرية. أدت هذه الاستكشافات التقنية في النهاية إلى آلية "التحقق المزدوج" من أوراكل ذات المعرفة الصفرية SP1 التي طورها فريق SuccinctLabs ، والتي سيتم إطلاقها رسميا خلال هذا العام. توفر هذه الآلية طبقة إضافية من التحقق من صحة الأمان لعمليات إعادة التأسيس السلبية المحتملة من خلال بيانات طبقة الإجماع التي يمكن التحقق منها. في الوقت الحاضر ، لا يزال هذا النوع من تقنية المعرفة الصفرية في مرحلة التطوير ، ولا يحتاج الجهاز الافتراضي ذو المعرفة الصفرية (zkVM) إلى الخضوع لاختبار قتالي فعلي فحسب ، بل لديه أيضا قيود على سرعة الحوسبة البطيئة وتكلفة الحوسبة العالية ، ولا يمكن أن يحل محل أوراكل الموثوق به تماما. ولكن على المدى الطويل ، تعد هذه الحلول بأن تكون بديلا للثقة للأوراكل الحالية. تقنية Oracle معقدة ولديها مجموعة متنوعة من حالات الاستخدام في مساحة DeFi. في بروتوكول Lido ، تم تصميم أوراكل بعناية كمكونات أساسية لتقليل نطاق المخاطر المحتملة بشكل كبير من خلال بنية لامركزية فعالة ، وفصل الواجبات ، ونظام تحقق متعدد الطبقات. تقارير ذات صلة يتم التحكم في Polymarket بواسطة أوراكل! أكثر من 7 ملايين دولار رهان على فوز الخاسر "الصواب والخطأ" $Red إدراج تعدين العملات الجديدة في Binance Launchpool ، ما هي خصائص أوراكل RedStone المعياري؟ Ethereum vs Solana: من Lido و Solayer ، الفرق بين نموذجي Staking Staking [1.4 خلف سرقة ETH: علمت آلية أمان Lido صناعة التشفير درسا] تم نشر هذا المقال لأول مرة في BlockTempo "الاتجاه الديناميكي - وسائل الإعلام الإخبارية الأكثر نفوذا في blockchain".