早朝、ハッカーがLidoオラクルマルチシグのアドレスをハッキングし、1.4ETHを盗んだ後、彼の居場所を暴露しました。 盗難はリド島に重大な影響を与えますか? この記事は、@IsdrsP (Lido Validation Node Supervisor) によって書かれた記事からのものであり、Whensight News の Nicky によって編集、編集、寄稿されています。 (あらすじ:stETH保有者に「決定拒否権」を与える!) Lidoの新しい提案またはDeFiガバナンスの権力構造のリファクタリング)(背景補足:AaveとLidoの合計TVLが初めて700億ドルを超え、DeFi世界の半分を占めました) 5月10日の早朝、オラクルサービスプロバイダーのChorus Oneは、Lidoオラクルのホットウォレットがハッキングされ、1.46ETHが盗まれたことを明らかにしました。 しかし、セキュリティ監査によると、この孤立したインシデントの影響は限定的であり、関係するウォレットは軽量操作のみを目的として設計されていました。 オラクルへの攻撃は確かに悪い響きです。 しかし、Lido のアーキテクチャ、利害関係者の価値観、セキュリティ志向のコントリビューター文化により、このようなイベントの影響は非常に限定的であり、オラクルが完全に侵害されたとしても、壊滅的な結果をもたらすことはありません。 では、リドの何がそんなにユニークなのでしょうか? 考え抜かれた設計と保護レイヤー Lidoのオラクルは、コンセンサスレイヤーから実行レイヤーへの情報の受け渡しと、プロトコルのダイナミクスのレポート作成を担当しています。 彼らはユーザーの資金を管理していません。 単一フォールトのオラクルは軽微な問題を引き起こすだけで、クォーラムが破られたとしても、壊滅的な結果をもたらすことはありません。 侵害された 1 つのオラクルが試みる可能性のある悪意のあるアクションは何ですか? A)悪意のあるレポートを提出します(ただし、正直なオラクルによって無視されます)。 B) その特定のオラクルアドレス(トランザクションの操作にのみ使用され、ステーカーの資金を保持していない)のETH残高をドレインします。 オラクルの責任とは正確には何ですか? Lidoのオラクルは、基本的に9人の独立した参加者(5/9のコンセンサスが必要)で構成される分散型メカニズムであり、主にプロトコルステータスの報告を担当し、現在のコア機能は次のとおりです。 ・トークンインフレーション報酬の分配(リベース) ・出金プロセス処理 ・CSM(Community Security Module)による参照のための検証ノード出口とパフォーマンス監視 これらのオラクルは、観察されたステータスの「レポート」をプロトコルに提出します。 これらのレポートは、毎日蓄積される報酬またはペナルティの計算、stETH残高の更新、引き出しリクエストの処理と確定、バリデーターの終了リクエストの計算、およびバリデーターのパフォーマンスの測定に使用されます。 本質的に、リドオラクルは一般的に「マルチシグ」として理解されているものとは異なります。 オラクルは、ステーカーやプロトコルファンドにアクセスすることも、プロトコルコントラクトのアップグレードを制御することも、自分自身をアップグレードしたり、メンバーシップを管理したりすることもできません。 その代わり、Lido DAOは投票によってオラクルのリストを保持しています。 オラクルの機能は非常に限られており、次のことしかできません:さまざまなプロトコルの目標のために設計された決定論的、監査済み、オープンソースのアルゴリズムに厳密に従ったレポートを提出する。 特定の状況でトランザクションを実行して、報告された結果を実装します(例:契約の毎日のリベース操作)。 9つのオラクルのうち5つが破られた場合はどうなりますか? この場合、侵害されたオラクルが共謀して悪意のあるレポートを提出する可能性がありますが、どのレポートもオンチェーンで強制されたプロトコルの妥当性チェックに合格する必要があります。 レポートがこれらの妥当性チェックに違反した場合、レポート内の値は特定の期間 (日または週) に許容される値の範囲に準拠する必要があるため、処理時間が延長されます (解決されない場合もあります)。 最悪のシナリオでは、stETHのようなリベース(ポジティブかネガティブか)が効果を発揮するまでに時間がかかる可能性があり、これはstETH保有者に影響を与えますが、誰かがDeFiでstETHを活用しない限り、ほとんどの保有者への影響は最小限に抑えられます。 また、悪意のあるオラクルとその共謀者が何らかの情報を持っている場合、またはコンセンサスレベルで大きな罰則(大規模な没収など)を課す能力がある場合、実行レイヤーでのstETHの更新の遅延を利用して金銭的利益を得る可能性があります。 例えば、大規模な没収が発生した場合、ネガティブリベースが有効になる前に、分散型取引所(DEX)を通じてstETHの一部を売却する人がいるかもしれません。 ただし、ユーザーがLidoを通じて直接開始する出金には影響せず、出金プロセスが公正に行われるようにプロトコルの「バンカーモード」がアクティブになります。 リアルタイムで徹底した透明性 Lidoエコシステムのすべての参加者は、コントリビューター、ノードオペレーター、オラクルオペレーターを問わず、最初から最後まで、常に透明性と善意を第一に考え、ステーカーの権利と利益、そしてエコシステム全体の健全性を優先してきました。 詳細な事後分析レポートを積極的にリリースする場合でも、インフラストラクチャのダウンタイムによるステーキング損失を補償する場合でも、予防的な理由でバリデーターを積極的に退出させる場合でも、包括的なインシデントレポートを迅速にリリースする場合でも、透明性は常に最優先事項でした。 継続的な反復的なアップグレード Lidoは常にテクノロジーの研究開発の最前線におり、ゼロ知識証明(ZK)テクノロジーを使用してオラクルメカニズムのセキュリティと信頼性を向上させることに取り組んでいます。 初期段階では、チームはゼロ知識証明技術によるコンセンサスレイヤーデータのトラストレスな検証を支援するために、20万ドル以上の専用ファンドを投資しました。 これらの技術的な探求は、最終的に、SuccinctLabsチームによって開発されたSP1ゼロ知識オラクルの「二重検証」メカニズムにつながり、今年中に正式にリリースされる予定です。 このメカニズムは、検証可能なコンセンサスレイヤーデータを通じて、潜在的に否定的なリベース操作に対するセキュリティ検証の追加レイヤーを提供します。 現在、この種のゼロ知識技術はまだ開発段階にあり、関連するゼロ知識仮想マシン(zkVM)は実際の戦闘テストを受ける必要があるだけでなく、計算速度が遅く、計算コストが高いという制限があり、信頼できるオラクルを完全に置き換えることはできません。 しかし、長期的には、このようなソリューションは、既存のオラクルに代わる信頼性を最小限に抑えた代替手段となることが約束されています。 オラクルのテクノロジーは複雑で、DeFi分野ではさまざまなユースケースがあります。 Lidoプロトコルでは、オラクルはコアコンポーネントとして慎重に設計されており、効果的な分散型アーキテクチャ、職務の分離、および多層検証システムを通じて潜在的なリスクの範囲を大幅に縮小します。 関連レポートPolymarketはオラクルによって制御されています! 「正しいか間違っているか」の敗者が勝つ$Redに700万ドル以上を賭ける Binance Launchpoolの新しいコインマイニング、モジュラーオラクルRedStoneの特徴は何ですか? イーサリアムとソラナ:LidoとSolayerから、2つのステーキングステーカーモデルの違い [1.4 ETH盗難の裏側:Lidoのセキュリティメカニズムが暗号業界に教訓を与えた] この記事は、BlockTempoの「Dynamic Trend - The Most Influential Blockchain News Media」に最初に掲載されました。
1.4 ETH 窃盗事件の背後:Lidoの安全メカニズムが暗号業界に教訓を与えた
早朝、ハッカーがLidoオラクルマルチシグのアドレスをハッキングし、1.4ETHを盗んだ後、彼の居場所を暴露しました。 盗難はリド島に重大な影響を与えますか? この記事は、@IsdrsP (Lido Validation Node Supervisor) によって書かれた記事からのものであり、Whensight News の Nicky によって編集、編集、寄稿されています。 (あらすじ:stETH保有者に「決定拒否権」を与える!) Lidoの新しい提案またはDeFiガバナンスの権力構造のリファクタリング)(背景補足:AaveとLidoの合計TVLが初めて700億ドルを超え、DeFi世界の半分を占めました) 5月10日の早朝、オラクルサービスプロバイダーのChorus Oneは、Lidoオラクルのホットウォレットがハッキングされ、1.46ETHが盗まれたことを明らかにしました。 しかし、セキュリティ監査によると、この孤立したインシデントの影響は限定的であり、関係するウォレットは軽量操作のみを目的として設計されていました。 オラクルへの攻撃は確かに悪い響きです。 しかし、Lido のアーキテクチャ、利害関係者の価値観、セキュリティ志向のコントリビューター文化により、このようなイベントの影響は非常に限定的であり、オラクルが完全に侵害されたとしても、壊滅的な結果をもたらすことはありません。 では、リドの何がそんなにユニークなのでしょうか? 考え抜かれた設計と保護レイヤー Lidoのオラクルは、コンセンサスレイヤーから実行レイヤーへの情報の受け渡しと、プロトコルのダイナミクスのレポート作成を担当しています。 彼らはユーザーの資金を管理していません。 単一フォールトのオラクルは軽微な問題を引き起こすだけで、クォーラムが破られたとしても、壊滅的な結果をもたらすことはありません。 侵害された 1 つのオラクルが試みる可能性のある悪意のあるアクションは何ですか? A)悪意のあるレポートを提出します(ただし、正直なオラクルによって無視されます)。 B) その特定のオラクルアドレス(トランザクションの操作にのみ使用され、ステーカーの資金を保持していない)のETH残高をドレインします。 オラクルの責任とは正確には何ですか? Lidoのオラクルは、基本的に9人の独立した参加者(5/9のコンセンサスが必要)で構成される分散型メカニズムであり、主にプロトコルステータスの報告を担当し、現在のコア機能は次のとおりです。 ・トークンインフレーション報酬の分配(リベース) ・出金プロセス処理 ・CSM(Community Security Module)による参照のための検証ノード出口とパフォーマンス監視 これらのオラクルは、観察されたステータスの「レポート」をプロトコルに提出します。 これらのレポートは、毎日蓄積される報酬またはペナルティの計算、stETH残高の更新、引き出しリクエストの処理と確定、バリデーターの終了リクエストの計算、およびバリデーターのパフォーマンスの測定に使用されます。 本質的に、リドオラクルは一般的に「マルチシグ」として理解されているものとは異なります。 オラクルは、ステーカーやプロトコルファンドにアクセスすることも、プロトコルコントラクトのアップグレードを制御することも、自分自身をアップグレードしたり、メンバーシップを管理したりすることもできません。 その代わり、Lido DAOは投票によってオラクルのリストを保持しています。 オラクルの機能は非常に限られており、次のことしかできません:さまざまなプロトコルの目標のために設計された決定論的、監査済み、オープンソースのアルゴリズムに厳密に従ったレポートを提出する。 特定の状況でトランザクションを実行して、報告された結果を実装します(例:契約の毎日のリベース操作)。 9つのオラクルのうち5つが破られた場合はどうなりますか? この場合、侵害されたオラクルが共謀して悪意のあるレポートを提出する可能性がありますが、どのレポートもオンチェーンで強制されたプロトコルの妥当性チェックに合格する必要があります。 レポートがこれらの妥当性チェックに違反した場合、レポート内の値は特定の期間 (日または週) に許容される値の範囲に準拠する必要があるため、処理時間が延長されます (解決されない場合もあります)。 最悪のシナリオでは、stETHのようなリベース(ポジティブかネガティブか)が効果を発揮するまでに時間がかかる可能性があり、これはstETH保有者に影響を与えますが、誰かがDeFiでstETHを活用しない限り、ほとんどの保有者への影響は最小限に抑えられます。 また、悪意のあるオラクルとその共謀者が何らかの情報を持っている場合、またはコンセンサスレベルで大きな罰則(大規模な没収など)を課す能力がある場合、実行レイヤーでのstETHの更新の遅延を利用して金銭的利益を得る可能性があります。 例えば、大規模な没収が発生した場合、ネガティブリベースが有効になる前に、分散型取引所(DEX)を通じてstETHの一部を売却する人がいるかもしれません。 ただし、ユーザーがLidoを通じて直接開始する出金には影響せず、出金プロセスが公正に行われるようにプロトコルの「バンカーモード」がアクティブになります。 リアルタイムで徹底した透明性 Lidoエコシステムのすべての参加者は、コントリビューター、ノードオペレーター、オラクルオペレーターを問わず、最初から最後まで、常に透明性と善意を第一に考え、ステーカーの権利と利益、そしてエコシステム全体の健全性を優先してきました。 詳細な事後分析レポートを積極的にリリースする場合でも、インフラストラクチャのダウンタイムによるステーキング損失を補償する場合でも、予防的な理由でバリデーターを積極的に退出させる場合でも、包括的なインシデントレポートを迅速にリリースする場合でも、透明性は常に最優先事項でした。 継続的な反復的なアップグレード Lidoは常にテクノロジーの研究開発の最前線におり、ゼロ知識証明(ZK)テクノロジーを使用してオラクルメカニズムのセキュリティと信頼性を向上させることに取り組んでいます。 初期段階では、チームはゼロ知識証明技術によるコンセンサスレイヤーデータのトラストレスな検証を支援するために、20万ドル以上の専用ファンドを投資しました。 これらの技術的な探求は、最終的に、SuccinctLabsチームによって開発されたSP1ゼロ知識オラクルの「二重検証」メカニズムにつながり、今年中に正式にリリースされる予定です。 このメカニズムは、検証可能なコンセンサスレイヤーデータを通じて、潜在的に否定的なリベース操作に対するセキュリティ検証の追加レイヤーを提供します。 現在、この種のゼロ知識技術はまだ開発段階にあり、関連するゼロ知識仮想マシン(zkVM)は実際の戦闘テストを受ける必要があるだけでなく、計算速度が遅く、計算コストが高いという制限があり、信頼できるオラクルを完全に置き換えることはできません。 しかし、長期的には、このようなソリューションは、既存のオラクルに代わる信頼性を最小限に抑えた代替手段となることが約束されています。 オラクルのテクノロジーは複雑で、DeFi分野ではさまざまなユースケースがあります。 Lidoプロトコルでは、オラクルはコアコンポーネントとして慎重に設計されており、効果的な分散型アーキテクチャ、職務の分離、および多層検証システムを通じて潜在的なリスクの範囲を大幅に縮小します。 関連レポートPolymarketはオラクルによって制御されています! 「正しいか間違っているか」の敗者が勝つ$Redに700万ドル以上を賭ける Binance Launchpoolの新しいコインマイニング、モジュラーオラクルRedStoneの特徴は何ですか? イーサリアムとソラナ:LidoとSolayerから、2つのステーキングステーカーモデルの違い [1.4 ETH盗難の裏側:Lidoのセキュリティメカニズムが暗号業界に教訓を与えた] この記事は、BlockTempoの「Dynamic Trend - The Most Influential Blockchain News Media」に最初に掲載されました。