Nas primeiras horas da manhã, um hacker hackeou um endereço no oráculo multisig Lido e expôs seu paradeiro depois de roubar 1,4 ETH. O furto tem impacto material no Lido? Este artigo é de um artigo escrito por @IsdrsP (Lido Validation Node Supervisor) e é compilado, compilado e contribuído por Nicky, Foresight News. (Sinopse: Dê aos detentores de stETH "poder de veto de decisão"!) A nova proposta do Lido ou refatoração da estrutura de poder de governança DeFi) (suplemento de fundo: o TVL total de Aave e Lido ultrapassou US$ 70 bilhões pela primeira vez, ocupando metade do mundo DeFi) Na madrugada de 10 de maio, o provedor de serviços Oracle Chorus One divulgou que uma carteira quente do oráculo Lido foi hackeada, resultando no roubo de 1,46 ETH. No entanto, de acordo com auditorias de segurança, o impacto deste incidente isolado foi limitado, e as carteiras envolvidas foram projetadas apenas para operações leves. Um ataque a um oráculo soa realmente mal. No entanto, a arquitetura do Lido, os valores das partes interessadas e a cultura de contribuidor orientada para a segurança significam que o impacto de tal evento é extremamente limitado — mesmo que o oráculo seja completamente violado, não terá consequências catastróficas. Então, o que há de tão único no Lido? Design bem pensado e camadas de proteção O oráculo da Lido é responsável por passar informações da camada de consenso para a camada de execução e dinâmica do protocolo de relatórios. Não controlam os fundos dos utilizadores. Um oráculo de falha única só pode causar pequenos problemas e, mesmo que o quórum seja violado, não terá consequências catastróficas. Que ações maliciosas um único oráculo comprometido pode tentar? A) enviar relatórios maliciosos (mas serão ignorados por oráculos honestos); B) Drenar o saldo ETH desse endereço oráculo específico (que é usado apenas para operar transações e não está detendo os fundos do staker). Qual é exatamente a responsabilidade do oráculo? O oráculo do Lido é essencialmente um mecanismo distribuído composto por 9 participantes independentes (é necessário consenso de 5/9), principalmente responsável pelo relatório de status do protocolo, e as funções principais atuais incluem: ・Distribuição de recompensa de inflação de token (rebase) ・Processamento do processo de retirada ・Saída do nó de verificação e monitoramento de desempenho para referência pelo CSM (Community Security Module) Esses oráculos submetem um "relatório" de seu status observado ao protocolo. Esses relatórios são usados para calcular recompensas ou penalidades acumuladas diariamente, atualizar saldos stETH, processar e finalizar solicitações de retirada, calcular solicitações de saída do validador e medir o desempenho do validador. Em essência, o oráculo do Lido é diferente do que é comumente entendido como "multisig". Os oráculos não têm acesso a stakers e fundos de protocolo, nem podem controlar a atualização de quaisquer contratos de protocolo, nem podem atualizar a si mesmos ou gerenciar associações. Em vez disso, o Lido DAO mantém uma lista de oráculos por votação. Os recursos do oráculo são extremamente limitados — ele só pode fazer o seguinte: enviar relatórios que sigam estritamente algoritmos determinísticos, auditados e de código aberto projetados para diferentes objetivos de protocolo; Executar transações em situações específicas para implementar os resultados reportados (por exemplo, operações diárias de rebase de um acordo). O que acontece se 5 em cada 9 oráculos forem violados? Nesse caso, o oráculo violado pode conspirar para enviar relatórios mal-intencionados, mas qualquer relatório deve passar por uma verificação de plausibilidade de protocolo imposta on-chain. Se um relatório violar essas verificações de plausibilidade, o tempo de processamento será estendido (e pode nunca ser) "liquidado", porque os valores no relatório devem estar em conformidade com o intervalo de valores permitidos por um período de tempo específico (dias ou semanas). No pior cenário, isso pode significar que rebases do tipo stETH (sejam positivas ou negativas) levam mais tempo para entrar em vigor, o que afeta os detentores de stETH, mas tem impacto mínimo na maioria dos detentores, a menos que alguém aproveite o stETH no DeFi. Há também outras possibilidades: se oráculos mal-intencionados e seus coconspiradores tiverem alguma informação, ou tiverem a capacidade de impor grandes penalidades (como confiscos em larga escala) no nível de consenso, eles podem aproveitar o atraso na atualização do stETH na camada de execução para obter ganhos financeiros. Por exemplo, no caso de um confisco em grande escala, algumas pessoas podem vender parte de seu stETH através de uma exchange descentralizada (DEX) antes que a rebase negativa entre em vigor. No entanto, isso não afetará as retiradas iniciadas diretamente pelos usuários através do Lido, pois o "modo bunker" do protocolo será ativado para garantir que o processo de retirada seja realizado de forma justa. Transparência total e em tempo real Do início ao fim, todos os participantes do ecossistema Lido, sejam contribuidores, operadores de nós ou operadores oracle, sempre colocaram a transparência e a boa vontade em primeiro lugar, priorizando os direitos e interesses dos stakers e a saúde de todo o ecossistema. Seja divulgando proativamente relatórios post-mortem detalhados, compensando perdas de staking devido ao tempo de inatividade da infraestrutura, saindo proativamente dos validadores por razões preventivas ou liberando rapidamente relatórios abrangentes de incidentes, a transparência sempre foi uma prioridade máxima. Atualizações iterativas contínuas A Lido sempre esteve na vanguarda da pesquisa e desenvolvimento de tecnologia e está comprometida em usar a tecnologia ZK (prova de conhecimento zero) para melhorar a segurança e a falta de confiança dos mecanismos oracle. Já na fase inicial, a equipe investiu mais de US$ 200.000 em fundos dedicados para apoiar a verificação sem confiança de dados da camada de consenso por meio de tecnologia de prova de conhecimento zero. Estas explorações técnicas acabaram por levar ao mecanismo de "dupla verificação" do oráculo de conhecimento zero SP1 desenvolvido pela equipa do SuccinctLabs, que será lançado oficialmente ainda este ano. Esse mecanismo fornece uma camada adicional de validação de segurança para operações de rebase potencialmente negativas por meio de dados de camada de consenso verificáveis. Atualmente, esse tipo de tecnologia de conhecimento zero ainda está em fase de desenvolvimento, e a máquina virtual de conhecimento zero relacionada (zkVM) não só precisa passar por testes de combate reais, mas também tem as limitações de velocidade de computação lenta e alto custo de computação, e não pode substituir completamente os oráculos confiáveis. Mas, a longo prazo, essas soluções prometem ser uma alternativa minimizada de confiança aos oráculos existentes. A tecnologia Oracle é complexa e tem uma variedade de casos de uso no espaço DeFi. No protocolo Lido, os oráculos são cuidadosamente projetados como componentes centrais para reduzir significativamente o escopo de riscos potenciais por meio de uma arquitetura descentralizada eficaz, separação de tarefas e um sistema de verificação multicamadas. Relatórios relacionados Polymarket é controlado por oráculos! Mais de US$ 7 milhões apostam no "certo e errado" perdedor ganha $Red listagem Binance Launchpool nova mineração de moedas, quais são as características do oráculo modular RedStone? Ethereum vs Solana: Do Lido e do Solayer, a diferença entre os dois modelos de staking staker [1.4 Por trás do roubo de ETH: o mecanismo de segurança do Lido ensinou uma lição à indústria cripto] Este artigo foi publicado pela primeira vez no "Dynamic Trend - The Most Influential Blockchain News Media" da BlockTempo.
O conteúdo é apenas para referência, não uma solicitação ou oferta. Nenhum aconselhamento fiscal, de investimento ou jurídico é fornecido. Consulte a isenção de responsabilidade para obter mais informações sobre riscos.
1.4 ETH roubo: O mecanismo de segurança da Lido deu uma lição à indústria de encriptação
Nas primeiras horas da manhã, um hacker hackeou um endereço no oráculo multisig Lido e expôs seu paradeiro depois de roubar 1,4 ETH. O furto tem impacto material no Lido? Este artigo é de um artigo escrito por @IsdrsP (Lido Validation Node Supervisor) e é compilado, compilado e contribuído por Nicky, Foresight News. (Sinopse: Dê aos detentores de stETH "poder de veto de decisão"!) A nova proposta do Lido ou refatoração da estrutura de poder de governança DeFi) (suplemento de fundo: o TVL total de Aave e Lido ultrapassou US$ 70 bilhões pela primeira vez, ocupando metade do mundo DeFi) Na madrugada de 10 de maio, o provedor de serviços Oracle Chorus One divulgou que uma carteira quente do oráculo Lido foi hackeada, resultando no roubo de 1,46 ETH. No entanto, de acordo com auditorias de segurança, o impacto deste incidente isolado foi limitado, e as carteiras envolvidas foram projetadas apenas para operações leves. Um ataque a um oráculo soa realmente mal. No entanto, a arquitetura do Lido, os valores das partes interessadas e a cultura de contribuidor orientada para a segurança significam que o impacto de tal evento é extremamente limitado — mesmo que o oráculo seja completamente violado, não terá consequências catastróficas. Então, o que há de tão único no Lido? Design bem pensado e camadas de proteção O oráculo da Lido é responsável por passar informações da camada de consenso para a camada de execução e dinâmica do protocolo de relatórios. Não controlam os fundos dos utilizadores. Um oráculo de falha única só pode causar pequenos problemas e, mesmo que o quórum seja violado, não terá consequências catastróficas. Que ações maliciosas um único oráculo comprometido pode tentar? A) enviar relatórios maliciosos (mas serão ignorados por oráculos honestos); B) Drenar o saldo ETH desse endereço oráculo específico (que é usado apenas para operar transações e não está detendo os fundos do staker). Qual é exatamente a responsabilidade do oráculo? O oráculo do Lido é essencialmente um mecanismo distribuído composto por 9 participantes independentes (é necessário consenso de 5/9), principalmente responsável pelo relatório de status do protocolo, e as funções principais atuais incluem: ・Distribuição de recompensa de inflação de token (rebase) ・Processamento do processo de retirada ・Saída do nó de verificação e monitoramento de desempenho para referência pelo CSM (Community Security Module) Esses oráculos submetem um "relatório" de seu status observado ao protocolo. Esses relatórios são usados para calcular recompensas ou penalidades acumuladas diariamente, atualizar saldos stETH, processar e finalizar solicitações de retirada, calcular solicitações de saída do validador e medir o desempenho do validador. Em essência, o oráculo do Lido é diferente do que é comumente entendido como "multisig". Os oráculos não têm acesso a stakers e fundos de protocolo, nem podem controlar a atualização de quaisquer contratos de protocolo, nem podem atualizar a si mesmos ou gerenciar associações. Em vez disso, o Lido DAO mantém uma lista de oráculos por votação. Os recursos do oráculo são extremamente limitados — ele só pode fazer o seguinte: enviar relatórios que sigam estritamente algoritmos determinísticos, auditados e de código aberto projetados para diferentes objetivos de protocolo; Executar transações em situações específicas para implementar os resultados reportados (por exemplo, operações diárias de rebase de um acordo). O que acontece se 5 em cada 9 oráculos forem violados? Nesse caso, o oráculo violado pode conspirar para enviar relatórios mal-intencionados, mas qualquer relatório deve passar por uma verificação de plausibilidade de protocolo imposta on-chain. Se um relatório violar essas verificações de plausibilidade, o tempo de processamento será estendido (e pode nunca ser) "liquidado", porque os valores no relatório devem estar em conformidade com o intervalo de valores permitidos por um período de tempo específico (dias ou semanas). No pior cenário, isso pode significar que rebases do tipo stETH (sejam positivas ou negativas) levam mais tempo para entrar em vigor, o que afeta os detentores de stETH, mas tem impacto mínimo na maioria dos detentores, a menos que alguém aproveite o stETH no DeFi. Há também outras possibilidades: se oráculos mal-intencionados e seus coconspiradores tiverem alguma informação, ou tiverem a capacidade de impor grandes penalidades (como confiscos em larga escala) no nível de consenso, eles podem aproveitar o atraso na atualização do stETH na camada de execução para obter ganhos financeiros. Por exemplo, no caso de um confisco em grande escala, algumas pessoas podem vender parte de seu stETH através de uma exchange descentralizada (DEX) antes que a rebase negativa entre em vigor. No entanto, isso não afetará as retiradas iniciadas diretamente pelos usuários através do Lido, pois o "modo bunker" do protocolo será ativado para garantir que o processo de retirada seja realizado de forma justa. Transparência total e em tempo real Do início ao fim, todos os participantes do ecossistema Lido, sejam contribuidores, operadores de nós ou operadores oracle, sempre colocaram a transparência e a boa vontade em primeiro lugar, priorizando os direitos e interesses dos stakers e a saúde de todo o ecossistema. Seja divulgando proativamente relatórios post-mortem detalhados, compensando perdas de staking devido ao tempo de inatividade da infraestrutura, saindo proativamente dos validadores por razões preventivas ou liberando rapidamente relatórios abrangentes de incidentes, a transparência sempre foi uma prioridade máxima. Atualizações iterativas contínuas A Lido sempre esteve na vanguarda da pesquisa e desenvolvimento de tecnologia e está comprometida em usar a tecnologia ZK (prova de conhecimento zero) para melhorar a segurança e a falta de confiança dos mecanismos oracle. Já na fase inicial, a equipe investiu mais de US$ 200.000 em fundos dedicados para apoiar a verificação sem confiança de dados da camada de consenso por meio de tecnologia de prova de conhecimento zero. Estas explorações técnicas acabaram por levar ao mecanismo de "dupla verificação" do oráculo de conhecimento zero SP1 desenvolvido pela equipa do SuccinctLabs, que será lançado oficialmente ainda este ano. Esse mecanismo fornece uma camada adicional de validação de segurança para operações de rebase potencialmente negativas por meio de dados de camada de consenso verificáveis. Atualmente, esse tipo de tecnologia de conhecimento zero ainda está em fase de desenvolvimento, e a máquina virtual de conhecimento zero relacionada (zkVM) não só precisa passar por testes de combate reais, mas também tem as limitações de velocidade de computação lenta e alto custo de computação, e não pode substituir completamente os oráculos confiáveis. Mas, a longo prazo, essas soluções prometem ser uma alternativa minimizada de confiança aos oráculos existentes. A tecnologia Oracle é complexa e tem uma variedade de casos de uso no espaço DeFi. No protocolo Lido, os oráculos são cuidadosamente projetados como componentes centrais para reduzir significativamente o escopo de riscos potenciais por meio de uma arquitetura descentralizada eficaz, separação de tarefas e um sistema de verificação multicamadas. Relatórios relacionados Polymarket é controlado por oráculos! Mais de US$ 7 milhões apostam no "certo e errado" perdedor ganha $Red listagem Binance Launchpool nova mineração de moedas, quais são as características do oráculo modular RedStone? Ethereum vs Solana: Do Lido e do Solayer, a diferença entre os dois modelos de staking staker [1.4 Por trás do roubo de ETH: o mecanismo de segurança do Lido ensinou uma lição à indústria cripto] Este artigo foi publicado pela primeira vez no "Dynamic Trend - The Most Influential Blockchain News Media" da BlockTempo.