Рано вранці хакер зламав адресу в мультипідписі оракула Lido і викрив своє місцезнаходження після крадіжки 1,4 ETH. Чи має крадіжка суттєвий вплив на Lido? Ця стаття взята зі статті, написаної @IsdrsP (Lido Validation Node Supervisor) і складена, упорядкована та надана Nicky, Foresight News. (Синопсис: Надайте власникам stETH «право вето на прийняття рішень»!) Нова пропозиція Lido або рефакторинг структури влади в управлінні DeFi) (довідкове доповнення: загальний TVL Aave та Lido вперше перевищив 70 мільярдів доларів, займаючи половину світу DeFi) Рано вранці 10 травня постачальник послуг оракула Chorus One повідомив, що гарячий гаманець оракула Lido був зламаний, що призвело до крадіжки 1,46 ETH. Однак, згідно з аудитом безпеки, вплив цього ізольованого інциденту був обмеженим, а гаманці, які брали участь, були розроблені лише для легких операцій. Напад на оракула звучить дійсно погано. Однак архітектура Lido, цінності зацікавлених сторін і культура учасників, орієнтована на безпеку, означають, що вплив такої події надзвичайно обмежений — навіть якщо оракул буде повністю зламаний, це не матиме катастрофічних наслідків. Отже, що ж такого унікального в Lido? Продуманий дизайн і рівні захисту: оракул Lido відповідає за передачу інформації з рівня консенсусу на рівень виконання і динаміку протоколу звітності. Вони не контролюють кошти користувачів. Оракул з однією провиною може спричинити лише незначні неприємності, і навіть якщо кворум буде порушено, це не матиме катастрофічних наслідків. Які зловмисні дії може спробувати скомпрометований оракул? A) подавати шкідливі звіти (але будуть проігноровані чесними оракулами); B) Спустошити баланс ETH тієї конкретної адреси оракула (яка використовується лише для проведення транзакцій і не зберігає кошти стейкера). У чому саме входить відповідальність оракула? Оракул Lido — це, по суті, розподілений механізм, що складається з 9 незалежних учасників (потрібен консенсус 5/9), які в основному відповідають за звітність про статус протоколу, а поточні основні функції включають: ・Розподіл винагороди за інфляцію токенів (перебазування) ・Обробка процесу виведення коштів ・Вихід із вузла верифікації та моніторинг продуктивності для довідки CSM (Модуль безпеки спільноти) Ці оракули подають протоколу «звіт» про свій спостережений статус. Ці звіти використовуються для розрахунку винагород або штрафів, що накопичуються щодня, оновлення балансів stETH, обробки та доопрацювання запитів на виведення коштів, розрахунку запитів на вихід з валідатора та вимірювання продуктивності валідатора. По суті, оракул Lido відрізняється від того, що прийнято розуміти як «мультисіг». Оракули не мають доступу до стейкерів і фондів протоколу, не можуть контролювати оновлення будь-яких контрактів протоколу, а також не можуть оновлювати себе або керувати членством. Натомість Lido DAO веде список оракулів шляхом голосування. Можливості оракула вкрай обмежені — він може робити лише наступне: подавати звіти, які строго слідують детермінованим, перевіреним і відкритим алгоритмам, розробленим для різних цілей протоколу; Виконуйте транзакції в конкретних ситуаціях для реалізації заявлених результатів (наприклад, щоденні операції з перебазування угоди). Що станеться, якщо 5 з 9 оракулів будуть зламані? У цьому випадку зламаний оракул може вступити в змову для подання шкідливих звітів, але будь-який звіт має пройти перевірку правдоподібності протоколу, що виконується в ланцюжку. Якщо звіт порушує ці перевірки правдоподібності, час обробки буде подовжено (і, можливо, ніколи не буде) «врегульовано», оскільки значення у звіті повинні відповідати діапазону значень, дозволених для конкретного періоду часу (днів або тижнів). У найгіршому сценарії це може означати, що перебазування, подібне до stETH (позитивне чи негативне), потребує більше часу для набуття чинності, що впливає на власників stETH, але має мінімальний вплив на більшість власників, якщо хтось не використовує stETH у DeFi. Є й інші можливості: якщо зловмисні оракули та їхні спільники мають певну інформацію або мають можливість накладати великі штрафні санкції (наприклад, масштабні конфіскації) на рівні консенсусу, вони можуть скористатися затримкою оновлення stETH на рівні виконання для отримання фінансової вигоди. Наприклад, у разі масштабної конфіскації деякі люди можуть продати частину свого stETH через децентралізовану біржу (DEX) до того, як негативний перебазування набуде чинності. Однак це не вплине на виведення коштів, ініційоване безпосередньо користувачами через Lido, оскільки «бункерний режим» протоколу буде активований, щоб гарантувати, що процес виведення коштів буде проведено чесно. Повна прозорість у режимі реального часу Від початку до кінця всі учасники екосистеми Lido, будь то учасники, оператори вузлів або оператори оракулів, завжди ставили прозорість і доброзичливість на перше місце, надаючи пріоритет правам та інтересам стейкерів, а також здоров'ю всієї екосистеми. Незалежно від того, чи йдеться про проактивний випуск детальних посмертних звітів, компенсацію збитків від стейкінгу через простой інфраструктури, проактивний вихід з валідаторів з профілактичних міркувань або швидкий випуск вичерпних звітів про інциденти, прозорість завжди була головним пріоритетом. Безперервні ітеративні оновлення Lido завжди була в авангарді технологічних досліджень і розробок і прагне використовувати технологію доказу з нульовим розголошенням (ZK) для підвищення безпеки та надійності механізмів оракула. Ще на початковому етапі команда інвестувала понад 200 000 доларів США у виділені кошти для підтримки перевірки даних на рівні консенсусу без довіри за допомогою технології доказу з нульовим розголошенням. Ці технічні дослідження в кінцевому підсумку призвели до механізму «подвійної верифікації» оракула з нульовим розголошенням SP1, розробленого командою SuccinctLabs, який буде офіційно запущений протягом цього року. Цей механізм забезпечує додатковий рівень перевірки безпеки для потенційно негативних операцій перебазування за допомогою перевірених даних рівня консенсусу. В даний час цей вид технології з нульовим розголошенням все ще знаходиться на стадії розробки, і пов'язана з нею віртуальна машина з нульовим розголошенням (zkVM) не тільки повинна проходити реальні бойові випробування, але також має обмеження у вигляді низької швидкості обчислень і високої вартості обчислень, і не може повністю замінити довірені оракули. Але в довгостроковій перспективі такі рішення обіцяють стати мінімізованою довірою альтернативою існуючим оракулам. Технологія Oracle складна і має різноманітні варіанти використання в просторі DeFi. У протоколі Lido оракули ретельно розроблені як основні компоненти, щоб значно знизити масштаб потенційних ризиків за рахунок ефективної децентралізованої архітектури, розподілу обов'язків і багаторівневої системи верифікації. Схожі звіти: Полімаркет контролюється оракулами! Ставка понад 7 мільйонів доларів на «правильні та неправильні» виграші переможених $Red лістингу нових монет Binance Launchpool, які характеристики модульного оракула RedStone? Ethereum проти Solana: від Lido і Solayer, різниця між двома моделями стейкінг-стейкерів [1.4 За крадіжкою ETH: механізм безпеки Lido дав урок криптоіндустрії] Ця стаття була вперше опублікована в журналі BlockTempo "Динамічний тренд - найвпливовіше новинне медіа блокчейну".
Контент має виключно довідковий характер і не є запрошенням до участі або пропозицією. Інвестиційні, податкові чи юридичні консультації не надаються. Перегляньте Відмову від відповідальності , щоб дізнатися більше про ризики.
1.4 ETH крадіжка: механізм безпеки Lido дав урок шифруванню індустрії
Рано вранці хакер зламав адресу в мультипідписі оракула Lido і викрив своє місцезнаходження після крадіжки 1,4 ETH. Чи має крадіжка суттєвий вплив на Lido? Ця стаття взята зі статті, написаної @IsdrsP (Lido Validation Node Supervisor) і складена, упорядкована та надана Nicky, Foresight News. (Синопсис: Надайте власникам stETH «право вето на прийняття рішень»!) Нова пропозиція Lido або рефакторинг структури влади в управлінні DeFi) (довідкове доповнення: загальний TVL Aave та Lido вперше перевищив 70 мільярдів доларів, займаючи половину світу DeFi) Рано вранці 10 травня постачальник послуг оракула Chorus One повідомив, що гарячий гаманець оракула Lido був зламаний, що призвело до крадіжки 1,46 ETH. Однак, згідно з аудитом безпеки, вплив цього ізольованого інциденту був обмеженим, а гаманці, які брали участь, були розроблені лише для легких операцій. Напад на оракула звучить дійсно погано. Однак архітектура Lido, цінності зацікавлених сторін і культура учасників, орієнтована на безпеку, означають, що вплив такої події надзвичайно обмежений — навіть якщо оракул буде повністю зламаний, це не матиме катастрофічних наслідків. Отже, що ж такого унікального в Lido? Продуманий дизайн і рівні захисту: оракул Lido відповідає за передачу інформації з рівня консенсусу на рівень виконання і динаміку протоколу звітності. Вони не контролюють кошти користувачів. Оракул з однією провиною може спричинити лише незначні неприємності, і навіть якщо кворум буде порушено, це не матиме катастрофічних наслідків. Які зловмисні дії може спробувати скомпрометований оракул? A) подавати шкідливі звіти (але будуть проігноровані чесними оракулами); B) Спустошити баланс ETH тієї конкретної адреси оракула (яка використовується лише для проведення транзакцій і не зберігає кошти стейкера). У чому саме входить відповідальність оракула? Оракул Lido — це, по суті, розподілений механізм, що складається з 9 незалежних учасників (потрібен консенсус 5/9), які в основному відповідають за звітність про статус протоколу, а поточні основні функції включають: ・Розподіл винагороди за інфляцію токенів (перебазування) ・Обробка процесу виведення коштів ・Вихід із вузла верифікації та моніторинг продуктивності для довідки CSM (Модуль безпеки спільноти) Ці оракули подають протоколу «звіт» про свій спостережений статус. Ці звіти використовуються для розрахунку винагород або штрафів, що накопичуються щодня, оновлення балансів stETH, обробки та доопрацювання запитів на виведення коштів, розрахунку запитів на вихід з валідатора та вимірювання продуктивності валідатора. По суті, оракул Lido відрізняється від того, що прийнято розуміти як «мультисіг». Оракули не мають доступу до стейкерів і фондів протоколу, не можуть контролювати оновлення будь-яких контрактів протоколу, а також не можуть оновлювати себе або керувати членством. Натомість Lido DAO веде список оракулів шляхом голосування. Можливості оракула вкрай обмежені — він може робити лише наступне: подавати звіти, які строго слідують детермінованим, перевіреним і відкритим алгоритмам, розробленим для різних цілей протоколу; Виконуйте транзакції в конкретних ситуаціях для реалізації заявлених результатів (наприклад, щоденні операції з перебазування угоди). Що станеться, якщо 5 з 9 оракулів будуть зламані? У цьому випадку зламаний оракул може вступити в змову для подання шкідливих звітів, але будь-який звіт має пройти перевірку правдоподібності протоколу, що виконується в ланцюжку. Якщо звіт порушує ці перевірки правдоподібності, час обробки буде подовжено (і, можливо, ніколи не буде) «врегульовано», оскільки значення у звіті повинні відповідати діапазону значень, дозволених для конкретного періоду часу (днів або тижнів). У найгіршому сценарії це може означати, що перебазування, подібне до stETH (позитивне чи негативне), потребує більше часу для набуття чинності, що впливає на власників stETH, але має мінімальний вплив на більшість власників, якщо хтось не використовує stETH у DeFi. Є й інші можливості: якщо зловмисні оракули та їхні спільники мають певну інформацію або мають можливість накладати великі штрафні санкції (наприклад, масштабні конфіскації) на рівні консенсусу, вони можуть скористатися затримкою оновлення stETH на рівні виконання для отримання фінансової вигоди. Наприклад, у разі масштабної конфіскації деякі люди можуть продати частину свого stETH через децентралізовану біржу (DEX) до того, як негативний перебазування набуде чинності. Однак це не вплине на виведення коштів, ініційоване безпосередньо користувачами через Lido, оскільки «бункерний режим» протоколу буде активований, щоб гарантувати, що процес виведення коштів буде проведено чесно. Повна прозорість у режимі реального часу Від початку до кінця всі учасники екосистеми Lido, будь то учасники, оператори вузлів або оператори оракулів, завжди ставили прозорість і доброзичливість на перше місце, надаючи пріоритет правам та інтересам стейкерів, а також здоров'ю всієї екосистеми. Незалежно від того, чи йдеться про проактивний випуск детальних посмертних звітів, компенсацію збитків від стейкінгу через простой інфраструктури, проактивний вихід з валідаторів з профілактичних міркувань або швидкий випуск вичерпних звітів про інциденти, прозорість завжди була головним пріоритетом. Безперервні ітеративні оновлення Lido завжди була в авангарді технологічних досліджень і розробок і прагне використовувати технологію доказу з нульовим розголошенням (ZK) для підвищення безпеки та надійності механізмів оракула. Ще на початковому етапі команда інвестувала понад 200 000 доларів США у виділені кошти для підтримки перевірки даних на рівні консенсусу без довіри за допомогою технології доказу з нульовим розголошенням. Ці технічні дослідження в кінцевому підсумку призвели до механізму «подвійної верифікації» оракула з нульовим розголошенням SP1, розробленого командою SuccinctLabs, який буде офіційно запущений протягом цього року. Цей механізм забезпечує додатковий рівень перевірки безпеки для потенційно негативних операцій перебазування за допомогою перевірених даних рівня консенсусу. В даний час цей вид технології з нульовим розголошенням все ще знаходиться на стадії розробки, і пов'язана з нею віртуальна машина з нульовим розголошенням (zkVM) не тільки повинна проходити реальні бойові випробування, але також має обмеження у вигляді низької швидкості обчислень і високої вартості обчислень, і не може повністю замінити довірені оракули. Але в довгостроковій перспективі такі рішення обіцяють стати мінімізованою довірою альтернативою існуючим оракулам. Технологія Oracle складна і має різноманітні варіанти використання в просторі DeFi. У протоколі Lido оракули ретельно розроблені як основні компоненти, щоб значно знизити масштаб потенційних ризиків за рахунок ефективної децентралізованої архітектури, розподілу обов'язків і багаторівневої системи верифікації. Схожі звіти: Полімаркет контролюється оракулами! Ставка понад 7 мільйонів доларів на «правильні та неправильні» виграші переможених $Red лістингу нових монет Binance Launchpool, які характеристики модульного оракула RedStone? Ethereum проти Solana: від Lido і Solayer, різниця між двома моделями стейкінг-стейкерів [1.4 За крадіжкою ETH: механізм безпеки Lido дав урок криптоіндустрії] Ця стаття була вперше опублікована в журналі BlockTempo "Динамічний тренд - найвпливовіше новинне медіа блокчейну".