Vào đầu giờ sáng, một tin tặc đã hack một địa chỉ trong lido oracle multisig và tiết lộ tung tích của anh ta sau khi đánh cắp 1,4 ETH. Vụ trộm có ảnh hưởng nghiêm trọng đến Lido không? Bài viết này là từ một bài báo được viết bởi @IsdrsP (Lido Validation Node Supervisor) và được biên soạn, biên soạn và đóng góp bởi Nicky, Foresight News. (Tóm tắt nội dung: Cung cấp cho chủ sở hữu stETH "quyền phủ quyết quyết định"!) Đề xuất mới của Lido hoặc tái cấu trúc quyền lực quản trị DeFi) (bổ sung cơ bản: Tổng TVL của Aave và Lido lần đầu tiên vượt quá 70 tỷ USD, chiếm một nửa thế giới DeFi) Sáng sớm ngày 10/5, nhà cung cấp dịch vụ oracle Chorus One tiết lộ rằng một ví nóng của Lido oracle đã bị tấn công, dẫn đến việc đánh cắp 1,46 ETH. Tuy nhiên, theo các cuộc kiểm tra bảo mật, tác động của sự cố cô lập này là hạn chế và các ví liên quan chỉ được thiết kế cho các hoạt động nhẹ. Một cuộc tấn công vào một nhà tiên tri nghe có vẻ tồi tệ. Tuy nhiên, kiến trúc của Lido, các giá trị của các bên liên quan và văn hóa đóng góp theo định hướng bảo mật có nghĩa là tác động của một sự kiện như vậy là cực kỳ hạn chế - ngay cả khi oracle bị vi phạm hoàn toàn, nó sẽ không gây ra hậu quả thảm khốc. Vì vậy, Lido có gì độc đáo? Thiết kế và các lớp bảo vệ được cân nhắc kỹ lưỡng Oracle của Lido chịu trách nhiệm chuyển thông tin từ lớp đồng thuận đến lớp thực thi và báo cáo động lực giao thức. Chúng không kiểm soát tiền của người dùng. Một nhà tiên tri lỗi đơn chỉ có thể gây ra những rắc rối nhỏ và ngay cả khi nhóm túc số bị vi phạm, nó sẽ không gây ra hậu quả thảm khốc. Những hành động độc hại nào có thể thực hiện một oracle bị xâm phạm? A) gửi báo cáo độc hại (nhưng sẽ bị bỏ qua bởi các nhà tiên tri trung thực); B) Rút số dư ETH của địa chỉ oracle cụ thể đó (chỉ được sử dụng để vận hành các giao dịch và không nắm giữ tiền của người đặt cược). Chính xác thì trách nhiệm của nhà tiên tri là gì? Oracle của Lido về cơ bản là một cơ chế phân tán bao gồm 9 người tham gia độc lập (yêu cầu sự đồng thuận 5/9), chịu trách nhiệm chính về báo cáo trạng thái giao thức và các chức năng cốt lõi hiện tại bao gồm: ・Phân phối phần thưởng lạm phát token (rebase) ・Xử lý quá trình rút tiền ・Thoát nút xác minh và giám sát hiệu suất để tham khảo bởi CSM (Mô-đun bảo mật cộng đồng) Các oracle này gửi "báo cáo" về trạng thái quan sát của họ cho giao thức. Các báo cáo này được sử dụng để tính toán phần thưởng hoặc tiền phạt tích lũy hàng ngày, cập nhật số dư stETH, xử lý và hoàn tất các yêu cầu rút tiền, tính toán yêu cầu thoát của trình xác thực và đo lường hiệu suất của trình xác thực. Về bản chất, oracle Lido khác với những gì thường được hiểu là "multisig". Oracle không có quyền truy cập vào những người đặt cược và quỹ giao thức, cũng như không thể kiểm soát việc nâng cấp bất kỳ hợp đồng giao thức nào, cũng như không thể tự nâng cấp hoặc quản lý tư cách thành viên. Thay vào đó, Lido DAO duy trì một danh sách các nhà tiên tri bằng cách bỏ phiếu. Khả năng của oracle cực kỳ hạn chế — nó chỉ có thể làm những việc sau: gửi các báo cáo tuân thủ nghiêm ngặt các thuật toán xác định, được kiểm toán và mã nguồn mở được thiết kế cho các mục tiêu giao thức khác nhau; Thực hiện các giao dịch trong các tình huống cụ thể để thực hiện kết quả được báo cáo (ví dụ: các hoạt động cơ sở lại hàng ngày của một thỏa thuận). Điều gì xảy ra nếu 5 trong số 9 oracle bị vi phạm? Trong trường hợp này, oracle bị vi phạm có thể âm mưu gửi các báo cáo độc hại, nhưng bất kỳ báo cáo nào cũng phải vượt qua kiểm tra tính hợp lý của giao thức thực thi trên chuỗi. Nếu một báo cáo vi phạm các kiểm tra tính hợp lý này, thời gian xử lý sẽ được kéo dài (và có thể không bao giờ) "giải quyết", vì các giá trị trong báo cáo phải phù hợp với phạm vi giá trị cho phép trong một khoảng thời gian cụ thể (ngày hoặc tuần). Trong trường hợp xấu nhất, điều này có thể có nghĩa là việc rebase giống như stETH (dù tích cực hay tiêu cực) mất nhiều thời gian hơn để có hiệu lực, điều này ảnh hưởng đến chủ sở hữu stETH nhưng có tác động tối thiểu đến hầu hết chủ sở hữu, trừ khi ai đó tận dụng stETH trong DeFi. Ngoài ra còn có những khả năng khác: nếu các oracle độc hại và đồng phạm của chúng có một số thông tin hoặc có khả năng áp dụng các hình phạt lớn (chẳng hạn như tịch thu quy mô lớn) ở cấp độ đồng thuận, họ có thể lợi dụng sự chậm trễ trong việc cập nhật stETH ở lớp thực thi để thu lợi tài chính. Ví dụ: trong trường hợp tịch thu quy mô lớn, một số người có thể bán một số stETH của họ thông qua một sàn giao dịch phi tập trung (DEX) trước khi rebase tiêu cực có hiệu lực. Tuy nhiên, điều này sẽ không ảnh hưởng đến việc rút tiền do người dùng trực tiếp bắt đầu thông qua Lido, vì "chế độ boongke" của giao thức sẽ được kích hoạt để đảm bảo rằng quá trình rút tiền được thực hiện một cách công bằng. Tính minh bạch theo thời gian thực và triệt để Từ đầu đến cuối, tất cả những người tham gia vào hệ sinh thái Lido, dù là người đóng góp, nhà khai thác nút hay nhà điều hành oracle, luôn đặt tính minh bạch và thiện chí lên hàng đầu, ưu tiên quyền và lợi ích của những người đặt cược và sức khỏe của toàn bộ hệ sinh thái. Cho dù đó là chủ động phát hành báo cáo khám nghiệm chi tiết, bù đắp tổn thất staking do ngừng hoạt động cơ sở hạ tầng, chủ động thoát khỏi trình xác thực vì lý do phòng ngừa hay nhanh chóng phát hành báo cáo sự cố toàn diện, tính minh bạch luôn là ưu tiên hàng đầu. Nâng cấp lặp đi lặp lại liên tục Lido luôn đi đầu trong nghiên cứu và phát triển công nghệ, đồng thời cam kết sử dụng công nghệ zero-knowledge proof (ZK) để cải thiện tính bảo mật và không đáng tin cậy của các cơ chế oracle. Ngay từ giai đoạn đầu, nhóm đã đầu tư hơn 200.000 đô la vào quỹ chuyên dụng để hỗ trợ xác minh dữ liệu lớp đồng thuận không cần tin cậy thông qua công nghệ bằng chứng không kiến thức. Những khám phá kỹ thuật này cuối cùng đã dẫn đến cơ chế "xác minh kép" oracle không kiến thức SP1 được phát triển bởi nhóm SuccinctLabs, sẽ chính thức ra mắt trong năm nay. Cơ chế này cung cấp một lớp xác thực bảo mật bổ sung cho các hoạt động rebase có khả năng tiêu cực thông qua dữ liệu lớp đồng thuận có thể xác minh được. Hiện tại, loại công nghệ không tri thức này vẫn đang trong giai đoạn phát triển và máy ảo không tri thức liên quan (zkVM) không chỉ cần trải qua thử nghiệm chiến đấu thực tế mà còn có những hạn chế về tốc độ tính toán chậm và chi phí tính toán cao, không thể thay thế hoàn toàn các oracle đáng tin cậy. Nhưng về lâu dài, các giải pháp như vậy hứa hẹn sẽ là một giải pháp thay thế giảm thiểu niềm tin cho các oracle hiện có. Công nghệ Oracle rất phức tạp và có nhiều trường hợp sử dụng khác nhau trong không gian DeFi. Trong giao thức Lido, oracle được thiết kế cẩn thận như các thành phần cốt lõi để giảm đáng kể phạm vi rủi ro tiềm ẩn thông qua kiến trúc phi tập trung hiệu quả, phân chia nhiệm vụ và hệ thống xác minh nhiều lớp. Báo cáo liên quan Polymarket được kiểm soát bởi các nhà tiên tri! Hơn 7 triệu đô la đặt cược vào người thua cuộc "đúng và sai" thắng $Red niêm yết Binance Launchpool khai thác coin mới, đặc điểm của oracle mô-đun RedStone là gì? Ethereum vs Solana: Từ Lido và Solayer, sự khác biệt giữa hai mô hình staking staker [1.4 Đằng sau vụ trộm ETH: Cơ chế bảo mật của Lido đã dạy cho ngành công nghiệp tiền điện tử một bài học] Bài viết này được xuất bản lần đầu tiên trong "Dynamic Trend - The Most Influential Blockchain News Media" của BlockTempo.
Nội dung chỉ mang tính chất tham khảo, không phải là lời chào mời hay đề nghị. Không cung cấp tư vấn về đầu tư, thuế hoặc pháp lý. Xem Tuyên bố miễn trừ trách nhiệm để biết thêm thông tin về rủi ro.
1.4 ETH vụ trộm: Cơ chế an toàn của Lido đã dạy cho ngành mã hóa một bài học
Vào đầu giờ sáng, một tin tặc đã hack một địa chỉ trong lido oracle multisig và tiết lộ tung tích của anh ta sau khi đánh cắp 1,4 ETH. Vụ trộm có ảnh hưởng nghiêm trọng đến Lido không? Bài viết này là từ một bài báo được viết bởi @IsdrsP (Lido Validation Node Supervisor) và được biên soạn, biên soạn và đóng góp bởi Nicky, Foresight News. (Tóm tắt nội dung: Cung cấp cho chủ sở hữu stETH "quyền phủ quyết quyết định"!) Đề xuất mới của Lido hoặc tái cấu trúc quyền lực quản trị DeFi) (bổ sung cơ bản: Tổng TVL của Aave và Lido lần đầu tiên vượt quá 70 tỷ USD, chiếm một nửa thế giới DeFi) Sáng sớm ngày 10/5, nhà cung cấp dịch vụ oracle Chorus One tiết lộ rằng một ví nóng của Lido oracle đã bị tấn công, dẫn đến việc đánh cắp 1,46 ETH. Tuy nhiên, theo các cuộc kiểm tra bảo mật, tác động của sự cố cô lập này là hạn chế và các ví liên quan chỉ được thiết kế cho các hoạt động nhẹ. Một cuộc tấn công vào một nhà tiên tri nghe có vẻ tồi tệ. Tuy nhiên, kiến trúc của Lido, các giá trị của các bên liên quan và văn hóa đóng góp theo định hướng bảo mật có nghĩa là tác động của một sự kiện như vậy là cực kỳ hạn chế - ngay cả khi oracle bị vi phạm hoàn toàn, nó sẽ không gây ra hậu quả thảm khốc. Vì vậy, Lido có gì độc đáo? Thiết kế và các lớp bảo vệ được cân nhắc kỹ lưỡng Oracle của Lido chịu trách nhiệm chuyển thông tin từ lớp đồng thuận đến lớp thực thi và báo cáo động lực giao thức. Chúng không kiểm soát tiền của người dùng. Một nhà tiên tri lỗi đơn chỉ có thể gây ra những rắc rối nhỏ và ngay cả khi nhóm túc số bị vi phạm, nó sẽ không gây ra hậu quả thảm khốc. Những hành động độc hại nào có thể thực hiện một oracle bị xâm phạm? A) gửi báo cáo độc hại (nhưng sẽ bị bỏ qua bởi các nhà tiên tri trung thực); B) Rút số dư ETH của địa chỉ oracle cụ thể đó (chỉ được sử dụng để vận hành các giao dịch và không nắm giữ tiền của người đặt cược). Chính xác thì trách nhiệm của nhà tiên tri là gì? Oracle của Lido về cơ bản là một cơ chế phân tán bao gồm 9 người tham gia độc lập (yêu cầu sự đồng thuận 5/9), chịu trách nhiệm chính về báo cáo trạng thái giao thức và các chức năng cốt lõi hiện tại bao gồm: ・Phân phối phần thưởng lạm phát token (rebase) ・Xử lý quá trình rút tiền ・Thoát nút xác minh và giám sát hiệu suất để tham khảo bởi CSM (Mô-đun bảo mật cộng đồng) Các oracle này gửi "báo cáo" về trạng thái quan sát của họ cho giao thức. Các báo cáo này được sử dụng để tính toán phần thưởng hoặc tiền phạt tích lũy hàng ngày, cập nhật số dư stETH, xử lý và hoàn tất các yêu cầu rút tiền, tính toán yêu cầu thoát của trình xác thực và đo lường hiệu suất của trình xác thực. Về bản chất, oracle Lido khác với những gì thường được hiểu là "multisig". Oracle không có quyền truy cập vào những người đặt cược và quỹ giao thức, cũng như không thể kiểm soát việc nâng cấp bất kỳ hợp đồng giao thức nào, cũng như không thể tự nâng cấp hoặc quản lý tư cách thành viên. Thay vào đó, Lido DAO duy trì một danh sách các nhà tiên tri bằng cách bỏ phiếu. Khả năng của oracle cực kỳ hạn chế — nó chỉ có thể làm những việc sau: gửi các báo cáo tuân thủ nghiêm ngặt các thuật toán xác định, được kiểm toán và mã nguồn mở được thiết kế cho các mục tiêu giao thức khác nhau; Thực hiện các giao dịch trong các tình huống cụ thể để thực hiện kết quả được báo cáo (ví dụ: các hoạt động cơ sở lại hàng ngày của một thỏa thuận). Điều gì xảy ra nếu 5 trong số 9 oracle bị vi phạm? Trong trường hợp này, oracle bị vi phạm có thể âm mưu gửi các báo cáo độc hại, nhưng bất kỳ báo cáo nào cũng phải vượt qua kiểm tra tính hợp lý của giao thức thực thi trên chuỗi. Nếu một báo cáo vi phạm các kiểm tra tính hợp lý này, thời gian xử lý sẽ được kéo dài (và có thể không bao giờ) "giải quyết", vì các giá trị trong báo cáo phải phù hợp với phạm vi giá trị cho phép trong một khoảng thời gian cụ thể (ngày hoặc tuần). Trong trường hợp xấu nhất, điều này có thể có nghĩa là việc rebase giống như stETH (dù tích cực hay tiêu cực) mất nhiều thời gian hơn để có hiệu lực, điều này ảnh hưởng đến chủ sở hữu stETH nhưng có tác động tối thiểu đến hầu hết chủ sở hữu, trừ khi ai đó tận dụng stETH trong DeFi. Ngoài ra còn có những khả năng khác: nếu các oracle độc hại và đồng phạm của chúng có một số thông tin hoặc có khả năng áp dụng các hình phạt lớn (chẳng hạn như tịch thu quy mô lớn) ở cấp độ đồng thuận, họ có thể lợi dụng sự chậm trễ trong việc cập nhật stETH ở lớp thực thi để thu lợi tài chính. Ví dụ: trong trường hợp tịch thu quy mô lớn, một số người có thể bán một số stETH của họ thông qua một sàn giao dịch phi tập trung (DEX) trước khi rebase tiêu cực có hiệu lực. Tuy nhiên, điều này sẽ không ảnh hưởng đến việc rút tiền do người dùng trực tiếp bắt đầu thông qua Lido, vì "chế độ boongke" của giao thức sẽ được kích hoạt để đảm bảo rằng quá trình rút tiền được thực hiện một cách công bằng. Tính minh bạch theo thời gian thực và triệt để Từ đầu đến cuối, tất cả những người tham gia vào hệ sinh thái Lido, dù là người đóng góp, nhà khai thác nút hay nhà điều hành oracle, luôn đặt tính minh bạch và thiện chí lên hàng đầu, ưu tiên quyền và lợi ích của những người đặt cược và sức khỏe của toàn bộ hệ sinh thái. Cho dù đó là chủ động phát hành báo cáo khám nghiệm chi tiết, bù đắp tổn thất staking do ngừng hoạt động cơ sở hạ tầng, chủ động thoát khỏi trình xác thực vì lý do phòng ngừa hay nhanh chóng phát hành báo cáo sự cố toàn diện, tính minh bạch luôn là ưu tiên hàng đầu. Nâng cấp lặp đi lặp lại liên tục Lido luôn đi đầu trong nghiên cứu và phát triển công nghệ, đồng thời cam kết sử dụng công nghệ zero-knowledge proof (ZK) để cải thiện tính bảo mật và không đáng tin cậy của các cơ chế oracle. Ngay từ giai đoạn đầu, nhóm đã đầu tư hơn 200.000 đô la vào quỹ chuyên dụng để hỗ trợ xác minh dữ liệu lớp đồng thuận không cần tin cậy thông qua công nghệ bằng chứng không kiến thức. Những khám phá kỹ thuật này cuối cùng đã dẫn đến cơ chế "xác minh kép" oracle không kiến thức SP1 được phát triển bởi nhóm SuccinctLabs, sẽ chính thức ra mắt trong năm nay. Cơ chế này cung cấp một lớp xác thực bảo mật bổ sung cho các hoạt động rebase có khả năng tiêu cực thông qua dữ liệu lớp đồng thuận có thể xác minh được. Hiện tại, loại công nghệ không tri thức này vẫn đang trong giai đoạn phát triển và máy ảo không tri thức liên quan (zkVM) không chỉ cần trải qua thử nghiệm chiến đấu thực tế mà còn có những hạn chế về tốc độ tính toán chậm và chi phí tính toán cao, không thể thay thế hoàn toàn các oracle đáng tin cậy. Nhưng về lâu dài, các giải pháp như vậy hứa hẹn sẽ là một giải pháp thay thế giảm thiểu niềm tin cho các oracle hiện có. Công nghệ Oracle rất phức tạp và có nhiều trường hợp sử dụng khác nhau trong không gian DeFi. Trong giao thức Lido, oracle được thiết kế cẩn thận như các thành phần cốt lõi để giảm đáng kể phạm vi rủi ro tiềm ẩn thông qua kiến trúc phi tập trung hiệu quả, phân chia nhiệm vụ và hệ thống xác minh nhiều lớp. Báo cáo liên quan Polymarket được kiểm soát bởi các nhà tiên tri! Hơn 7 triệu đô la đặt cược vào người thua cuộc "đúng và sai" thắng $Red niêm yết Binance Launchpool khai thác coin mới, đặc điểm của oracle mô-đun RedStone là gì? Ethereum vs Solana: Từ Lido và Solayer, sự khác biệt giữa hai mô hình staking staker [1.4 Đằng sau vụ trộm ETH: Cơ chế bảo mật của Lido đã dạy cho ngành công nghiệp tiền điện tử một bài học] Bài viết này được xuất bản lần đầu tiên trong "Dynamic Trend - The Most Influential Blockchain News Media" của BlockTempo.