Baca lebih lanjut tentang mengapa Rollups membutuhkan komite keselamatan?

PENULIS ASLI: PATRICK MCCORRY

Kompilasi asli: Luffy, Foresight News

Setiap database yang berinteraksi dengan aset crypto suatu hari akan memilih Rollup sebagai tumpukan teknologi. Ada sejumlah alasan bagus bagi pengembang untuk membuat keputusan seperti itu:

• Audit real-time
• Sertifikat solvabilitas default
• Escrow dana pengguna adalah opsional
• Peserta partai yang jujur melindungi seluruh sistem

Yang terpenting, semua upaya desain dan implementasi Rollup difokuskan untuk melindungi pengguna, dana mereka, dan semua interaksi mereka dari operator sistem yang berpotensi tidak dikenal dan kuat.

Bahkan jika seluruh sistem offline, pengguna dapat memulihkan dana mereka sendiri.

Jika Rollups dapat digunakan secara luas sebagai tumpukan teknologi, maka kami mungkin memiliki kemampuan untuk mendobrak hambatan kepercayaan dan memungkinkan interaksi keuangan bagi siapa pun di komunitas global, yang mengarah ke era baru e-commerce global, perekrutan jarak jauh, dan penyampaian layanan tanpa gesekan.

Dibutuhkan banyak upaya untuk mendapatkan rollup agar berfungsi dengan benar.

Bagaimana dengan multisig?

Kedengarannya bagus, tetapi seluruh sistem pada akhirnya dikendalikan oleh multisig. Jika penandatangan dikompromikan atau jahat, maka mereka dapat dengan mudah mencuri semua dana.

Jadi, siapa yang peduli dengan Rollups? di suatu tempat di CT.

Memang benar bahwa semua rollup saat ini memiliki multisig dan memiliki hak untuk meningkatkan kontrak pintar yang mendasarinya, tetapi seperti yang akan kita lihat, ini adalah mekanisme konservatif yang melindungi dana pengguna dan merupakan bagian dari arsitektur sistem yang lebih luas.

Tanggung Jawab Komite Keselamatan

Multisig adalah istilah teknis yang mengacu pada sistem yang membutuhkan banyak penandatangan untuk mengotorisasi suatu tindakan. Misalnya, K dari Penandatangan N melengkapi tanda tangan digital agar transaksi diizinkan.

Dalam konteks rollup, multisig sering disebut sebagai komite keamanan, di mana penandatangan diberi kekuatan untuk meningkatkan semua kontrak pintar terkait.

Mari kita lihat Dewan Keamanan di Arbitrum (karena saya sangat akrab dengannya) untuk mendapatkan gambaran tentang jenis tanggung jawab yang mungkin dimiliki organisasi ini:

*Veto. Jika Komite Keamanan yakin bahwa proposal yang disahkan oleh Arbitrum DAO melanggar piagam Arbitrum dan dapat membahayakan ekosistem Arbitrum, Komite Keamanan dapat membatalkan proposal tersebut. Misalnya, membatalkan proposal yang lolos karena serangan tata kelola. *Pemeliharaan. Tingkatkan rangkaian kontrak pintar Arbitrum untuk membuat perubahan kecil yang kurang berdampak dan tidak memerlukan keterlibatan Arbitrum DAO. *Keadaan darurat. Tanggapi dengan cepat jika terjadi keadaan darurat, dan jika mereka yakin bahwa dana pengguna berada pada risiko yang akan segera terjadi, mereka dapat segera meningkatkan kontrak pintar.

Tentu saja, yang paling penting adalah tugas pertama komite keamanan adalah menanggapi keadaan darurat dan bertindak cepat untuk melindungi dana pengguna.

Anggota komite keselamatan harus menjadi orang yang sangat dapat dipercaya.

Ada kepercayaan pada penandatangan untuk dapat bereaksi dengan cepat, untuk dapat meningkatkan kontrak pintar jika terjadi keadaan darurat, dan melakukan yang terbaik untuk menjaga dana dalam kontrak pintar tetap aman.

Pilih ambang multisig yang benar

Ada dua faktor penting yang perlu dipertimbangkan ketika memutuskan untuk membentuk komite keselamatan:

• Ada berapa penandatangan?
• Berapa jumlah minimum penandatangan yang diperlukan untuk menyetujui suatu tindakan?
• Ini mungkin tampak seperti pertanyaan sepele, lagipula, itu hanya dua angka, tetapi ada tindakan penyeimbangan yang harus dipertimbangkan:
• Pelanggaran keamanan: Anggota K dapat berkolusi untuk mengubah kontrak pintar dan mencuri dana pengguna.
• Pelanggaran aktif: Anggota N-K + 1 berkolusi untuk mencegah perubahan apa pun pada kontrak pintar, terutama jika kerentanan kritis ditemukan.

Tantangannya adalah menetapkan ambang batas yang akan menjaga dana tetap aman di masa damai dan bertindak cepat jika terjadi keadaan darurat ketika dana pengguna terancam.

Mari kita pertimbangkan contoh spesifik. Katakanlah ambang batas ditetapkan ke 9/10 di mana 9 penandatangan harus menandatangani pesan bersama. Ini adalah ambang keamanan yang ketat karena 9 penandatangan harus berkolusi untuk mencuri dana. Kelemahannya, bagaimanapun, adalah bahwa dua penandatangan dapat memblokir tindakan apa pun dalam keadaan darurat. Misalnya, jika dua penandatangan melakukan perjalanan jauh dengan penerbangan transatlantik, Komite Keselamatan tidak akan dapat memenuhi tugasnya.

Tentu saja, jika ambang keamanan rendah, katakanlah 2/10, maka hanya perlu dua penandatangan untuk berkolusi (atau kunci pribadi dikompromikan) agar dana pengguna dicuri.

Persepsi integritas seseorang cenderung berubah seiring waktu

Memilih ambang batas yang tepat lebih merupakan masalah sosial daripada masalah teknis, dan saya pikir itu lebih merupakan seni daripada sains. Keamanan sangat tergantung pada integritas penandatangan individu. Seperti yang akan kita lihat sebentar lagi, ada cara untuk mengurangi kepercayaan pada multisig, tetapi ini datang dengan serangkaian trade-off.

Anggota Komite Keselamatan

Rollup utama secara instan meningkatkan ambang batas multisig yang diperlukan untuk semua kontrak pintar

Sebagian besar Rollup memiliki sekelompok penandatangan anonim di komite keamanan mereka. Kami menduga hal ini mungkin disebabkan oleh:

• Tahap pengembangan rollup,
• Untuk melindungi keselamatan pribadi anggota,
• Percaya bahwa anonimitas adalah pilihan terbaik untuk melindungi dana pengguna.
• Di sisi lain, ada tiga proyek Rollup yang telah mengumumkan keanggotaan komite keamanan mereka secara publik:
• Arbitrum: Penandatangan dipilih secara publik, dan daftar saat ini dapat dilihat di Tally. Hanya tiga penandatangan yang terkait dengan proyek Arbitrum (dua dari Offchain Labs dan satu dari Arbitrum Foundation).
• Basis: 2/2 multisig, satu dikendalikan oleh Base dan yang lainnya dikendalikan oleh Optimisme.
• Polygon zkEVM: Belum diimplementasikan, tetapi mereka telah mengumumkan bahwa mereka akan meningkatkan multisig mereka ke 10/13, yang mencakup dua anggota dari Polygon Labs dan satu konsultan dari Polygon Labs.
• zkSync Lite: zkSync Lite harus dibedakan dari ZkSync Era, yang komite keamanannya diumumkan secara publik dan tidak termasuk afiliasi langsung dari proyek Rollup (kecuali untuk investor di zkSync).

Di Arbitrum, dan di Polygon yang akan datang, hanya segelintir penandatangan yang terkait langsung dengan proyek Rollup, dan jumlahnya cukup kecil untuk memastikan bahwa afiliasi tidak dapat berkolusi untuk memblokir tindakan yang diambil oleh Komite Keamanan. Di zkSync Lite, selain investor zkSync, mereka menunjuk penandatangan yang independen dari proyek.

Dalam semua kasus, Rollup menempatkan nilai tinggi pada penandatangan yang tidak terkait langsung dengan proyek.

Namun, tampaknya ada kurangnya konsensus tentang apa yang merupakan multisig yang baik, yang membawa kita ke beberapa masalah desain:

• Haruskah anggota anonim diizinkan?
• Haruskah anggota berasal dari geografi yang berbeda?
• Haruskah anggota individu atau perusahaan?
• Haruskah anggota ditunjuk atau dipilih?
• Berapa banyak anggota dari perusahaan (atau negara) yang sama yang diizinkan?
• Apakah ada ukuran minimum dan ambang batas yang dianggap sesuai?

Aturan umumnya adalah memilih anggota dengan tingkat integritas yang tinggi sehingga publik memiliki kepercayaan pada keamanan sistem. Setidaknya, saya percaya sebagian besar proyek mungkin melakukannya, bahkan jika ini tidak selalu dapat diverifikasi secara publik.

P.S. Enam anggota Komite Keamanan Arbitrum saat ini telah ditunjuk sebelumnya, tetapi mereka akan diganti dalam pemilihan bulan Maret.

Melemahkan kekuasaan Komisi

Sejauh ini, kami hanya mempertimbangkan satu komite yang memiliki kekuatan untuk segera meningkatkan kontrak pintar, tetapi ada cara untuk membatasi kekuatan komite:

Waktu tunda. Semua tindakan yang disahkan oleh Komisi tidak akan dilakukan dan berlaku sampai waktu T berlalu.

Hanya jeda. Semua aset yang dimiliki oleh jembatan lintas rantai asli dapat dibekukan oleh panitia. Ini dapat menangguhkan fitur berikut:

• Menyampaikan pesan dari L2 ke L1 (yaitu menarik uang),
• Menyelesaikan penyortiran transaksi yang tertunda,
• Lengkapi pos pemeriksaan / sertifikat baru,
• Terima data rollup baru (yaitu, transaksi tertunda).

Komisi Bypass (Dihapus). Abaikan komite dan andalkan mekanisme tata kelola lain, seperti DAO, untuk menyetujui peningkatan.

Ini, tentu saja, membatasi kemampuan Komisi untuk bertindak cepat dan kemampuan mereka untuk secara efektif menanggapi keadaan darurat yang mengancam dana pengguna.

Jika kerentanan telah diungkapkan kepada komite secara pribadi, tetapi belum dieksploitasi oleh peretas, komite keamanan memiliki opsi untuk meningkatkan kontrak pintar dan memperbaiki bug. Menambahkan penundaan waktu untuk upgrade meningkatkan risiko bahwa penyerang akan penelitian upgrade diungkapkan publik, menemukan kerentanan, dan kemudian mengeksploitasi itu.

Misalnya, CVE-2018-17144 di BTC awalnya diiklankan sebagai kerentanan DDoS dalam upaya untuk menyembunyikan kerentanan inflasi token yang lebih serius. Kecepatan peningkatan sangat penting untuk mencegahnya dieksploitasi.

Evaluasi pertahanan mekanisme jeda saja

Mari kita pertimbangkan skenario potensial bagi penyerang untuk secara aktif mengeksploitasi kerentanan:

• Pesan L2 → L1 berbahaya. Penyerang dapat membuat pesan sewenang-wenang yang berasal dari kontrak pintar pada rollup dan meneruskan pesan ke kontrak pintar di ETH melalui jembatan lintas rantai asli.
• Transisi status tidak valid. Penyerang dapat melakukan transaksi pada rollup yang melanggar aturan fungsi transisi negara dan umumnya harus dianggap tidak valid.
• Celah penarikan. Penyerang dapat menarik dana dari jembatan lintas rantai asli hanya dengan mengeluarkan transaksi di ETH Fang (Layer 1).

Dalam ketiga kasus tersebut, penundaan waktu hanya memberi penyerang lebih banyak waktu untuk terus mencuri dana dan mengurangi jendela kesempatan bagi komite untuk mempertahankan sistem. Fitur time-lapse tidak melindungi dari serangan aktif dan hanya dapat digunakan untuk pemeliharaan rutin dan tugas yang tidak mendesak.

Kami hanya akan mengevaluasi kemampuan untuk menjeda sistem dan sejauh mana sistem dapat ditangguhkan.

Dalam kasus pesan L2 → L1 yang berbahaya, fitur jeda dapat mengurangi serangan tanpa mengganggu aktivitas perdagangan. Komite harus menangguhkan pengiriman pesan dan / atau menyelesaikan fungsi pos pemeriksaan baru. Ada argumen bahwa harus ada penundaan waktu sebelum pesan L2 → L1 dijalankan sehingga panitia memiliki waktu untuk mendeteksi kesalahan dan bereaksi terhadap keadaan darurat.

Mempertahankan diri dari transisi status tidak valid lebih rumit karena finalitas transaksi memiliki lapisan rollup yang berbeda. Jika kita hanya mempertimbangkan transaksi rollup tanpa mempertimbangkan efek samping, maka pertahanan terbaik bagi komite keamanan adalah menghentikan kemampuan untuk menyelesaikan pos pemeriksaan, tetapi terus mengizinkan transaksi untuk disortir. Ini memungkinkan waktu untuk memperbaiki bug, mengaktifkan kembali penyelesaian pos pemeriksaan, dan mengabaikan transaksi yang tidak valid.

Namun, jika aktivitas perdagangan pada Rollup tidak dimatikan, pengalaman pengguna akan kacau dan Rollup mungkin tampak sangat rusak sampai perangkat lunak klien ditingkatkan.

Ini membawa kita ke skenario berikutnya. Bagaimana seharusnya komite bereaksi jika kita mempertimbangkan bagaimana transaksi yang tidak valid pada rollup dapat mempengaruhi sistem lain. Garis pertahanan terbaik adalah membekukan kemampuan jembatan lintas rantai asli untuk menyelesaikan pemesanan transaksi, atau mematikan sequencer sepenuhnya.

Ini karena sistem tertentu, seperti jembatan lintas rantai cepat yang mentransfer dana dari satu rollup ke rollup lainnya, dapat mengotorisasi transfer dana setelah mereka yakin bahwa transaksi rollup (termasuk transaksi yang tidak valid) diurutkan. Dalam contoh ini, ini memungkinkan penyerang untuk mengeksploitasi protokol DeFi pada Rollup dan kemudian mentransfer dana dengan cepat dengan mentransfernya ke Rollup lain melalui jembatan lintas rantai yang cepat.

Pada saat komisi memperbaiki pelanggaran dan mengembalikan transaksi yang tidak valid, kerusakan mungkin sudah terjadi. LP dalam protokol DeFi dan jembatan lintas rantai dapat menanggung biaya serangan.

Akhirnya, jika kerentanan memungkinkan penyerang untuk menarik dana langsung dari jembatan lintas rantai asli, mirip dengan Nomad Hack, komite keamanan mungkin tidak berdaya untuk menghentikannya.

Ada masalah menyeluruh dengan mekanisme suspensi. Kita harus berasumsi bahwa ada sistem tata kelola yang lebih luas yang dapat menyetujui peningkatan dan mengaktifkan kembali rollup. Jika kita berasumsi bahwa sistem tata kelola adalah DAO dengan sistem pemungutan suara on-chain yang berjalan di Rollup, maka masalah implementasi yang rumit muncul.

Misalnya, jika jembatan lintas rantai pesan L2→L1 dijeda, hasil pemungutan suara DAO tidak dapat diteruskan dari rollup ke jembatan lintas rantai asli di ETH, dan harus ada cara alternatif bagi DAO untuk mengirim persetujuan dan melakukan peningkatan.

Menghapus Dewan Keamanan secara bertahap

Ada orang-orang di masyarakat yang percaya bahwa komite keselamatan harus dihapus, tetapi menurut pendapat saya, ini menimbulkan dua masalah:

Rasa aman yang salah. Penyerang yang mengetahui eksploitasi menunggu sampai komite keamanan dihapus sebelum melakukan serangan. Seiring waktu, ini dapat mengikis kepercayaan kami terhadap keamanan sistem kami.

Opsi pemulihan terbatas. Tanpa komite keamanan, masyarakat tidak dapat melawan para penyerang. Satu-satunya pilihan yang tersedia adalah menjalankan peretasan topi putih paralel dan mudah-mudahan mendapatkan kembali sebagian dana.

Menurut pendapat saya, komite keselamatan akan selalu diperlukan, tetapi kekuatan yang diberikan kepada mereka harus dikurangi secara bertahap.

Dengan pemikiran ini, pertanyaan desain harus:

Bagaimana kita bisa mendapatkan komite keselamatan untuk menangguhkan sistem dengan dampak minimal kepada pengguna, sementara memungkinkan masyarakat luas untuk berpartisipasi dalam memutuskan bagaimana memperbaiki bug dan mengaktifkan kembali sistem?

Dengan kata lain, kita membutuhkan program yang benar-benar memungkinkan masyarakat untuk masuk dan memulihkan sistem, dan kemudian membatasi kekuatan penangguhan Dewan Keamanan.

Di ruang blockchain Layer 1, komunitas memang dapat dijangkau secara langsung dengan menggunakan fork yang diaktifkan pengguna, tetapi metode ini tidak berfungsi untuk kontrak pintar di kotak ETH (seperti Rollups) karena tidak perlu melakukan fork seluruh ETH. Dalam beberapa kasus, komunitas ETH dapat secara kolektif memutuskan untuk menyimpan Rollup, seperti TheDAO pada tahun 2016, tetapi Rollup tidak boleh bergantung atau mengharapkan hasil seperti itu.

Ide menarik lainnya di sepanjang garis ini adalah menerapkan ETH bagi Mahkamah Agung untuk memutuskan peningkatan kontrak pintar dan mengaktifkan garpu yang mirip dengan aktivasi pengguna.

Seperti disebutkan sebelumnya, jika Rollup mendelegasikan keamanannya ke DAO, maka harus ada implementasi yang memungkinkan DAO untuk memilih langsung di ETH. Ini sangat rumit, terutama jika protokol pemungutan suara ada di Rollup.

Akhirnya, saya pikir ada kebutuhan untuk tinjauan komprehensif tentang jenis situasi yang mungkin memerlukan tanggapan dari Dewan untuk memfasilitasi diskusi seputar kebutuhannya.

Mengapa khawatir tentang rollup jika Anda memiliki multisig?

Kami telah menghabiskan cukup banyak waktu untuk memahami tanggung jawab, desain, dan kebutuhan komite keselamatan, tetapi penting untuk kembali ke pertanyaan awal dalam artikel ini:

Apakah Rollup hanya multisig?

Jawabannya adalah tidak.

Untuk membantu memahami mengapa, yang terbaik adalah mengambil langkah mundur dan memahami apa yang sebenarnya ingin dilakukan oleh sistem blockchain.

Protokol blockchain adalah alat yang memungkinkan pengguna untuk menghitung salinan database dan yakin bahwa mereka memiliki database yang sama seperti orang lain.

Dengan pemikiran ini, ada dua komponen untuk setiap sistem blockchain:

• Protokol Blockchain. Kombinasi perangkat lunak, kriptografi, dan sistem terdistribusi memberi siapa pun kepercayaan pada integritas database.
• Sistem pemerintahan. Mekanisme koordinasi yang memungkinkan semua pemangku kepentingan untuk bekerja sama dan menyetujui perubahan pada protokol blockchain.

Tujuan dari setiap sistem blockchain, termasuk Rollup, adalah untuk memastikan bahwa protokol blockchain selalu berjalan dengan uptime yang sangat andal sebesar 99,9999%. Operator sistem tepercaya harus memiliki sedikit atau tidak ada gangguan dengan operasi sistem sehari-hari. Pada akhirnya, itu adalah perangkat lunak, kriptografi, dan sistem terdistribusi yang pada akhirnya bertanggung jawab untuk melindungi saldo pengguna, kode kontrak pintar, dan negara.

Terkadang perlu untuk mengubah protokol blockchain untuk meningkatkan minat pengguna. Komunitas mungkin ingin memperbaiki masalah konfigurasi, menambahkan fitur baru, atau bereaksi terhadap kerentanan kritis yang mengancam integritas sistem. Ini membutuhkan intervensi manusia dan hanya bisa disebut 0,0001% dari waktu.

Sistem tata kelola bertanggung jawab untuk menerapkan intervensi manusia, dan beberapa pendekatan telah muncul selama bertahun-tahun:

Partai politik totaliter: Partai unilateral dapat memutuskan secara individual bagaimana meningkatkan sistem (banyak proyek, termasuk BTC, dimulai dengan cara ini).

• Konsensus kasar: Mayoritas peserta mengatakan mereka siap untuk menerapkan peningkatan, menentukan hari penandaan, dan kemudian melakukan peningkatan pada hari tanda (BTC/ETH).
• Perjanjian pemungutan suara: Semua pihak berpartisipasi dalam pemilihan dan secara eksplisit memberikan suara apakah akan menyetujui eskalasi.
• Tidak ada gangguan: Kontrak pintar tidak dapat diubah, dan sistem tidak akan pernah dapat diubah.

Selain hal di atas, masyarakat juga dapat memutuskan untuk menunjuk komite keselamatan sebagai opsi pelengkap tata kelola untuk bertindak cepat dalam keadaan darurat.

Dewan Keamanan tidak menghentikan serangan itu. Ini adalah mekanisme pasif yang bekerja bersama tata kelola ketika dana pengguna protokol blockchain atau keandalan / kinerja sistem diserang.

Akhirnya

Semua diskusi seputar protokol blockchain, tata kelola, dan komite keamanan sangat penting. Adanya diskusi inilah yang membuat cryptocurrency begitu istimewa.

Ini adalah contoh yang baik dari rekayasa kepercayaan: disiplin teknik yang berfokus pada mengidentifikasi, mengukur, dan mengurangi / menghilangkan elemen kepercayaan dalam suatu sistem.

Dalam cryptocurrency, kami fokus pada membangun sistem yang tidak hanya melindungi pengguna dari operator sistem yang kuat, tetapi juga memungkinkan mereka untuk beroperasi dengan andal (aman) dalam kondisi yang paling buruk.

Itulah mengapa sehat bagi anggota masyarakat untuk skeptis tentang peran komite keselamatan, tetapi mereka memiliki tanggung jawab untuk menghasilkan solusi yang lebih baik selama keadaan darurat untuk melindungi dana pengguna dengan cara yang reaktif.

Saya harap artikel ini akan memperjelas mengapa komite keamanan berguna, mereka diperlukan hari ini, tetapi mereka hanya sebagian kecil dari arsitektur sistem kontrak pintar yang lebih luas.