Původní text: "L2Bridge Risk Framework"
Autor: bartek.eth
Vaibhav Chellani a já jsme chtěli navrhnout rizikovou architekturu pro hodnocení bezpečnostních profilů různých architektur mostů.
Stejně jako u různých L2 risk frameworků je naším celkovým cílem umět rychle „zaškatulkovat“ řešení do konkrétní kategorie řešení s podobnými vlastnostmi a zároveň umět uživatelům dostatečně podrobně představit, jak budou tyto mosty využívat. Jaké jsou bezpečnostní předpoklady, které je třeba přijmout.
Zaměřujeme se hlavně na mosty mezi Ethereem a jinými řetězci, protože se jim brzy budeme věnovat na l2beat.com (Poznámka překladatele: Sloupec mostu je nyní online), ale základní úvahy o bezpečnosti těchto řešení platí také pro přemostění jakéhokoli řetězce do jiného řetězce. V tuto chvíli hledáme zpětnou vazbu od širší komunity k tomuto navrhovanému rámci.
Typ mostu
Pro koncové uživatele znamená přemostění aktiv přijetí vkladu určitého aktiva ze zdrojového řetězce a odeslání tohoto aktiva uživateli v cílovém řetězci.
Například typický překlenovací proces spočívá v tom, že Alice převede finanční prostředky do překlenovací smlouvy řetězce A a poté Alice obdrží finanční prostředky z přemostění řetězce B.
Obecně řečeno, tento proces probíhá dvěma způsoby:
Tokenové mosty založené na zasílání zpráv – Tyto mosty umožňují tok likvidity napříč řetězci ve formě zasílání zpráv. Obecně umožňují razit aktivum na cílovém řetězci poté, co je uzamčeno nebo zničeno na zdrojovém řetězci. Příklady: Rollup bridge, Polygon nativní most, Anyswap (anyCall) a Axelar network. Síť likvidity – Existují také mosty, které umoří některá vyražená aktiva. Umožňují uživatelům převádět aktiva do jiných řetězců za předpokladu, že tato aktiva byla předem převedena prostřednictvím „mostu zpráv“. Příklady: Connecxt založený na Nomad Bridge, Hop založený na Hop Optimistic Bridge, některé další HTLC (Hash Time-Lock Contract, hash time lock contract) a podmíněné převody (jako nova atd.).
Zabezpečení mostů pro předávání zpráv
V této části se pokusíme vysvětlit tyto různé způsoby ověřování cross-chain zpráv, které jsou používány více přemosťovacími protokoly. Jak je znázorněno na obrázku výše, přemostění tokenů využívá zabezpečení přemostění předávání zpráv.
Light klient ověřuje platnost stavu
Popis: Most, který ověřuje platnost přechodu stavu zdrojového řetězce na cílovém řetězci. Tento ověřovací proces je implementován prostřednictvím důkazu s nulovými znalostmi (proces přechodu stavu je doprovázen generováním důkazu zk) nebo systému zabezpečení proti podvodům (umožňujícím nezávislým ověřovatelům zpochybnit platnost nového kořene stavu).
Příklad: Všechny souhrny jsou zde příklady, L1 ověří přechod stavu L2 přes FraudProof (podvodný důkaz) nebo ValidityProof (prokázání platnosti).
Lehký konsenzus ověření klienta
Popis: Most, který ověřuje shodu zdrojového řetězce na cílovém řetězci. Závisí to na mechanismu konsensu používaného zdrojovým řetězcem a obvykle zahrnuje kontrolu podpisu kvora aktuálního výboru validátorů, pokud zdrojový řetězec používá protokol konsensu pro návrh a hlasování ve stylu PBFT (jako Tendermint, HotStuff, protokol Casper FFG). Alternativně, pokud zdrojový řetězec používá protokol PoW nebo protokol PoS ve stylu „nejdelšího řetězce“ (jako je Ouroboros, ETH 2.0 LMD Ghost atd.), pak použijte příslušná pravidla rozvětvení pro kontrolu nejdelšího řetězce.
Příklady: přemostění NEAR Rainbow (ignorování komponenty Optimistic související se složitostí procesu ověřování podpisového mechanismu NEAR), přemostění PoS společnosti Polygon (kontrola konsensu řetězce Heimdall) a IBC Cosmos (ověření podpisu jiného řetězce Cosmos).
sada externích validátorů
Popis: Použijte externí validátory jako most ke zdroji pravdy, tedy validátory, které tvoří nezávislý výbor, spíše než validátory na zdrojovém a cílovém řetězci. V závislosti na implementaci používané těmito validátory mohou používat MultiSig (multi-podpis), spouštět konsenzuální algoritmus (obvykle jeden z třídy návrhu a hlasování), používat mechanismus Threshold Signature (TSS, mechanismus prahového podpisu) nebo SGX atd. ... bez ohledu na to, jakou technologii používají, spadají pod tuto metodu ověřování.
Například: Wormmhole, Multichain, Axelar, DeBridge, Synapse, Stargate.
optimistické ověření
Popis: Most s obdobím výzvy (období výzvy, poznámka překladatele: označuje časové období, během kterého mohou ostatní validátoři zpochybnit platnost přemosťovací zprávy, když ji shledají neplatnou).
Čestná strana se při tomto typu ověřování vyhýbá zahrnutí podvodných informací během tohoto období. Je však třeba zvážit několik klíčových parametrů:
Trvání období výzvy: Čím delší, tím lepší velikost sady Watcher: Není vyžadováno žádné povolení > Povolení je vyžadováno
Příklady: Hop Protocol, Connext Amarok, Across, Nomad Token Bridge.
Hybridní metoda ověřování
Popis: Existuje struktura, která kombinuje výše uvedené metody ověřování.
Zabezpečení likvidní sítě
Kromě skutečného zasílání aktiv napříč řetězci existuje ještě jedna metoda: cross-chain exchange (swap) Cross-chain exchange lze provést pouze změnou majitele bez přesunu aktiv napříč řetězci. (Poznámka překladatele: Když aktiva jedné strany změní majitele, stanou se vlastnictvím druhé strany, to znamená, že se změní vlastník aktiv.)
Vezměte si jednoduchý příklad: Alice v řetězci A chce převést majetek do řetězce B. Bob (poskytovatel likvidity, LP) již má aktiva stejné hodnoty v řetězci B. Svá aktiva v řetězci B využívá k poskytování směnárenských služeb pro Alicinu bilanci v řetězci A a vybírá poplatky za služby. Nakonec Alice získá aktivum v řetězci B a Bob získá aktivum + poplatek za služby v řetězci A.
Tato část pouze popisuje zabezpečení „výměnného“ protokolu, tedy jaká je pravděpodobnost, že LP uteče s penězi po přijetí vašeho vkladu na zdrojovém řetězci. Tato aktiva výměny mají zabezpečení mostu pro předávání zpráv, který je padělá.
Existuje také několik dalších způsobů výměny aktiv:
HTLC: Také známý jako smlouva hash time lock, může být použit pro atomovou výměnu aktiv mezi dvěma stranami v řetězci. Obvykle jsou od uživatele vyžadovány pouze dva kroky, jedním je zamknutí a druhým odemknutí. Možným scénářem selhání je, že vaše prostředky jsou uzamčeny na pevnou dobu „spánku“. Příklady: Connext NXTP, Liqualit. Podmíněný převod: Umožňuje LP používat zkratkové můstky pro zasílání zpráv, což umožňuje LP okamžitě poskytovat finanční prostředky koncovým uživatelům a přijímat finanční prostředky z můstku zpráv, kdykoli dojde k přemostění prostředků. V případě selhání, pokud neexistují žádné LP k zajištění likvidity, bude aktivována pomalá cesta. Příklady: Hop, Connext Amarok, MakerDAO Teleport. Externí validátor: Umožňuje uživatelům převádět prostředky důvěryhodnému poskytovateli mostu, který slíbí uvolnění prostředků do jiného řetězce. Možným scénářem selhání je zde ztráta finančních prostředků. Příklad: Binance
odpor proti cenzuře
Podíváme se na bezpečnostní předpoklady týkající se pravděpodobnosti, že jediná zpráva odeslaná mostem bude cenzurována. Praktičtěji také prozkoumáme, zda bude jediná zpráva (přenos tokenu) mostem cenzurována nebo ignorována, a pokud ano, jaké to bude mít důsledky pro prostředky uživatele (budou prostředky vráceny uživateli, popř. být "zaseknutý" stav "Probíhá přenos").
Typické řešení:
Využijte odolnosti základního řetězce vůči cenzuře (např. nějaký rollup) Spolehněte se na poctivost sady validátorů
Celkově aktivní chyba
Z hlediska celkových poruch živosti se podíváme na důsledky „vypnutí“ mostu. Například u mostu využívajícího externí sadu validátorů bychom se mohli podívat na zabezpečení uživatelských prostředků pro případ, že by tyto validátory byly offline po delší dobu, možná neomezeně dlouho. Mezi běžné situace, které mohou nastat, patří:
Aktivujte pomalou cestu: výchozí režim je pomalá cesta a neztratíte prostředky sami: uživatelé mohou sázet, aby se zapojili do sítě, stali se validátorem a sami zpracovávali zaseknuté převody: pozastavte systém a nelze spustit operátor mostu je online.
tekutost
V této části se pokusíme analyzovat dostupnou likviditu na překlenovacím aktivu. Může most razit aktiva, vyžaduje LP, mohou uživatelé vždy vybrat nebo převést jakékoli množství tokenů, které si vyberou, nebo jsou závislí na externích LP a mostu mohou „docházet prostředky“.
Bez omezení (most může razit nativní/autoritativní tokeny) Povoleno (likviditu zajišťuje operátor mostu) Bez povolení (likviditu může poskytnout jakýkoli LP)
Další myšlenky a metriky Možnost upgradu Oprávnění aktéři Objem převodů za posledních 24 hodin Jedinečné převody za posledních 24 hodin Dostupná likvidita Podporované tokeny/blockchainy