В ночь хакер вторгся в один из Адресов мультиподписей Машины Oracle Lido, после кражи 1.4 ETH он раскрыл свои следы. Есть ли у этого инцидента существенное влияние на Lido?
10 мая в полночь сервисный провайдер Машина Oracle Chorus One сообщил, что горячий кошелек Lido Машина Oracle был взломан, в результате чего было украдено 1.46 ETH. Однако согласно аудиту безопасности, этот изолированный инцидент имеет ограниченное влияние, так как кошелек был изначально спроектирован только для легковесного операционного использования.
Атака на Машину Oracle звучит действительно ужасно. Однако архитектурный дизайн Lido, ценностные идеи заинтересованных сторон и культура участников, ориентированная на безопасность, означают, что влияние таких событий крайне ограничено — даже если Машина Oracle будет полностью взломана, это не приведет к катастрофическим последствиям.
Итак, чем же уникален Lido?
Продуманный дизайн и многоуровневая система защиты
Оракулы Lido отвечают за передачу информации с уровня консенсуса на уровень исполнения и сообщают о динамике протокола. Они не контролируют средства пользователей. Одиночный сбой оракула приведет лишь к небольшим проблемам, даже если процесс арбитража (кворум) будет нарушен, это не приведет к катастрофическим последствиям.
Один взломанный Машина Oracle может попытаться совершить какие-либо злонамеренные действия?
A) Подать ложный отчет (но будет проигнорирован честной Машиной Oracle);
B) исчерпал баланс ETH по данному конкретному адресу Машины Oracle (адрес используется только для операционных транзакций и не хранит средства ставщика).
Что на самом деле делает Машина Oracle?
Оракул Lido по сути представляет собой распределённый механизм, состоящий из 9 независимых участников (нужен консенсус 5/9), который в основном отвечает за отчёты о состоянии протокола. Текущие ключевые функции включают:
• Выплата токенов за инфляционные вознаграждения (rebase)
• Обработка процесса вывода средств
• Выход узлов верификации и мониторинг производительности для справки CSM (Community Security Module)
Эти машины Oracle будут представлять «отчеты» о наблюдаемых состояниях протоколу. Эти отчеты используются для расчета ежедневных накопленных вознаграждений или наказаний, обновления баланса stETH, обработки и окончательного подтверждения запросов на вывод средств, расчета заявок на выход валидаторов и оценки их производительности.
По сути, машина Oracle Lido отличается от того, что люди обычно понимают под «мультиподписью». Машина Oracle не может получить доступ к средствам ставящих и протокола, не может контролировать обновления любых контрактов протокола и не может обновлять себя или управлять членством. Напротив, Lido DAO поддерживает список машин Oracle через голосование.
Функции Машины Oracle крайне ограничены — она может выполнять только следующие действия: подавать отчеты, которые строго соответствуют детерминированным, проверенным и открытым алгоритмам, разработанным для различных целевых протоколов; в определенных случаях выполнять транзакции для реализации результатов отчетов (например, ежедневные операции rebase протокола).
Если 5 из 9 Машин Oracle будут взломаны, каков будет самый худший сценарий? В этом случае взломанные Машины Oracle могут сговориться и представить злонамеренные отчеты, но любой отчет должен пройти проверку разумности, обеспечиваемую протоколом, исполняемым в цепочке.
Если отчет нарушает эти проверки на разумность, время его обработки будет увеличено (даже может никогда не быть) «расчета», потому что значения в отчете должны соответствовать допустимому диапазону изменений значений за определенный период времени (несколько дней или недель).
В худшем случае это может означать, что ребейз, подобный stETH (независимо от того, положительный он или отрицательный), потребуется больше времени для вступления в силу, что повлияет на держателей stETH, но влияние на большинство держателей будет незначительным, если только кто-то не использует stETH с плечом в DeFi.
Существуют и другие возможности: если злонамеренная машина Oracle и её сообщники обладают определённой информацией или имеют возможность применять крупные штрафы на уровне консенсуса (например, массовая конфискация), то они могут использовать задержку обновления stETH на уровне исполнения для получения экономической выгоды.
Например, если произойдет широкомасштабная конфискация, некоторые люди могут продать часть stETH через децентрализованную биржу (DEX) до того, как вступит в силу отрицательный ребейс. Однако это не повлияет на выводы, инициируемые пользователями напрямую через Lido, поскольку режим «чрезвычайной ситуации» (bunker mode) будет активирован, что обеспечит справедливое выполнение процесса вывода.
Мгновенная и полная прозрачность
На протяжении всего времени все участники экосистемы Lido — будь то вкладчики, операторы узлов или операторы Машины Oracle и т.д. — всегда ставили на первое место прозрачность и добрые намерения, придавая приоритет правам ставящих и здоровому развитию всей экосистемы.
Независимо от того, публикуют ли они детальные постфактумные аналитические отчеты, компенсируют ли убытки от стейкинга, вызванные остановкой инфраструктуры, выходят ли из валидаторских узлов по профилактическим соображениям или быстро публикуют всеобъемлющие отчеты о происшествиях, эти участники всегда рассматривают прозрачность как первоочередную задачу.
Непрерывное итеративное обновление
Lido всегда стоит на переднем крае технологических разработок и стремится использовать технологию нулевых знаний (ZK) для повышения безопасности и уровня децентрализации механизма Машина Oracle. Еще на ранних этапах команда вложила более 200 тысяч долларов в специальные фонды, чтобы поддержать реализацию проверки данных уровня консенсуса без доверия с помощью технологии нулевых знаний.
Эти исследования в области технологий в конечном итоге привели к разработке командой SuccinctLabs механизма "Двойная проверка" SP1 Машины Oracle с нулевыми знаниями, который будет официально запущен в этом году. Этот механизм предоставляет дополнительный уровень безопасности для потенциальных отрицательных операций rebase с помощью данных слоя согласия, которые можно проверить.
В настоящее время такие технологии нулевого знания все еще находятся на стадии разработки, и связанные с ними виртуальные машины нулевого знания (zkVM) должны пройти испытания в реальных условиях, при этом они также имеют ограничения, такие как медленная скорость вычислений и высокая стоимость расчетов, что не позволяет им полностью заменить доверенные машины Oracle. Однако в долгосрочной перспективе такие решения могут стать минимизированными альтернативами для существующих машин Oracle.
Технология Машина Oracle весьма сложна и имеет различные сценарии применения в области DeFi. В протоколе Lido Машина Oracle была тщательно разработана как ключевой компонент, благодаря эффективной децентрализованной архитектуре, механизму разделения обязанностей и многослойной системе проверки, что значительно снижает влияние потенциальных рисков.
Содержание носит исключительно справочный характер и не является предложением или офертой. Консультации по инвестициям, налогообложению или юридическим вопросам не предоставляются. Более подробную информацию о рисках см. в разделе «Дисклеймер».
1.4 ETH кража: механизм безопасности Lido дал урок всей отрасли
Автор: @IsdrsP (Руководитель узлов верификации Lido)
Составитель: Ники, Foresight News
10 мая в полночь сервисный провайдер Машина Oracle Chorus One сообщил, что горячий кошелек Lido Машина Oracle был взломан, в результате чего было украдено 1.46 ETH. Однако согласно аудиту безопасности, этот изолированный инцидент имеет ограниченное влияние, так как кошелек был изначально спроектирован только для легковесного операционного использования.
Атака на Машину Oracle звучит действительно ужасно. Однако архитектурный дизайн Lido, ценностные идеи заинтересованных сторон и культура участников, ориентированная на безопасность, означают, что влияние таких событий крайне ограничено — даже если Машина Oracle будет полностью взломана, это не приведет к катастрофическим последствиям.
Итак, чем же уникален Lido?
Продуманный дизайн и многоуровневая система защиты
Оракулы Lido отвечают за передачу информации с уровня консенсуса на уровень исполнения и сообщают о динамике протокола. Они не контролируют средства пользователей. Одиночный сбой оракула приведет лишь к небольшим проблемам, даже если процесс арбитража (кворум) будет нарушен, это не приведет к катастрофическим последствиям.
Один взломанный Машина Oracle может попытаться совершить какие-либо злонамеренные действия?
A) Подать ложный отчет (но будет проигнорирован честной Машиной Oracle);
B) исчерпал баланс ETH по данному конкретному адресу Машины Oracle (адрес используется только для операционных транзакций и не хранит средства ставщика).
Что на самом деле делает Машина Oracle?
Оракул Lido по сути представляет собой распределённый механизм, состоящий из 9 независимых участников (нужен консенсус 5/9), который в основном отвечает за отчёты о состоянии протокола. Текущие ключевые функции включают:
• Выплата токенов за инфляционные вознаграждения (rebase)
• Обработка процесса вывода средств
• Выход узлов верификации и мониторинг производительности для справки CSM (Community Security Module)
Эти машины Oracle будут представлять «отчеты» о наблюдаемых состояниях протоколу. Эти отчеты используются для расчета ежедневных накопленных вознаграждений или наказаний, обновления баланса stETH, обработки и окончательного подтверждения запросов на вывод средств, расчета заявок на выход валидаторов и оценки их производительности.
По сути, машина Oracle Lido отличается от того, что люди обычно понимают под «мультиподписью». Машина Oracle не может получить доступ к средствам ставящих и протокола, не может контролировать обновления любых контрактов протокола и не может обновлять себя или управлять членством. Напротив, Lido DAO поддерживает список машин Oracle через голосование.
Функции Машины Oracle крайне ограничены — она может выполнять только следующие действия: подавать отчеты, которые строго соответствуют детерминированным, проверенным и открытым алгоритмам, разработанным для различных целевых протоколов; в определенных случаях выполнять транзакции для реализации результатов отчетов (например, ежедневные операции rebase протокола).
Если 5 из 9 Машин Oracle будут взломаны, каков будет самый худший сценарий? В этом случае взломанные Машины Oracle могут сговориться и представить злонамеренные отчеты, но любой отчет должен пройти проверку разумности, обеспечиваемую протоколом, исполняемым в цепочке.
Если отчет нарушает эти проверки на разумность, время его обработки будет увеличено (даже может никогда не быть) «расчета», потому что значения в отчете должны соответствовать допустимому диапазону изменений значений за определенный период времени (несколько дней или недель).
В худшем случае это может означать, что ребейз, подобный stETH (независимо от того, положительный он или отрицательный), потребуется больше времени для вступления в силу, что повлияет на держателей stETH, но влияние на большинство держателей будет незначительным, если только кто-то не использует stETH с плечом в DeFi.
Существуют и другие возможности: если злонамеренная машина Oracle и её сообщники обладают определённой информацией или имеют возможность применять крупные штрафы на уровне консенсуса (например, массовая конфискация), то они могут использовать задержку обновления stETH на уровне исполнения для получения экономической выгоды.
Например, если произойдет широкомасштабная конфискация, некоторые люди могут продать часть stETH через децентрализованную биржу (DEX) до того, как вступит в силу отрицательный ребейс. Однако это не повлияет на выводы, инициируемые пользователями напрямую через Lido, поскольку режим «чрезвычайной ситуации» (bunker mode) будет активирован, что обеспечит справедливое выполнение процесса вывода.
Мгновенная и полная прозрачность
На протяжении всего времени все участники экосистемы Lido — будь то вкладчики, операторы узлов или операторы Машины Oracle и т.д. — всегда ставили на первое место прозрачность и добрые намерения, придавая приоритет правам ставящих и здоровому развитию всей экосистемы.
Независимо от того, публикуют ли они детальные постфактумные аналитические отчеты, компенсируют ли убытки от стейкинга, вызванные остановкой инфраструктуры, выходят ли из валидаторских узлов по профилактическим соображениям или быстро публикуют всеобъемлющие отчеты о происшествиях, эти участники всегда рассматривают прозрачность как первоочередную задачу.
Непрерывное итеративное обновление
Lido всегда стоит на переднем крае технологических разработок и стремится использовать технологию нулевых знаний (ZK) для повышения безопасности и уровня децентрализации механизма Машина Oracle. Еще на ранних этапах команда вложила более 200 тысяч долларов в специальные фонды, чтобы поддержать реализацию проверки данных уровня консенсуса без доверия с помощью технологии нулевых знаний.
Эти исследования в области технологий в конечном итоге привели к разработке командой SuccinctLabs механизма "Двойная проверка" SP1 Машины Oracle с нулевыми знаниями, который будет официально запущен в этом году. Этот механизм предоставляет дополнительный уровень безопасности для потенциальных отрицательных операций rebase с помощью данных слоя согласия, которые можно проверить.
В настоящее время такие технологии нулевого знания все еще находятся на стадии разработки, и связанные с ними виртуальные машины нулевого знания (zkVM) должны пройти испытания в реальных условиях, при этом они также имеют ограничения, такие как медленная скорость вычислений и высокая стоимость расчетов, что не позволяет им полностью заменить доверенные машины Oracle. Однако в долгосрочной перспективе такие решения могут стать минимизированными альтернативами для существующих машин Oracle.
Технология Машина Oracle весьма сложна и имеет различные сценарии применения в области DeFi. В протоколе Lido Машина Oracle была тщательно разработана как ключевой компонент, благодаря эффективной децентрализованной архитектуре, механизму разделения обязанностей и многослойной системе проверки, что значительно снижает влияние потенциальных рисков.
Источник содержания: