Автор: MegaETH Источник: @megaeth_labs Перевод: Шань Оба, Золотая экономика
В основе всех Optimistic Rollup лежит ключевое предположение: предложенное состояние считается действительным по умолчанию, пока не будет доказано обратное. Однако это предположение справедливо только в том случае, если Rollup обладает мощным механизмом доказательства мошенничества. В цепочках, лишенных этого механизма, как только недействительное состояние не ставится под сомнение или из-за злонамеренного оспаривания процесс расчетов блокируется, они немедленно становятся небезопасными.
Бремя доказательства мошенничества
Чтобы поддержать предположение выше, L2 Optimistic должен поддерживать механизм доказательства мошенничества (также называемый протокол разрешения споров), который позволяет валидаторам (оспаривателям) бросать вызов возможно неверным предложениям состояния, представленным сортировщиком (предлагающим). Этот механизм должен гарантировать две ключевые особенности:
Все ошибки состояния предложений могут быть распознаны,
Ошибочные вызовы никогда не будут успешными.
С технической точки зрения этот механизм включает в себя две основные составные части:
Проблема с дочерним соглашением: обработка споров по отдельным предложениям состояния.
Механизм турнира: когда в одном и том же блоке появляется несколько конкурентных предложений состояния, используется для отбора единственно правильного предложения.
Каждое предложение о состоянии является заявлением о результатах выполнения группы транзакций и обычно состоит из трех частей:
Начальное состояние: Последнее окончательно подтвержденное состояние L2 на Ethereum;
Торговая нагрузка: ряд L2 сделок, произошедших с этого состояния;
Конечное состояние: Предложитель утверждает, что результат, полученный после выполнения этих транзакций.
Таким образом, полное предложение по сути говорит о том:
"Предположим, что текущее начальное состояние A, выполняем следующий список транзакций (payload), я думаю, что конечное состояние должно быть X."
Мы можем визуализировать эту структуру в виде, показанном на рисунке ниже:
В этот момент роль протокола оспаривания заключается в том, чтобы проверить, является ли это утверждение правильным. Если оно неверно, оспаривание должно быть успешным, и это предложение должно быть отклонено.
Интерактивное доказательство сбоя (игра с двоичным вызовом)
В большинстве современных основных систем Optimistic Rollup используется интерактивный протокол: между вызывающим и предлагающим происходит обмен ударами.
Как только возникнет спор, обе стороны будут разделять пополам промежуточные результаты вычислений (каждый шаг выполнения, заявленный предложителем), постепенно сужая область возможных ошибок. Этот процесс будет постоянно рекурсивным, пока обе стороны не определят единственный ошибочный шаг вычисления (например, если какая-то транзакция была выполнена неверно).
После определения конкретной ошибки этот шаг будет повторно выполнен в основной сети Ethereum, чтобы выяснить, действительно ли существует мошенничество.
Высокая задержка: каждое взаимодействие требует инициирования транзакции в сети Ethereum. Полный процесс разрешения споров может занять несколько часов или даже дней, особенно в условиях перегруженной сети или при наличии цензуры;
Высокие требования к предложителям: даже если предложитель честен, а вызов совершенно беспочвенен, ему все равно придется участвовать в процессе спора, понесет значительные вычислительные и затраты на взаимодействие с цепочкой;
Легко подвергается злонамеренному использованию: Злонамеренные претенденты могут постоянно выдвигать необоснованные вызовы, заставляя честных предложителей снова и снова тратить время и газ на защиту правильного состояния.
В реальности интерактивные доказательства мошенничества дорогостоящие, уязвимы при высокой нагрузке и легко поддаются злоупотреблению.
MegaETH использует совершенно другой подход: он требует от претендентов просто сгенерировать компактное нулевое доказательство (ZKP), чтобы доказать, что окончательное состояние, заявленное предложителем, является недействительным.
В частности, это ZK-доказательство показывает, что выполнение последовательности транзакций из начального состояния не приведет к конечному состоянию, заявленному предложителем. Механизм будет построен на основе zkVM от RISC Zero и заимствует архитектуру смешанных неинтерактивных доказательств мошенничества OP Kailua для реализации.
Доказательство提交至 Ethereum в виде одной транзакции, и контракт валидатора на блокчейне подтвердит его действительность. Предоставитель доказательства не должен участвовать в какой-либо работе, не может вмешиваться в процесс и не участвует в спорах.
Конечно, создание такого ZK-доказательства непростая задача — оно требует полного выполнения спорного вычислительного процесса в zk виртуальной машине, что, по оценкам, будет стоить около 100 миллиардов вычислительных циклов, а в худшем случае стоимость составит примерно 100 долларов. Однако эта стоимость возникает только в случае доказательства мошенничества и, согласно дизайну, должна несет недобросовестная сторона. Эта модель значительно снижает капиталистическое давление на честных оспаривающих и в корне устраняет риск злонамеренного разрушения на основе двоичной системы.
ZK используется для доказательства мошенничества, а не для проверки состояния
В криптосфере «ноль знаний (ZK)» часто упрощенно понимается как синоним ZK Rollup — то есть система, использующая ZK-доказательства для проверки состояния вне цепи, а затем публикующая его в цепи. Однако такое понимание охватывает лишь половину потенциала ZK.
MegaETH использует доказательства с нулевым разглашением не для проверки правильности состояния, а для доказательства мошенничества. Это позволяет нам добавить безопасный, неинтерактивный механизм для обнаружения и оспаривания недействительных переходов состояния, сохраняя при этом эффективность и масштабируемость Optimistic Rollup.
Мы называем этот смешанный метод ZK мошенническим доказательством, который приносит по сути другую модель доверия.
Окно проверки остается неизменным, время до завершения значительно сокращено
В целях обеспечения безопасности MegaETH все еще будет сохранять 7-дневное окно для оспаривания, характерное для типичных Optimistic цепей, что означает, что любой участник имеет целую неделю, чтобы оспорить определенный корень состояния. Однако действительная разница возникает после того, как оспаривание было подано. В интерактивной модели, если оспаривание подается на 7-й день, может потребоваться несколько дополнительных дней для завершения разрешения спора. В этот период финальность цепи в основной сети Ethereum будет заморожена, прогресс протокола будет прерван, и активность цепи также будет затронута.
При использовании ZK доказательства мошенничества, весь процесс разрешения споров будет завершен примерно за 1 час. Вызовщик генерирует ZK доказательство, отправляет его в основную сеть Ethereum, и после проверки оно немедленно вступает в силу, состояние цепи быстро получает окончательность. Это эффективно защищает от одного ключевого вектора атаки: злонамеренные вызовщики многократно инициируют ложные споры, чтобы задержать окончательность цепи.
Обеспечение доступности данных от EigenDA
Чтобы обеспечить целостность процесса доказательства мошенничества, вызывающая сторона должна иметь возможность легко и надежно получить доступ к исходным данным блока для воспроизведения оспариваемого вычислительного процесса.
Это именно причина, по которой мы используем модель ZK мошенничества в паре с EigenDA (децентрализованный, высокопроизводительный уровень доступности данных).
С помощью этой структуры весь процесс был упрощен до самой безопасной и эффективной формы:
Сортировщик публикует данные блоков в EigenDA, одновременно отправляя лишь небольшой фрагмент сводки данных в Ethereum. Шифровальные гарантии, предоставляемые EigenDA, обеспечивают возможность генерации доказательства мошенничества в любое время, и сортировщик не может «скрыть» данные, чтобы избежать проверки;
Любой наблюдатель может извлечь данные блоков из EigenDA, восстановить полный блок и выполнить его в zkVM;
Как только будет обнаружено мошенничество, этот наблюдатель сможет создать сжатое ZK доказательство мошенничества и подать его в контракт проверки на Ethereum; сортировщик будет наказан, а его недействительное предложение будет отклонено.
Модель доверия с криптографической защитой и возможностью масштабирования
MegaETH заменил сложные интерактивные мошеннические игры на простой неинтерактивный ZK-мошеннический доказательство. Этот подход устраняет риск атак помех, значительно сокращает время окончательного подтверждения и гарантирует, что споры могут быть разрешены эффективным и масштабируемым образом.
С поддержкой проверяемых вычислительных возможностей, предоставляемых RiscZero, и обеспечения доступа к исходным данным от @eigen_da, каждое предложение состояния обладает:
Восстановимость, проверяемость и возможность оспорить кем угодно — независимо от масштаба.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Конечная битва: как мы используем технологию ZK для защиты безопасности MegaETH
Автор: MegaETH Источник: @megaeth_labs Перевод: Шань Оба, Золотая экономика
В основе всех Optimistic Rollup лежит ключевое предположение: предложенное состояние считается действительным по умолчанию, пока не будет доказано обратное. Однако это предположение справедливо только в том случае, если Rollup обладает мощным механизмом доказательства мошенничества. В цепочках, лишенных этого механизма, как только недействительное состояние не ставится под сомнение или из-за злонамеренного оспаривания процесс расчетов блокируется, они немедленно становятся небезопасными.
Бремя доказательства мошенничества
Чтобы поддержать предположение выше, L2 Optimistic должен поддерживать механизм доказательства мошенничества (также называемый протокол разрешения споров), который позволяет валидаторам (оспаривателям) бросать вызов возможно неверным предложениям состояния, представленным сортировщиком (предлагающим). Этот механизм должен гарантировать две ключевые особенности:
С технической точки зрения этот механизм включает в себя две основные составные части:
Каждое предложение о состоянии является заявлением о результатах выполнения группы транзакций и обычно состоит из трех частей:
Таким образом, полное предложение по сути говорит о том:
"Предположим, что текущее начальное состояние A, выполняем следующий список транзакций (payload), я думаю, что конечное состояние должно быть X."
Мы можем визуализировать эту структуру в виде, показанном на рисунке ниже:
! 8i2x0qwTXcDdLYX1x0fWm3PjE8BoCmLwC2YXpOqK.png
В этот момент роль протокола оспаривания заключается в том, чтобы проверить, является ли это утверждение правильным. Если оно неверно, оспаривание должно быть успешным, и это предложение должно быть отклонено.
Интерактивное доказательство сбоя (игра с двоичным вызовом)
В большинстве современных основных систем Optimistic Rollup используется интерактивный протокол: между вызывающим и предлагающим происходит обмен ударами.
Как только возникнет спор, обе стороны будут разделять пополам промежуточные результаты вычислений (каждый шаг выполнения, заявленный предложителем), постепенно сужая область возможных ошибок. Этот процесс будет постоянно рекурсивным, пока обе стороны не определят единственный ошибочный шаг вычисления (например, если какая-то транзакция была выполнена неверно).
После определения конкретной ошибки этот шаг будет повторно выполнен в основной сети Ethereum, чтобы выяснить, действительно ли существует мошенничество.
! 6WF4yCanaXLDVqAMrwqPHcehkLUpcsFo2PueK0tQ.png
Но у этого механизма есть несколько проблем:
В реальности интерактивные доказательства мошенничества дорогостоящие, уязвимы при высокой нагрузке и легко поддаются злоупотреблению.
Неинтерактивное доказательство мошенничества (Модель ZK-вызова)
MegaETH использует совершенно другой подход: он требует от претендентов просто сгенерировать компактное нулевое доказательство (ZKP), чтобы доказать, что окончательное состояние, заявленное предложителем, является недействительным.
В частности, это ZK-доказательство показывает, что выполнение последовательности транзакций из начального состояния не приведет к конечному состоянию, заявленному предложителем. Механизм будет построен на основе zkVM от RISC Zero и заимствует архитектуру смешанных неинтерактивных доказательств мошенничества OP Kailua для реализации.
Доказательство提交至 Ethereum в виде одной транзакции, и контракт валидатора на блокчейне подтвердит его действительность. Предоставитель доказательства не должен участвовать в какой-либо работе, не может вмешиваться в процесс и не участвует в спорах.
! 8O20iC5M2rQK5t0Psa3Hsqon0YB5G8zXCFG2gNVH.png
Конечно, создание такого ZK-доказательства непростая задача — оно требует полного выполнения спорного вычислительного процесса в zk виртуальной машине, что, по оценкам, будет стоить около 100 миллиардов вычислительных циклов, а в худшем случае стоимость составит примерно 100 долларов. Однако эта стоимость возникает только в случае доказательства мошенничества и, согласно дизайну, должна несет недобросовестная сторона. Эта модель значительно снижает капиталистическое давление на честных оспаривающих и в корне устраняет риск злонамеренного разрушения на основе двоичной системы.
ZK используется для доказательства мошенничества, а не для проверки состояния
В криптосфере «ноль знаний (ZK)» часто упрощенно понимается как синоним ZK Rollup — то есть система, использующая ZK-доказательства для проверки состояния вне цепи, а затем публикующая его в цепи. Однако такое понимание охватывает лишь половину потенциала ZK.
MegaETH использует доказательства с нулевым разглашением не для проверки правильности состояния, а для доказательства мошенничества. Это позволяет нам добавить безопасный, неинтерактивный механизм для обнаружения и оспаривания недействительных переходов состояния, сохраняя при этом эффективность и масштабируемость Optimistic Rollup.
Мы называем этот смешанный метод ZK мошенническим доказательством, который приносит по сути другую модель доверия.
Окно проверки остается неизменным, время до завершения значительно сокращено
В целях обеспечения безопасности MegaETH все еще будет сохранять 7-дневное окно для оспаривания, характерное для типичных Optimistic цепей, что означает, что любой участник имеет целую неделю, чтобы оспорить определенный корень состояния. Однако действительная разница возникает после того, как оспаривание было подано. В интерактивной модели, если оспаривание подается на 7-й день, может потребоваться несколько дополнительных дней для завершения разрешения спора. В этот период финальность цепи в основной сети Ethereum будет заморожена, прогресс протокола будет прерван, и активность цепи также будет затронута.
При использовании ZK доказательства мошенничества, весь процесс разрешения споров будет завершен примерно за 1 час. Вызовщик генерирует ZK доказательство, отправляет его в основную сеть Ethereum, и после проверки оно немедленно вступает в силу, состояние цепи быстро получает окончательность. Это эффективно защищает от одного ключевого вектора атаки: злонамеренные вызовщики многократно инициируют ложные споры, чтобы задержать окончательность цепи.
Обеспечение доступности данных от EigenDA
Чтобы обеспечить целостность процесса доказательства мошенничества, вызывающая сторона должна иметь возможность легко и надежно получить доступ к исходным данным блока для воспроизведения оспариваемого вычислительного процесса.
Это именно причина, по которой мы используем модель ZK мошенничества в паре с EigenDA (децентрализованный, высокопроизводительный уровень доступности данных).
С помощью этой структуры весь процесс был упрощен до самой безопасной и эффективной формы:
Модель доверия с криптографической защитой и возможностью масштабирования
MegaETH заменил сложные интерактивные мошеннические игры на простой неинтерактивный ZK-мошеннический доказательство. Этот подход устраняет риск атак помех, значительно сокращает время окончательного подтверждения и гарантирует, что споры могут быть разрешены эффективным и масштабируемым образом.
С поддержкой проверяемых вычислительных возможностей, предоставляемых RiscZero, и обеспечения доступа к исходным данным от @eigen_da, каждое предложение состояния обладает:
Восстановимость, проверяемость и возможность оспорить кем угодно — независимо от масштаба.