Mức mất mát do rò rỉ khóa riêng của Oracle chỉ là 1,4 ETH. Cơ chế bảo mật của Lido có "ở cấp độ sách giáo khoa" không?

Tác giả gốc: @IsdrsP, Giám đốc nút xác thực Lido

Bản dịch gốc: Nicky, Foresight News

Vào sáng sớm ngày 10 tháng 5, nhà cung cấp dịch vụ oracle Chorus One tiết lộ rằng ví nóng của Lido Oracle đã bị hack, dẫn đến mất cắp 1,46 ETH. Tuy nhiên, theo một cuộc kiểm tra bảo mật, tác động của sự cố riêng lẻ này là hạn chế và ví nói trên chỉ được thiết kế cho mục đích hoạt động nhẹ.

Một cuộc tấn công bằng oracle nghe có vẻ tệ. Tuy nhiên, thiết kế kiến trúc của Lido, các giá trị của bên liên quan và văn hóa cộng tác hướng đến bảo mật có nghĩa là tác động của sự cố như vậy là cực kỳ hạn chế - ngay cả khi hệ thống oracle bị xâm phạm hoàn toàn, nó cũng sẽ không gây ra hậu quả thảm khốc.

Vậy thì Lido có gì đặc biệt?

Thiết kế được cân nhắc kỹ lưỡng và cơ chế bảo vệ theo từng lớp

Oracle của Lido chịu trách nhiệm truyền thông tin từ lớp đồng thuận đến lớp thực thi và báo cáo động lực của giao thức. Họ không kiểm soát tiền của người dùng. Một lời sấm truyền bị lỗi chỉ gây ra những phiền toái nhỏ, và ngay cả khi không đủ số lượng người tham gia thì cũng không gây ra thảm họa.

Một oracle bị xâm phạm có thể thực hiện những hành động độc hại nào?

A) Gửi báo cáo độc hại (sẽ bị các oracle trung thực bỏ qua);

B) Rút hết số dư ETH của địa chỉ oracle cụ thể đó (chỉ được sử dụng cho các giao dịch hoạt động và không giữ tiền của người đặt cược).

Trách nhiệm của nhà tiên tri là gì?

Oracle của Lido về cơ bản là một cơ chế phân tán bao gồm 9 người tham gia độc lập (yêu cầu sự đồng thuận của 5/9 người), chủ yếu chịu trách nhiệm báo cáo trạng thái giao thức. Các chức năng cốt lõi hiện tại bao gồm:

• Phát hành phần thưởng lạm phát mã thông báo (rebase)

• Xử lý quy trình rút tiền

• Xác minh thoát nút và theo dõi hiệu suất để CSM (Mô-đun đặt cược cộng đồng) tham khảo

Các oracle này sẽ gửi "báo cáo" về trạng thái quan sát của chúng tới giao thức. Các báo cáo này được sử dụng để tính toán phần thưởng hoặc hình phạt tích lũy hàng ngày, cập nhật số dư stETH, xử lý và cuối cùng là xác nhận các yêu cầu rút tiền, tính toán các yêu cầu thoát của trình xác thực và đo lường hiệu suất của trình xác thực.

Về bản chất, oracle Lido khác với “chữ ký đa dạng” mà mọi người thường hiểu. Oracle không có quyền truy cập vào tiền của người đặt cược và giao thức, họ cũng không thể kiểm soát việc nâng cấp bất kỳ hợp đồng giao thức nào, họ cũng không thể tự nâng cấp hoặc quản lý thành viên. Thay vào đó, Lido DAO duy trì danh sách các nhà tiên tri thông qua bỏ phiếu.

Oracle có chức năng cực kỳ hạn chế — chúng chỉ có thể gửi các báo cáo tuân thủ nghiêm ngặt các thuật toán xác định, đã được kiểm tra và mã nguồn mở được thiết kế cho các mục tiêu giao thức khác nhau; và thực hiện các giao dịch để triển khai các kết quả được báo cáo trong những trường hợp cụ thể (chẳng hạn như hoạt động rebase hàng ngày của giao thức).

Tình huống tệ nhất xảy ra nếu 5 trong số 9 nhà tiên tri bị xâm phạm là gì? Trong trường hợp này, các oracle bị xâm phạm có thể thông đồng để gửi các báo cáo độc hại, nhưng bất kỳ báo cáo nào cũng phải vượt qua các kiểm tra tính hợp lệ của giao thức được thực thi trên chuỗi.

Nếu một báo cáo vi phạm các kiểm tra tính hợp lý này, báo cáo đó sẽ mất nhiều thời gian hơn để được "xóa" (hoặc có thể không bao giờ được xóa) vì các giá trị trong báo cáo phải tuân theo phạm vi giá trị được phép trong một khoảng thời gian nhất định (ngày hoặc tuần).

Trong trường hợp xấu nhất, điều này có nghĩa là các đợt rebase giống stETH (dù là tích cực hay tiêu cực) sẽ mất nhiều thời gian hơn để có hiệu lực, điều này sẽ tác động đến những người nắm giữ stETH, nhưng sẽ có ít tác động đến hầu hết những người nắm giữ trừ khi có người sử dụng stETH theo cách có đòn bẩy trong DeFi.

Có những khả năng khác: nếu các nhà tiên tri độc hại và đồng phạm của họ có thông tin nhất định hoặc có khả năng áp dụng các hình phạt lớn (như tịch thu trên diện rộng) ở lớp đồng thuận, họ có thể sử dụng sự chậm trễ trong các bản cập nhật stETH ở lớp thực thi để tìm kiếm lợi ích kinh tế. Ví dụ, nếu xảy ra đợt cắt giảm quy mô lớn, một số người có thể bán một số stETH thông qua sàn giao dịch phi tập trung (DEX) trước khi đợt giảm giá tiêu cực có hiệu lực. Tuy nhiên, điều này sẽ không ảnh hưởng đến việc rút tiền do người dùng thực hiện trực tiếp thông qua Lido, vì "chế độ bunker" của giao thức sẽ được kích hoạt để đảm bảo quá trình rút tiền được thực hiện công bằng.

Minh bạch tức thời và toàn diện

Từ đầu đến cuối, tất cả những người tham gia vào hệ sinh thái Lido - dù là người đóng góp, nhà điều hành nút hay nhà điều hành oracle, luôn đặt tính minh bạch và thiện chí lên hàng đầu, đồng thời ưu tiên bảo vệ quyền của người đặt cược và sự phát triển lành mạnh của toàn bộ hệ sinh thái. Cho dù đó là chủ động công bố báo cáo chi tiết sau sự cố, bồi thường cho các khoản lỗ do thời gian ngừng hoạt động của cơ sở hạ tầng, chủ động thoát khỏi các nút xác thực như một biện pháp phòng ngừa hay nhanh chóng công bố các báo cáo sự cố toàn diện, những bên tham gia này luôn coi tính minh bạch là ưu tiên hàng đầu.

Liên tục lặp lại và nâng cấp

Lido luôn đi đầu trong nghiên cứu và phát triển công nghệ và cam kết sử dụng công nghệ bằng chứng không kiến thức (ZK) để cải thiện tính bảo mật và độ tin cậy của cơ chế oracle. Ngay từ những giai đoạn đầu, nhóm đã đầu tư hơn 200.000 đô la Mỹ vào các quỹ đặc biệt để hỗ trợ xác minh dữ liệu lớp đồng thuận mà không cần tin cậy thông qua công nghệ chứng minh không kiến thức.

Những khám phá công nghệ này cuối cùng đã dẫn đến cơ chế "xác minh kép" của SP1 zero-knowledge oracle do nhóm SuccinctLabs phát triển, sẽ chính thức ra mắt trong năm nay. Cơ chế này cung cấp một lớp xác minh bảo mật bổ sung cho các hoạt động rebase tiêu cực tiềm ẩn thông qua dữ liệu lớp đồng thuận có thể xác minh được.

Hiện tại, loại công nghệ không kiến thức này vẫn đang trong giai đoạn phát triển. Máy ảo không kiến thức (zkVM) liên quan không chỉ cần trải qua thử nghiệm chiến đấu thực tế mà còn có những hạn chế về tốc độ tính toán chậm và chi phí tính toán cao, không thể thay thế hoàn toàn các oracle đáng tin cậy. Nhưng về lâu dài, các giải pháp như vậy có khả năng trở thành giải pháp thay thế ít phụ thuộc vào niềm tin cho các hệ thống tiên tri hiện có.

Công nghệ Oracle rất phức tạp và các kịch bản ứng dụng của nó trong lĩnh vực DeFi rất đa dạng. Trong giao thức Lido, oracle được thiết kế cẩn thận như một thành phần cốt lõi, giúp giảm đáng kể tác động của các rủi ro tiềm ẩn thông qua kiến trúc phi tập trung hiệu quả, cơ chế phân tách nhiệm vụ và hệ thống xác minh nhiều lớp.

Liên kết gốc