Выступление: РЕАЛЬНОЕ состояние l2

Выступление Бартека Кепушевски (Bartek Kiepuszewski), основателя L2BEAT, на Devcon SEA, в котором рассматривается текущее состояние решений уровня 2 (l2), разрыв между обещаниями безопасности роллапов и реальностью, новые категории оценки, а также обещание L2BEAT вложить значительные ресурсы в проверку систем доказательств в течение следующего года.

Эта стенограмма является доступной копией оригинальной стенограммы видео (opens in a new tab), опубликованной Фондом Ethereum. Она была слегка отредактирована для удобства чтения.

Введение (0:00)

Будучи основателем L2BEAT, у меня есть уникальная возможность работать практически с каждой командой уровня 2 (l2), и мы работаем с ними с самого зарождения этой сферы — то есть уже около четырех лет. Это невероятно. Время летит очень быстро. Мы работали с первыми пионерами в технологиях с нулевым разглашением (ZK), мы работали с Plasma Group, которая переименовалась в Optimism, мы работали с Arbitrum. И со сцены я хочу выразить признательность всем этим командам, потому что без вашей поддержки нас бы здесь точно не было. Мы в L2BEAT безмерно благодарны за всю поддержку, которую оказывает нам сообщество.

Итак, давайте посмотрим, чего нам удалось достичь. Прежде всего, нам удалось запустить почти 50 роллапов и более 50 других l2. Это невероятное достижение — это множество систем, и почти столько же мы планируем запустить в ближайшие месяцы. Мы также вложили много ценности, большую общую заблокированную стоимость (TVL), в эти системы, и если вы посмотрите на графики, они идут только вверх.

Дело в том, что с таким ростом приходит и большая ответственность. Нам нужно понимать, что конечные пользователи, использующие эти системы, вкладывают деньги в эти роллапы, потому что верят, что роллапы наследуют безопасность Эфириума. С таким пониманием, на мой взгляд, нам нужно начать серьезно относиться к безопасности.

Масштабирование Эфириума (2:10)

Нам также удалось масштабировать Эфириум. Эфириум развивался вполне неплохо, но он начал становиться действительно медленным для текущего спроса, а комиссии становились очень высокими. Так что мы, безусловно, масштабируемся — эти показатели тоже растут. Это невероятно.

Однако есть одно «но». Вы знаете, ребята, всегда есть «но», верно? И я здесь просто для того, чтобы быть честным со всеми вами. Я действительно хочу, чтобы эта сфера стала серьезной, и это моя возможность призвать вас к поддержке, чтобы убедиться, что мы не потерпим неудачу — не обманем ожидания сообщества. Нам нужно начать очень серьезно относиться к безопасности того, что мы создаем.

Потому что, знаете, мы слишком долго использовали страховочные колеса. Если вы взрослый и используете страховочные колеса — а я повторяю, прошло уже четыре года, — то вы действительно незрелы. Использовать страховочные колеса нормально, если вы ребенок. Но это ненормально, если вы взрослый. И я думаю, что нам всем пора перестать стесняться этого. Мы все должны высказаться, и мы не должны страдать от синдрома голого короля.

Большое «но»: отсутствие систем доказательств (4:30)

Так в чем же заключается это большое «но»? Ну, во-первых, большинство l2 сегодня не имеют системы доказательств, что довольно удивительно, потому что ранние пионеры, такие как StarkNet, zkSync, Aztec — четыре года назад, когда они запускали свои первые роллапы для конкретных приложений, у них были системы доказательств. Так что да, сегодня вы можете запустить l2 одним нажатием кнопки. Однако действительно ли это l2? Действительно ли это роллап? То, что вы делаете, — это запуск чего-то, что защищено мультисигом. Я не думаю, что этого достаточно.

Состояние экосистемы сегодня выглядит примерно так, как на этой диаграмме. Слева вы можете видеть текущие l2 с системой доказательств. Справа вы можете видеть текущие l2 без системы доказательств. И я готов поспорить, что подавляющее большинство будущих l2 не будут иметь системы доказательств. Это будет включать практически каждую цепь на базе OP Stack, за исключением OP Mainnet и Base — и, кстати, респект им, они как чемпионы. Однако любая другая цепь на OP Stack просто не имеет системы доказательств.

Этот график справа также будет включать все стеки Orbit, у которых есть система доказательств, однако на самом деле она скрыта за часто очень коротким белым списком с разрешенным доступом. Иногда этот белый список состоит всего из одного участника — это тот же самый предлагающий состояние. По сути, это предлагающий состояние, и только он может оспорить самого себя. Типа, что? Серьезно.

Советы по безопасности (6:00)

Сейчас большинство l2 не используют советы по безопасности. Что мы подразумеваем под советом по безопасности? Совет по безопасности — это, по сути, мультисиг, который состоит как минимум из восьми участников и требует порога консенсуса в 75%. Так что вы можете думать о нем как о большом мультисиге, но дело не только в размере — дело в том, что мы хотим, чтобы участники были географически децентрализованными. Вчера вы, возможно, слышали потрясающую презентацию о необходимости географической диверсификации. Это то, чего мы хотим от этих структур. И, по сути, самое главное, мы хотим, чтобы участники были из разных компаний и разных юрисдикций. Это суперважно, и я покажу вам несколько примеров, почему.

Думайте о советах по безопасности как о таких суперзаряженных мультисигах. За ними стоит очень важный социальный уровень. Итак, таково текущее положение дел, и опять же, оно очень плохое. У нас есть советы по безопасности только в Arbitrum, Optimism, Polygon, zkSync — и я знаю, что StarkNet, Scroll и, что интересно, Fuel запускаются с советом по безопасности. Все остальные — это, по сути, очень маленький, внутренний, часто приватный мультисиг, и, честно говоря, крайне сложно отличить эти мультисиги от простых внешне принадлежащих учетных записей (EOA).

Допущения о доверии к доступности данных (7:25)

Третий важный момент, который мы сделали неправильно, заключается в том, что большинство l2, не являющихся роллапами, настроены с ужасными допущениями о доверии к доступности данных (DA). И я использую слово «ужасными» — во-первых, потому что оно мне нравится, а во-вторых, потому что все действительно очень плохо.

Посмотрите на эти примеры слева — Arbitrum, StarkEx, Immutable X. Однако почти все остальные буквально публикуют данные на свой сервер в подвале или где-то еще. Мы понятия не имеем. Мы буквально понятия не имеем. Суть в том, что они действительно плохи, и, похоже, им все равно. Так что, возможно, пользователям тоже все равно — мы не знаем. Но нам нужно действительно посмотреть на эти данные и сказать всем: эй, это не комитет по доступности данных.

Комитет по доступности данных был изначально создан и продвигался StarkWare для реализаций StarkEx и Arbitrum. Но суть была не в том, чтобы вы могли сказать: «У меня есть один сервер в подвале, я могу назвать его комитетом по доступности данных». Смысл этой затеи был совсем не в этом.

В общем, мне жаль это говорить, но на данный момент в большинстве l2 операторы с разрешенным доступом могут украсть или заморозить ваши средства. Мы здесь, чтобы вы все об этом знали. Жаль это говорить, но нам нужно изменить отношение.

Почему системы доказательств имеют значение (8:40)

Почему нас должны волновать системы доказательств? По нашему мнению, есть как минимум три веские причины, почему у всех нас должна быть работающая система доказательств.

Во-первых, это фактически позволяет осуществить общедоступный выход в случае, если все операторы не работают — а они могут не работать по любой причине. Совсем недавно у нас был случай с отключением dYdX. Они предупредили пользователей, но многие пользователи не вышли. Однако, если у вас есть система доказательств, вы можете сделать систему такой, чтобы кто-то мог взять управление на себя общедоступным способом, или вы можете создать механизм экстренного вывода, чтобы пользователи могли вывести свои средства. Это суперважно. Без системы доказательств вы просто не сможете этого сделать — это невозможно.

Вторая причина заключается в том, что вы можете фактически улучшить допущения о доверии к совету по безопасности — при условии, конечно, что он у вас есть. И причина этого довольно тонкая. Вот что вы можете сделать сейчас: вместо ситуации, когда злонамеренный предлагающий — а это диаграмма, показывающая обычный оптимистичный роллап без системы доказательств, который вы можете видеть во многих OP Stack сегодня, — есть очень сильный мультисиг, который может переопределить корень состояния, и есть предлагающий, который предлагает корни состояния. Если это предложение является злонамеренным, все, что им нужно сделать, это подкупить меньшинство членов совета по безопасности, чтобы они отвернулись — не делали ничего злонамеренного, а просто ничего не делали, и в этом случае злонамеренное предложение фактически пройдет, и они украдут средства.

Как только вы внедряете систему доказательств, ситуация для злонамеренного предлагающего становится намного сложнее, потому что теперь ему нужно подкупить большинство совета по безопасности. Мало того, что им нужно подкупить большинство, им нужно фактически заставить их сделать что-то злонамеренное — не просто отвернуться. Это совершенно другой расклад. Заставить кого-то отвернуться — это сказать: «Эй, если я дам тебе 10 миллионов долларов, ты просто потеряешь свои ключи или отправишься в долгий международный рейс». Если вы хотите заставить кого-то сделать что-то злонамеренное, это совершенно другое дело. Мы считаем, что это фундаментально меняет допущения о доверии, особенно в случае с публичным советом по безопасности.

Наконец, системы доказательств — если вы находитесь на Стадии 2 — позволяют вам вообще избавиться от любых посредников. Вам не нужен совет по безопасности, или, если он у вас есть, то только для экстренных ситуаций. Так что это может иметь серьезные нормативные последствия. Вы можете захотеть запустить свой l2 как систему Стадии 2 с самого начала. Это возможно, но, конечно, вам нужна система доказательств — в идеале вы можете захотеть иметь более одной. Уже есть некоторые анонсы систем, делающих это, например, недавний анонс от команды Незермайнд, создающей роллап, который должен стать Стадией 2 при запуске.

Почему советы по безопасности, а не мультисиги (11:29)

Это было о системах доказательств. Теперь, почему советы по безопасности, а не просто обычные мультисиги? Причина в следующем: не верьте, что мультисиги — это мультисиги. Вот в чем причина — если только нет социального уровня, который может действительно убедить вас в том, что они фундаментально диверсифицированы.

В нашей истории было несколько крупных событий. У нас был Multichain, который утверждал, что они очень децентрализованные, и оказалось, что нет, это не так — и это утверждение, которое вы не можете по-настоящему проверить независимо. Огромная атака, или внутренняя работа, или экзит-скам — мы не уверены.

Затем у нас была ситуация с Oasis, когда к ним обратился суд Великобритании, и им пришлось фактически использовать мультисиг для извлечения некоторых средств из протокола. Это было бы невозможно сделать, если бы у вас был геополитически диверсифицированный совет по безопасности, потому что нет такого постановления суда, которое могло бы дотянуться до всех.

Наконец, совсем недавно у нас была атака на мультисиг. Ни на секунду не думайте, что мультисиги не могут быть атакованы. В конечном итоге мы должны избавиться от них всех.

Итак, подводя итог: если у вас есть роллап Стадии 0 без совета по безопасности, по сути, злонамеренный оператор может делать с вашими средствами все, что захочет. Если вы являетесь роллапом Стадии 0 с советом по безопасности, то злоумышленнику нужно подкупить меньшинство совета по безопасности — возможно, это сложно сделать, но гораздо проще, чем подкупить большинство совета по безопасности, что вам пришлось бы сделать, если бы у вашего роллапа была система доказательств. И, наконец, никто не сможет украсть ваши средства, если вы находитесь на Стадии 2. В этом и заключается обещание перехода на Стадию 2.

Предлагаемая переклассификация (13:10)

Вопрос в том: есть ли у нас правильные стимулы для проектов, чтобы им было не все равно? Проблема в том, что единственное, что мы можем сделать — мы как L2BEAT и мы как сообщество Эфириума — это оказывать социальное давление. Виталик сказал, что начиная со следующего года он планирует публично упоминать только те l2, которые находятся на Стадии 1. Ранее он даже говорил, что не будет называть системы роллапами, если они не достигли Стадии 1.

Поэтому мы задавались вопросом, что мы можем сделать. На данный момент у нас есть стадии для роллапов. У нас нет стадий для валидиумов и оптимумов. Мы долго думали — может быть, мы могли бы ввести «Стадию 0+» для систем, у которых есть системы доказательств, но они еще не достигли Стадии 1. Но после месяцев обсуждений мы решили: нет, пора взрослеть.

Вот что мы предлагаем сообществу — и это будет вынесено на форум для получения отзывов сообщества. Во-первых, мы хотим создать отдельную категорию для систем. Главное отличие в том, что вам нужно будет иметь систему доказательств, чтобы быть на Стадии 0. Так, например, StarkNet сегодня будет Стадией 0 по этой классификации. Все цепи на OP Stack, у которых нет системы доказательств — кроме Base и Optimism — не попадут в эту категорию. И, конечно, мы дадим системам время на адаптацию. Это основная категория, и она должна стать своего рода суперлигой систем.

Затем у вас есть другая категория систем, которые не используют доступность данных (DA) Эфириума. Они используют дополнительные допущения о доверии, которые возникают при использовании внешней DA. Мы называем их «alt-DA», но они будут включать валидиумы, оптимумы и любые гибридные конструкции, которые вы можете создать. Однако они должны предоставлять вам разумные гарантии DA — это не может быть ваш подвал. Это должен быть комитет по доступности данных разумного размера, или, если вы используете Celestia или Avail, вам нужно использовать мост.

Категория «другие» и обещание L2BEAT (16:05)

А как насчет остальных? Мы поместим их в третью категорию, которую мы называем — и сейчас я жду отзывов сообщества о том, как назвать эти системы — наше рабочее название «другие». Суть в том, что они защищены мультисигами, и мы покажем эти мультисиги такими, какие они есть. Это то, что мы хотим сделать в нашем пользовательском интерфейсе.

Пользовательский интерфейс будет выглядеть примерно так: вы увидите эту разбивку — роллапы, валидиумы и оптимумы, и другие. И сортировка по умолчанию будет по безопасности, а не по общей заблокированной стоимости (TVL). Давайте не будем гнаться за TVL с плохой безопасностью — это закончится очень плохо.

Мы будем продвигать проекты Стадии 1 и Стадии 2. Мы будем рассматривать проекты Стадии 0 как претендентов. Что касается «других», мы рады включить их в список — мы будем крайне либеральны. Вам просто нужно быть по сути согласованными с Эфириумом и, очевидно, иметь мост, который позволяет перемещать средства. Однако мы будем смотреть на допущения о доверии и мультисиги, и мы надеемся, что медленно, но верно системы перейдут из категории «другие» либо в валидиумы/оптимумы, либо в роллапы.

Вот как, по нашему мнению, будет выглядеть категория «другие» — это реальные данные прямо сейчас, реальные системы, которые могут попасть в эту категорию, если они не внедрят систему доказательств. Вы точно увидите, кто является предлагающим, кто оспаривающим, а кто обновляющим. Забавно то, что вы можете увидеть это сегодня на L2BEAT — просто эта информация так глубоко спрятана на странице деталей, что, держу пари, ее проверяют только исследователи и энтузиасты. Все это доступно уже сегодня. Однако мы хотим открыть эти данные для конечных пользователей. Мы хотим, чтобы конечные пользователи действительно знали, что происходит, чтобы мы все несли ответственность за системы, которые создаем.

Достаточно ли просто сказать: «У меня есть система доказательств»? Нет. Наше обещание сообществу как L2BEAT заключается в том, что в следующем году мы вложим значительные ресурсы в то, чтобы действительно очень тщательно и глубоко изучить эти системы доказательств, чтобы убедиться, что они надежны и полны. Мы проанализируем как системы с нулевым разглашением (ZK), так и оптимистичные. Мы заглянем в исходный код, мы посмотрим, как вы создали свою доверенную установку, мы посмотрим на ваши схемы и увидим, что именно проверяется ончейн. Мы хотим сделать все суперпрозрачным, чтобы допущения о доверии были четко донесены — и, что более важно, ваша система доказательств не могла быть скрыта за необоснованно маленьким белым списком.

Мы нанимаем исследователей. Мы проделаем всю эту работу. Это наше обещание на следующий год. Я надеюсь, что следующий год станет годом l2 и роллапов — однако речь идет не о запуске роллапа одним нажатием кнопки. Суть в том, что вы хотите иметь возможность запустить систему с хорошей безопасностью. В идеале вы хотите унаследовать как можно больше безопасности от Эфириума. Нам всем предстоит много работы, чтобы достичь этого. Но если мы этого не сделаем, то все, что мы делаем, — это, по сути, создание тысяч небезопасных сайдчейнов. Я думаю, мы как сообщество этого не хотим.

Вопросы и ответы (18:45)

Ведущий: Давайте перейдем к вопросам и ответам. Важно ли, чтобы роллапы имели децентрализованный секвенсор, или достаточно других механизмов безопасности?

Бартек Кепушевски: Это очень хороший и важный вопрос. Я думаю, что мы увидим разные архитектуры. Я не думаю, что децентрализация секвенсора суперважна для безопасности средств пользователей, но она может быть важна для устойчивости к цензуре в реальном времени в определенных ситуациях. Виталик сказал во время своего вступительного доклада, что в будущем мы можем увидеть, как роллапы станут базироваться на Эфириуме (based rollups) — используя инфраструктуру Эфириума для борьбы с цензурой в реальном времени, — в то время как другие, скажем, MegaETH, могут фактически иметь очень централизованный секвенсор и полагаться только на механизм экстренного вывода. Мы можем увидеть гибридные конструкции. Я думаю, что пространство для проектирования огромно, и прямо сейчас в L2BEAT мы действительно хотим посмотреть, что произойдет и как это будет развиваться.

Ведущий: Будут ли системы доказательств на базе TEE считаться Стадией 2, даже если они подразумевают доверие к производителю оборудования?

Бартек Кепушевски: Короткий ответ — нет, потому что с теми конструкциями, которые мы видим сегодня, если вы используете SGX, Intel может отправить доказательство, и они потенциально могут заблокировать, украсть или заморозить все, что захотят, и никто этого не заметит — и Эфириум этого не заметит. Однако, учитывая всю работу, которая проводится для создания не требующих доверия, общедоступных TEE — мне говорят, что это на самом деле чрезвычайно захватывающая работа. Но короткий ответ: сегодня — нет.

Ведущий: Почему Optimism классифицируется как Стадия 1? Судя по оценке, это не так — Фонд полностью контролирует процесс предложений.

Бартек Кепушевски: По сути, они соответствуют всем критериям. Дело не столько в процессе предложений — дело в том, кто контролирует средства. У вас может быть централизованный предлагающий, однако есть резервный вариант. Если они отключаются, то вся система становится более общедоступной. Я думаю, важно понимать, какова роль совета по безопасности. Мы хотим, чтобы системы Стадии 1 позволяли вам выйти, если централизованный предлагающий останавливается. Например, в случае с dYdX предложение было суперцентрализованным, однако, когда они остановились, люди смогли выйти. Так что дело не в том, централизованы вы или децентрализованы — дело в том, можете ли вы фактически выйти общедоступным способом.

Они соответствовали всем критериям. Кстати, мы их дорабатывали — критерии не высечены в камне, потому что все эти системы развиваются, поэтому нам нужно развиваться вместе с ними. Критерии могут немного меняться, и мы очень внимательно следим как за Optimism, так и за Arbitrum, потому что они явно являются двумя лидерами. Есть много нюансов, в которые у меня нет времени вдаваться. Но это не значит, что вы получаете статус стадии навсегда — если появится новая информация или что-то, что мы могли пропустить или упустить, вполне возможно, что вы можете потерять этот статус.

Ведущий: Каковы основные причины, по которым проекты не стремятся к Стадии 1?

Бартек Кепушевски: Сложность, время, стоимость, таланты. Это удивительно дорого. Как я уже сказал, пионеры четыре года назад по сути строили — dYdX был буквально одним из первых, если не первым, роллапом с нулевым разглашением (ZK). Он был специфичным для приложения, но все же он был первым. И если бы не мелкие нюансы, это была бы Стадия 2 — на самом деле, именно процесс управления, который мы требуем для Стадии 2, не дотягивает. Но во всех смыслах и целях это система Стадии 2. Она была построена четыре года назад, так что это не значит, что это невозможно.

Я думаю, что сегодня для всех роллапов это суперсложно сделать, честно говоря, потому что большинство роллапов создаются не командами — они запускаются провайдерами роллапов как услуги (rollup-as-a-service), и нам нужно стимулировать их работать лучше. И это сложно. Никто не говорил, что будет легко.