Vấn đề khoảng cách vật lý trong DeFi

avatar
Ethereum Research
05-03
Bài viết này được dịch máy
Xem bản gốc

Tóm lại. Các nền tảng Máy ảo Ethereum (EVM) tiêu chuẩn có một giới hạn cấu trúc đối với các biện pháp phòng thủ dựa trên tác nhân hợp lý: chuỗi không thể xác minh thực tế Ngoài chuỗi , vì vậy một kẻ tấn công đủ kiên nhẫn với bảo mật vận hành tốt có thể đánh bại bất kỳ cơ chế Bút danh on-chain . Tôi sẽ gọi đây là vấn đề khoảng cách vật lý (airgap problem ). Một cấu trúc gồm sáu cơ chế ở lớp Consensus có thể giải quyết vấn đề này thay vì hạn chế nó. Bài viết này định nghĩa vấn đề; các bài viết tiếp theo sẽ phát triển từng cơ chế.

Một loại câu hỏi liên tục gặp phải giới hạn cấu trúc trên các nền tảng Máy ảo Ethereum (EVM) tiêu chuẩn. Cho dù câu hỏi liên quan đến thông đồng đa tài khoản, quản trị dựa trên tấn công Sybil, Oracle Manipulation, phối hợp Ngoài chuỗi , giao dịch rửa tiền, phát lại được ký trước, hay bất kỳ mô hình tấn công nào khác của tác nhân hợp lý phụ thuộc vào điều gì đó mà chuỗi không thể nhìn thấy — câu trả lời trung thực ở giới hạn đó đều có cùng một hình dạng: “Bạn không thể ngăn chặn nó về mặt cấu trúc; bạn chỉ có thể giới hạn phần còn lại và định giá nó.”

Câu trả lời này đúng với mọi giao thức dựa trên EVM liên quan đến những câu hỏi này. Đây cũng là câu trả lời duy nhất mà chính Máy ảo Ethereum (EVM) có thể đưa ra. Nhưng đây không phải là câu trả lời duy nhất có thể. Một kiến ​​trúc cấp nền tảng khác — được thiết kế đặc biệt để hoạt động dưới mức giới hạn này — có thể giải quyết vấn đề thay vì chỉ làm trầm trọng thêm nó.

Đây là bài viết đầu tiên trong loạt bài phát triển kiến ​​trúc đó. Bài viết mở đầu xác định vấn đề và phác thảo bố cục sáu cơ chế để giải quyết nó. Các bài viết tiếp theo sẽ đi sâu vào từng cơ chế.

Vấn đề khe hở không khí

Chuỗi có thể xác minh các giao dịch, chữ ký và trạng thái hợp đồng — bất cứ điều gì xảy ra trên đó . Tuy nhiên, nó không thể xác minh thực tế Ngoài chuỗi : liệu hai địa chỉ Bút danh có được kiểm soát bởi cùng một người hay không, liệu một sự kiện Ngoài chuỗi có thực sự xảy ra hay không, liệu người tham gia có hành động thiện chí hay không, liệu một chuỗi các thao tác có thể hiện ý định độc lập hay là sự khai thác phối hợp. Oracles lấp đầy khoảng trống này nhưng lại thêm các giả định về độ tin cậy; chúng không loại bỏ được khoảng cách vật lý giữa chuỗi và thực tế.

Đây là lý do cấu trúc khiến mọi cơ chế phòng thủ dựa trên lý trí trong Máy ảo Ethereum (EVM) tiêu chuẩn cuối cùng đều bị phá vỡ. Một kẻ tấn công đủ kiên nhẫn với bảo mật vận hành tốt có thể đánh bại bất kỳ cơ chế Bút danh on-chain . Lối thoát của kẻ tấn công luôn tồn tại — các lối thoát khác nhau cho các loại tấn công khác nhau, nhưng luôn luôn có ít nhất một — bởi vì chuỗi không bao giờ có thể biết được kẻ tấn công thực sự đang làm gì bên ngoài nó.

Vấn đề khoảng cách không khí (airgap problem) có hình dạng gần giống với vấn đề oracle hơn là MEV. Cả hai đều liên quan đến mối quan hệ của chuỗi khối với thực tại Ngoài chuỗi . Phương án "giới hạn và định giá phần dư" (bound-and-price-the-residual) là câu trả lời đúng theo EVM vì Máy ảo Ethereum (EVM) không có khả năng tự nhiên để giải quyết vấn đề này. Tuy nhiên, nó không phải là câu trả lời đúng theo không gian thiết kế.

“Thu hẹp khe hở không khí” nghĩa là gì?

Một điều cần làm rõ: việc thu hẹp khoảng cách vật lý (airgap) không có nghĩa là chuỗi học được cách nhìn thấy thực Ngoài chuỗi . Vấn đề đó về bản chất là không thể giải quyết được. Việc thu hẹp khoảng cách vật lý có nghĩa là thiết kế giao thức sao cho thực tại Ngoài chuỗi không còn quan trọng nữa — sao cho bất kỳ sự phối hợp Ngoài chuỗi , lớp đa tài khoản hoặc hành vi đối kháng ẩn nào đều có giá trị kỳ vọng tiêu cực về mặt cấu trúc trên mọi vectơ tấn công khả dụng cùng một lúc.

Khi tính chất đó đúng, sẽ dẫn đến hai hệ quả.

Thứ nhất, chiến lược rút lui của kẻ tấn công — chiến lược mà một tác nhân hợp lý thu lợi từ sự phối hợp Ngoài chuỗi — không còn tồn tại như một loại hình tấn công. Không phải vì mọi cuộc tấn công riêng lẻ đều bị phát hiện và ngăn chặn, mà vì không cuộc tấn công nào có thể mang lại lợi nhuận, bất kể có bị phát hiện hay không.

Thứ hai, thực tế on-chain và Ngoài chuỗi có cùng thuộc tính tin cậy: giao thức có thể tin tưởng các báo cáo tự nguyện Ngoài chuỗi cũng như các bằng chứng on-chain , bởi vì người tham gia không thể nói dối một cách có lợi bất kể họ nói dối về điều gì .

Khoảng cách giữa hai bên không biến mất chỉ vì một cây cầu lớn hơn được xây dựng giữa hai phía. Nó biến mất vì giờ đây cả hai bên đều không còn gì để che giấu.

Thành phần

Kiến trúc lớp đồng thuận có thể bao gồm sáu cơ chế, mỗi cơ chế đóng một lối thoát khác nhau khỏi cây tấn công. Không có cơ chế nào trong số đó tự mình đóng được khoảng trống an toàn. Chính sự kết hợp của các cơ chế mới làm được điều đó, bởi vì phạm vi bao phủ chéo có nghĩa là kẻ tấn công nếu cố gắng vượt qua một cơ chế vẫn sẽ thất bại trước một cơ chế khác.

1. Đấu giá Cam kết-Tiết lộ. Liên kết thời gian mật mã: ý định được khóa trước khi hành động được hiển thị. Ngăn chặn các cuộc tấn công sắp xếp thông tin bất đối xứng (front-running, sandwiching, back-running) ở lớp Consensus thay vì dưới dạng tùy chọn tham gia cho từng giao thức.

2. Neo dấu thời gian L1. Các tuyên bố về thời gian được xác thực bởi tập hợp trình xác thực của L1 cơ bản. Các cuộc tấn công tái tổ chức, thời gian kiểm tra so với thời gian sử dụng và trạng thái lỗi thời sẽ mất đi cơ hội hoạt động.

3. Bằng chứng về tư duy. Tính hợp pháp là không thể giảm thiểu về mặt thời gian. Điểm uy tín/đóng góp không thể mua được — chỉ có thể kiếm được thông qua đóng góp thực sự trên on-chain theo thời gian thực. Các trang trại Sybil không thể nén dòng thời gian; Vốn không thể thay thế cho lịch sử tham gia. Điều này ngăn chặn các cuộc tấn công dựa vào việc tạo ra ngay lập tức các danh tính "đã được thiết lập".

4. Định tuyến bẫy/mồi nhử. Những kẻ tấn công bị phát hiện có bất thường sẽ được định tuyến đến một mạng lưới ảo không thể phân biệt bằng mật mã, nơi chúng tiêu tốn tài nguyên tính toán vào một Fork vô ích và mất điểm đóng góp khi bị phát hiện. Phòng thủ trở thành một cuộc đấu võ đối kháng: kẻ tấn công phải trả giá cho cuộc tấn công bằng chính cuộc tấn công đó.

5. Tiên đề người chơi rỗng Shapley. Các tài khoản Sybil có đóng góp cận biên bằng 0, do đó giá trị Shapley bằng 0 theo tiên đề (Shapley, 1953). Chi phí trên mỗi tài khoản tăng tuyến tính với số lượng tài khoản được tạo; phần thưởng vẫn ở mức 0. Sự thông đồng nhiều tài khoản, giao dịch rửa tiền và bất kỳ chiến lược khai thác nào phụ thuộc vào việc giả mạo sự tham gia độc lập đều dẫn đến thua lỗ. Đây là sự khép kín theo tiên đề toán học, chứ không phải bằng cách phát hiện.

6. Hiệu ứng thu hồi lợi nhuận theo chuỗi. Sự ô nhiễm lan truyền qua biểu đồ giao dịch sau khi gắn cờ; sự cô lập về mặt cấu trúc liên kết khiến lợi nhuận thu hồi được sau đó là không thể. Ngay cả việc trích xuất thành công cũng có thể đảo ngược sau đó, và các đối tác hợp lý sẽ từ chối giao dịch với các địa chỉ bị ô nhiễm, làm tăng thêm chi phí.

Thuộc tính bao phủ chéo là yếu tố tạo nên hiệu quả. Kẻ tấn công kiên nhẫn có thể xác định một lộ trình vượt qua cơ chế (1) — cuộc tấn công vẫn thua (3), hoặc (5), hoặc (6). Kẻ tấn công có đủ Vốn để đánh bại (3) sẽ thua (1) và (5). Kẻ tấn công có đủ an ninh hoạt động để né tránh (4) sẽ thua (5) và (6). Mỗi cơ chế đều cần thiết; cùng nhau chúng đủ.

Tại sao Substrate lại quan trọng

Các cơ chế nêu trên không thể được triển khai như một lớp hợp đồng thông minh trên chuỗi Máy ảo Ethereum (EVM) tiêu chuẩn — ít nhất là không thể với các đặc tính bảo mật mà chúng có khi được tích hợp ở lớp Consensus . Cụ thể:

  • Việc neo dấu thời gian L1 yêu cầu cam kết về thời gian ở cấp độ đồng thuận, chứ không phải sự phụ thuộc vào block.timestamp ở cấp độ hợp đồng.
  • Bằng chứng về sự tham gia (Proof of Mind) đòi hỏi lịch sử tham gia là yếu tố không thể thiếu để đạt được Consensus, chứ không phải siêu dữ liệu tùy chọn mà kẻ tấn công có thể lựa chọn đưa vào.
  • Việc thực thi luật Shapley về người chơi vô hiệu đòi hỏi đơn vị nhà nước phải có thể được định địa chỉ theo cách cho phép tính toán "đóng góp cận biên" một cách tiết kiệm chi phí — điều này là tự nhiên trong các nền tảng mô hình UTXO/tế bào và là những sự biến dạng trong các nền tảng mô hình tài khoản.
  • Cơ chế thu hồi tiền theo kiểu thác đổ đòi hỏi sự lan truyền thông tin bất lợi sau khi gắn cờ mà Substrate thực thi, chứ không phải là điều mà ứng dụng phải hy vọng các bên đối tác sẽ tôn trọng.

Các giao thức dựa trên EVM chạm đến giới hạn về khoảng cách an toàn (airgap ceiling) vào thời điểm câu hỏi “làm thế nào để ngăn chặn các cuộc tấn công của tác nhân hợp lý về mặt cấu trúc” trở nên quan trọng hơn hiệu ứng mạng lưới của EVM. Về nguyên tắc, câu trả lời về mặt kiến ​​trúc đã có thể đạt được — nhưng đòi hỏi sự hỗ trợ ở cấp độ nền tảng mà các EVM dựa trên mô hình tài khoản không thể cung cấp đầy đủ.

Các nền tảng UTXO/mô hình tế bào (trong dòng Bitcoin/ Cardano /Nervos/ Aptos ) phù hợp hơn với sự kết hợp này vì chúng cho phép quyền sở hữu trạng thái trên mỗi tế bào và các kịch bản xác minh có thể kết hợp như các thành phần cơ bản hạng nhất. Điều này không có nghĩa là Máy ảo Ethereum (EVM) không thể xấp xỉ sự kết hợp này thông qua kỹ thuật hợp đồng cẩn thận — mà chỉ là Substrate tự nhiên cho các cơ chế này là nền tảng coi trạng thái như các tế bào có thể sở hữu được chứ không phải là các khe lưu trữ toàn cục. Các bài đăng tiếp theo trong loạt bài này sẽ phát triển từng cơ chế một và, khi thích hợp, bình luận về vấn đề phù hợp với nền tảng.

Loạt bài viết này sẽ và sẽ không tranh luận về điều gì.

Loạt bài này sẽ lập luận rằng:

  • Một cấu trúc gồm sáu cơ chế có thể làm tan biến khe hở không khí thay vì giữ nó lại.
  • Phương pháp luận làm nền tảng cho cấu trúc này — Thiết kế Cơ chế Tăng cường — có thể được khái quát hóa không chỉ trong DeFi mà còn áp dụng cho bất kỳ hệ thống nào mà các cơ chế kinh tế thuần túy bị phá vỡ khi bị triển khai bởi các đối thủ.
  • Điều đó có nghĩa là Substrate tự nhiên cho thành phần này là một chất nền có quyền sở hữu tế bào rõ ràng, mặc dù các phép xấp xỉ mô hình tài khoản là có thể thực hiện được với chi phí kỹ thuật cao hơn.

Nó sẽ không tranh cãi:

  • Các cuộc tấn công từ tác nhân có lý trí là loại tấn công quan trọng nhất cần phải phòng chống (các loại tấn công khác — khai thác lỗi, thất bại quản trị, thao túng quy định — đều có thật và độc lập).
  • Việc kết hợp các thành phần là cách duy nhất để lấp đầy khoảng trống không khí (đây là bằng chứng về sự tồn tại, chứ không phải là khẳng định về tính duy nhất).
  • Máy ảo Ethereum (EVM) là một Substrate tồi cho mọi thứ (hiệu ứng mạng của nó là có thật, và nhiều giao thức chấp nhận giới hạn khoảng cách mạng một cách chính xác vì việc đóng giới hạn đó không đáng để thay đổi Substrate ).

Các bài viết trong loạt bài này

Các bài viết sau đây sẽ trình bày chi tiết các thành phần:

  1. Thiết kế cơ chế tăng cường: Một phương pháp luận chính thức — khung lý thuyết chính thức: toán tử tăng cường A: M → M′, bảo toàn lõi, phân loại tăng cường.
  2. Đấu giá theo lô Commit-Reveal với cơ chế thanh toán bù trừ đồng nhất — Phân tích chuyên sâu về việc đóng MEV.
  3. Shapley Null-Player & Proof of Mind: Sybil Defense by Axiom — sự kết hợp giữa lớp Sybil và phương pháp đóng cửa.
  4. Clawback Cascade & Honeypot Routing: Adversarial-Judo Defenses — post-hoc and adversarial closure.
  5. Đường cong liên kết mở rộng và thuế Harberger mở rộng: Hai nghiên cứu trường hợp — phương pháp luận được áp dụng cho các yếu tố cơ bản đã biết.
  6. Định lý ổn định tam thức — kết hợp ba yếu tố cơ bản về tiền tệ để giới hạn sự biến động theo phương sai chi phí điện năng.
  7. Khi sự trung thực trở thành yếu tố chịu lực: Một lập luận về cấu trúc — tổng hợp; hậu quả của sự trung thực về mặt cấu trúc và ý nghĩa của nó đối với thiết kế giao thức vượt ra ngoài DeFi.

Tần suất đăng bài: khoảng một bài mỗi tuần.

Câu hỏi mở

Trước khi loạt bài này tiếp tục, tôi muốn nhận phản hồi về lời phản đối mạnh mẽ nhất mà tôi dự đoán: rằng những tiến bộ gần đây trong (a) các nhóm bộ nhớ được mã hóa theo ngưỡng, (b) xác thực danh tính dựa trên MPC hoặc (c) tổng hợp bằng chứng Ngoài chuỗi dựa trên ZK làm cho khoảng cách an toàn có thể được thu hẹp trên các nền tảng Máy ảo Ethereum (EVM) mà không cần thay đổi Consensus .

Tôi muốn nghe phiên bản phản bác mạnh mẽ nhất trước khi các bài đăng tiếp theo tranh luận về thành phần ở cấp độ chất nền. Nếu khe hở không khí có thể được đóng lại mà không cần rời khỏi Máy ảo Ethereum (EVM), điều đó sẽ thay đổi đáng kể phần còn lại của lập luận — và tôi muốn biết điều đó ngay bây giờ hơn là sau Bài đăng số 8.

Tài liệu tham khảo

  • Shapley, LS (1953). Giá trị cho trò chơi n người. Đóng góp vào lý thuyết trò chơi, II.
  • Hurwicz, L. (1960). Tính tối ưu và hiệu quả thông tin trong các quy trình phân bổ nguồn lực.
  • Myerson, RB (1981). Thiết kế đấu giá tối ưu. Toán học ứng dụng R

Khu vực:
Quản Trị
Token Sàn Phi Tập Trung (DEX)
AMM
Nguồn
Tuyên bố từ chối trách nhiệm: Nội dung trên chỉ là ý kiến của tác giả, không đại diện cho bất kỳ lập trường nào của Followin, không nhằm mục đích và sẽ không được hiểu hay hiểu là lời khuyên đầu tư từ Followin.
Thích
Thêm vào Yêu thích
Bình luận
Nội dung liên quan