Оптимістичні мости

Кілька місяців тому ми оголосили про нашу тісну співпрацю з Nomad, протоколом міжланцюжкової комунікації, який використовує докази шахрайства (аналогічно Optimistic Rollups) для передачі даних між ланцюжками.

У цьому пості ми докладно розглянемо, як працюють оптимістичні мости, у чому їх переваги та чому ми їх любимо.

Огляд: Трилема інтероперабельності

Трилема інтероперабельності — це модель, яка пояснює компромісний простір навколо мостів, з таксономією типів протоколів міжланцюжкового зв’язку, що існують сьогодні.

Коли ми писали про трилему минулого року, ми класифікували мости на три типи залежно від того, як вони перевіряються:

  • Локальна верифікація (атомарні свопи та системи швидкої ліквідності).
  • Зовнішня верифікація (мультисиг, mpc, порогові, PoS та валідаторні мости).
  • З природною верифікацією (реле з легким заголовком клієнта, мости згортання).

У кожному випадку механізм верифікації приводив до компромісу, принаймні, по одному з трьох дуже бажаних властивостей:

  • Мінімізація довіри: відсутність економічних припущень про безпеку, крім тих, що є в базовому ланцюжку.
  • Узагальнення: підтримка передачі довільних даних по ланцюжкам.
  • Розширюваність: можливість розгортання на багатьох гетерогенних ланцюжках із мінімальною роботою на замовлення.

Оптимистическая верификация

На відміну від локальних, зовнішніх або вбудованих верифікованих мостів оптимістичні мости досліджують новий компроміс: затримку.

Ось як вони працюють на високому рівні:

  1. Подібно до інших мостів, дані розміщуються на ланцюжку походження в контрактну функцію користувачем або dApp.
  2. Агент, званий оновлюючим, підписує корінь Меркла, що містить дані (1), і розміщує його на ланцюжку походження. Подібно до секвенсору рулонів, оновлюючий агент пов’язує засоби, які скорочуються у разі шахрайства.
  3. У цей момент будь-яка ретрансляційна система (наприклад, Gelato, Keep3r, Biconomy і т.д.) може прочитати цей корінь у вихідному ланцюжку і відправити його в один або багато ланцюжків призначення.
  4. Відправлення даних у ланцюжок призначення запускає 30-хвилинне вікно доказу шахрайства (аналогічно до оптимістичного вікна виходу з ролінгу). Протягом цього часу будь-який спостерігач за ланцюжком (спостерігач) може довести шахрайство на вихідному ланцюжку та відключити канал зв’язку з місцем призначення. Якщо це станеться, то зв’язок оновлюючого ланцюжка буде скорочено, тобто. його кошти будуть вилучені та передані спостерігачеві.
  5. Якщо протягом 30-хвилинного вікна не відбувається підтвердження шахрайства, дані, передані в ланцюжок призначення, можуть вважатися завершеними та споживатися програмою. Зазвичай це відбувається шляхом надання постачальником послуг (процесором) меркл-доказів даних для моста, а потім використання цих даних для виклику функції контракту на ланцюжку призначення.

Оскільки дані, що передаються, абсолютно довільні, оптимістичні мости дозволяють нам створювати будь-які типи кроссчейн-додатків/прикладів з мінімальною довірою. Деякі приклади:

  • Міст між токенами з блокуванням та майнінгом або спалюванням та майнінгом.
  • З’єднання ліквідності DEX між ланцюжками до єдиного безшовного tx.
  • Міжланцюгові сховища та управління стратегією сховищ.
  • Критично важливі протокольні операції, такі як реплікація/синхронізація глобальних констант (наприклад, PCV) між ланцюжками.
  • Принесення UniV3 TWAPs у кожен ланцюжок без застосування оракулів.
  • Управління veToken, що не залежить від ланцюжка.
  • Взаємодія метавсесвіту з метавсесвітом.

Модель економічної безпеки

Подібно до оптимістичних роллапів і мереж державних каналів, оптимістичні мости покладаються на набір спостерігачів, які стежать за ланцюжком і повідомляють про шахрайство. Це принципово інша модель безпеки, ніж мости із зовнішньою перевіркою, так само, як роллапы мають іншу модель безпеки, ніж сайдчейни.

Криптоекономіка мостів із зовнішньою верифікацією

Зовнішньо перевірені (тобто мультипідписні, валідаторні, PoS, mpc або порогові) мости (і самі сайдчейни/L1!) використовують припущення чесної більшості — тобто m з n учасників системи повинні коректно перевіряти оновлення. З погляду криптоекономіки це означає:

Вартість атаки на зовнішньо верифікований міст з n верифікаторами дорівнює вартості пошкодження або злому m верифікаторів.

Важливо, що це новий потенційний вектор для атаки — якщо економічна безпека мосту не перевищує вартість 51% атаки на ланцюжок, це обов’язково означає, що зовні перевірений міст додає (часто значну) довіру.

В якості альтернативи повна економічна безпека мосту, перевіреного ззовні, може бути досягнута, якщо система може (а) надійно довести шахрайство та (б) повернути користувачам повну суму всіх цінностей, які можуть бути втрачені внаслідок злому. Іншими словами, користувачі та/або LP можуть бути застраховані тільки в тому випадку, якщо вартість частки, що скорочується (наприклад, в RUNE на Thorchain) більша або дорівнює TVL всієї системи. Зверніть увагу, що (а) є сильним припущенням — остаточний доказ шахрайства тут сам собою вимагає ненадійного механізму міжланцюгового зв’язку, що робить проблему дещо рекурсивною.

Криптоекономіка оптимістичних мостів

Шаблон “спостерігач + захист від шахрайства”, з іншого боку, використовує єдине припущення чесного верифікатора. Іншими словами, оптимістичні мости вимагають, щоб лише одна з n сторін у системі правильно перевіряла оновлення.

Вартість атаки на оптимістичний міст із n верифікаторами дорівнює вартості пошкодження або зламування n верифікаторів.

Якщо спостерігачі для оптимістичної системи (чи то зведення, канали чи мости) не мають доступу (і ми припускаємо, що базовий ланцюжок працює), то економічні витрати на атаку системи необмежені. Це пов’язано з тим, що неможливо бути впевненим, що у світі немає хоча б одного спостерігача, який працює анонімно, який може довести шахрайство.

Це має дуже цікавий наслідок:

В оптимістичному мосту EV спроби шахрайства завжди негативне, тому що поки базові ланцюжки безпечні, жодні гроші не можуть гарантувати успіху вашої атаки. Таким чином, сума скороченої ставки, яка має бути прив’язана до програми оновлення, повинна бути достатньо високою, щоб запобігти спробам шахрайства (тобто зупинити гриферство).

Ось чому секвенсорам ORU, наприклад, потрібно зв’язати лише невелике підмножина загального TVL згортки.

Режими відмови

Можливо, найважливіше покращення, яке оптимістичні мости роблять у порівнянні з мостами, що пройшли зовнішню перевірку, полягає в обміні живучості на безпеку. Іншими словами, поки що самий базовий ланцюжок безпечний, теоретичний найгірший сценарій — це вже не втрата коштів, а зупинка системи.

DoS-атак на програму оновлення

Подібно до накопичувального секвенсора, централізований засіб оновлення може зловмисно або випадково зупинити систему, якщо вона перестане підписувати оновлення.

Проте децентралізація засобу оновлення Nomad — досить просте завдання. Простим прикладом конструкції може бути наявність безлічі пов’язаних засобів оновлення (а не одного) та використання циклічного підходу до підписання оновлень з аварійним перемиканням та скороченням, якщо цей засіб оновлення пропускає свій «хід».

Шахрайство із програмою оновлення

Будь-які дані, які передаються по ланцюжкам в оптимістичному мосту, повинні бути підписані засобом оновлення, а це означає, що будь-яке шахрайство в системі також має виходити від засобу оновлення.

В оптимістичних мостах шахрайство завжди детерміністично доводиться у вихідному ланцюжку (аналогічно тому, як шахрайство ORU завжди доводиться в L1). Для цього спостерігач просто має надати доказ неприпустимого оновлення контракту ланцюжка походження, що потім призводить до скорочення засобу оновлення. Потім спостерігач відправляє підписане повідомлення в ланцюжок призначення, щоб «відключити» канал зв’язку протягом 30 хвилин (до того моменту, коли ці шахрайські дані можна вважати завершеними).

Насправді взагалі не обов’язково доводити шахрайство у ланцюжку призначення. Правильне виконання цього в домашньому ланцюжку карає засіб оновлення, який насамперед перешкоджає шахрайству, а подальше відключення каналу зв’язку знижує будь-які потенційні збитки. Проте можливість спостерігача довільно відключити канал зв’язку відкриває вектор DoS, який ми обговоримо нижче.

Спостерігач DoS

Оскільки будь-який спостерігач може ініціювати відключення каналу зв’язку в оптимістичному мосту, спостерігачі можуть зіпсувати/назавжди зупинити цей канал зв’язку, розсилаючи спам про відключення. Зверніть увагу, що спостерігачі нічого не отримують від системи, роблячи це (будь-які засоби/дані залишаються в безпеці), і ризик цього розподіляється по каналах зв’язку (тобто відключення одного каналу не призведе до відключення системи в цілому).

Досить відключати мої канали, Білле!

Цей тип атаки можна пом’якшити у довгостроковій перспективі, запровадивши правильні види стимулів для спостерігачів. Оскільки спостерігачі заробляють урізану облігацію спостерігача при правильному заперечуванні, ми можемо пом’якшити прикрість спостерігачів, запровадивши базовий податок для спостерігачів за ініціювання доказів шахрайства. Цей податок повинен бути (а) досить високим, щоб не стимулювати спам, але також (б) досить низьким порівняно із заставою оновлюючої сторони, щоб спостерігачі все ще мали сильний стимул ініціювати дійсні докази шахрайства. Іншим простим рішенням було б просто опублікувати підпис про відключення, згенерований спостерігачем, у домашньому ланцюжку та відключити спостерігача, якщо шахрайство не може бути доведене.

Наразі Nomad вирішує цю проблему, вирішуючи набір спостерігачів. Це змінює економічну безпеку системи, тому що тепер є фіксований/відомий набір спостерігачів, які можуть бути пошкоджені (у такий спосіб обмежуючи вартість атаки). Тим не менш, ми вважаємо це прийнятним тимчасовим рішенням, оскільки існує прямий та вельми надійний шлях до мінімізації довіри. Цей підхід також відображає те, як були розгорнуті інші системи захисту від шахрайства:

  • Мережі державних каналів історично починалися з дозволеного спостерігача, налаштованого на пом’якшення такого самого стилю векторів прикрості, доки не буде створено правильний стиль стимулів.
  • Оптимістичні накопичувальні пакети в даний час знаходяться в тій же стадії початкового завантаження, коли ще не активовані засоби захисту від шахрайства та заперечення. Хоча це означає, що в даний час накопичувальні пакети користуються великою довірою, ширша спільнота розуміє, що це лише тимчасова фаза «навчальних коліс», поки реалізації не стануть зрілішими.

Збої живучості ланцюга

Основне припущення, яке ми обговорювали вище, у тому, що самі базові ланцюжки здатні приймати транзакції від спостерігачів. Це припущення є однаковим для будь-якої системи, заснованої на захисті від шахрайства, де типова конструкція має деяке вікно доказу, протягом якого спостерігачі повинні завершити транзакцію для ланцюжка.

Nomad параметризував свою 30-хвилинну затримку на основі існуючих досліджень вартості атаки ймовірнісних ланцюжків остаточності. Ми намагатимемося розібрати дослідження/логіку цієї параметризації у наступному пості у блозі.

Порівняння з іншими підходами

Кожна розподілена система має свої недоліки — в мостовому з’єднанні не буває безкоштовних обідів. Безумовно, найбільш кричущим компромісом оптимістичних систем є додавання 30-хвилинної затримки для передачі, хоча ми вважаємо, що це можна пом’якшити, використовуючи модульну конструкцію, в якій Connext накладається поверх (детальніше про це незабаром!).

M з N мостів

Як ми показали вище, оптимістичні мости пропонують значний крок уперед у плані безпеки та мінімізації довіри порівняно з мостами із зовнішньою перевіркою (мультипідпис, граничне значення, mpc або набір валідаторів). Модель безпеки оптимістичних мостів 1 N може пом’якшити руйнівні вектори атак, пов’язані зі змовою або скомпрометованими ключами.

Наприклад, злом Ronin Bridge вартістю 625 мільйонів доларів був би неможливим, якби Ронін використав оптимістичний міст, навіть якби всі ключі були скомпрометовані.

Аналогічне порівняння можна провести з LayerZero, в якому використовуються два набори, що перекриваються, m з n, які функціонально діють просто як більший набір m з n (де розмір набору учасників і вектори змови стає важче міркувати, якщо тільки ідентичність всіх учасників обох безліч відомо).

Атомні свопи та швидка ліквідність

Локально перевірені системи (наприклад, поточна реалізація nxtp в Connext), хоч і не вимагають довіри та прості у розгортанні, як оптимістичні мости, не підтримують довільну передачу даних ланцюжками.

У цьому сенсі вони гірші за оптимістичні мости для всього, що виходить за рамки переказу коштів і простого виконання контрактів. Тим не менш, цілком імовірно, що вони залишаться дуже корисними як механізм, який пом’якшує інші недоліки оптимістичних мостів, а саме затримку.

Реле заголовка

Легкі клієнтські системи ретрансляції заголовків, такі як IBC, працюють шляхом підтвердження консенсусу цепочки B всередині VM цепочки A. Ретрансляція заголовків дає нам теоретичні найкращі у своєму класі положення про довіру, оскільки набори валидаторів кожної базової цепочки перевіряють другу другу — жодні додаткові сторони (у відмінності від мостів з зовнішньої перевірки) або передбачений про швидкості (как оптимістичні мости) не вводиться. Вони також не залежать від компромісу задержки, як оптимістичні мости.

Тем не менше, естафети заголовків не позбавлені своїх власних проблем:

ZK Мосты

Незважаючи на те, що в даний час у виробництві ще не існує ZK-мостів, можна побудувати мости на основі доказів нульових знань, які використовують ту саму стратегію, що і ретранслятори заголовків для перевірки даних у цепочках.

Подібним ретрансляторам заголовків, zk-мости володіють великими довірними характеристиками та низькою латентністю. Вони також, імовірно, дуже дешево, чим обичні системи ретрансляції заголовків, так як докази консенсусу більше не повинні відбуватися на цепочці. Однак при цьому вони вводять деякі нові компроміси:

  • -Подібно до реле з легким клієнтським заголовком, для перевірки консенсусу для кожного ланцюжка повинна бути розгорнута своя стратегія, і цілком можливо, що вони взагалі не працюватимуть для ORU. Для zk-мостів це ще складніше, враховуючи, що не всі ланцюжки використовують ті самі криптографічні примітиви.
  • Насправді неможливо довести всі моделі консенсусу за нульового знання. У цих випадках потрібен певний гаджет остаточності, який додає нові довірчі припущення.

Цілком ймовірно, що існують і інші недоліки, пов’язані з вартістю перевірка та доступністю даних, хоча вони ще не були ретельно вивчені.

Майбутнє мостобудування оптимістично

До цього часу ми не мали обчислювально дешевих механізмів передачі довільних даних з ланцюжках, які включали б довірених сторонніх верифікаторів. Оптимістичні мости забезпечують дуже високий рівень безпеки/мінімізації довіри за умови збереження простоти та легкості розгортання існуючих мультисигових мостів.

З цієї причини ми неймовірно раді появі Nomad і вважаємо, що він є величезним стрибком вперед для кроссчейна і кросроллап-комунікацій.

Про Nomad

Nomad — це новий дизайн для радикально дешевшого міжланцюжкового зв’язку без перевірки заголовків. Вона стане базовим шаром міжланцюгової комунікаційної мережі, яка забезпечить швидкий та дешевий зв’язок для всіх ланцюжків та ралапів смарт-контрактів.

Протокол взаємодії Nomad вже працює в Ethereum Mainnet, Moonbeam та Milkomeda, і найближчим часом планується його розгортання на всіх основних ланцюжках.

Website | Documentation | Twitter | Discord | Github | Blog

Про Connext

Connext — це мережа для швидкого, безпричинного зв’язку між ланцюжками та рулонами. Це єдина система взаємодії такого типу, яка робить це дешево та швидко, не запроваджуючи жодних нових припущень про довіру. Connext призначена для розробників, які хочуть створювати мости та інші програми для міжланцюгової взаємодії. На сьогоднішній день через мережу пройшло понад 1,3 млрд. доларів США.

Website | Documentation | Twitter | Discord | Github | Blog

Щиро Дякую Ганні Керрол, Джеймсу Прествічу, Пранаю Мохану
та іншим членам команди Nomad за ідеї та відгуки, які сприяли написанню цієї статті!

--

--

--

Love podcasts or audiobooks? Learn on the go with our new app.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store
Andrey Bezruk

Andrey Bezruk

More from Medium

The Core Split Between Freedom and Fascism

Tactical IRV

Indigipreneur Weekly Digest — Issue #20