信用的游戏:被多签和委员会操控的 Rollup 们’ Refined version: ‘信用的游戏:被多签和委员会控制的 Rollup 协议
'信用的游戏:多签和委员会控制的 Rollup 协议'
多签与委员会:Rollup合约升级的难题
1. 引言
随着区块链技术的发展,Rollup作为一种扩展性解决方案,已成为众多项目方追逐的目标。然而,Rollup合约的升级问题却难以解决。本文将探讨Rollup合约升级所面临的困境,并提出降低多签和委员会操控带来的信任风险的方法。
2. Rollup合约升级的挑战
2.1 “人治”问题
Rollup合约升级存在着名为”人治”问题的挑战。通过少数人控制的多签或安全委员会,可以快速更改L1上的合约代码,并盗取用户资产。由于Rollup在开发过程中难免存在各种bug,可能导致错误的结果,因此需要频繁地进行产品迭代并增加新功能。这可能给黑客攻击Rollup合约提供机会,因此Rollup合约需要具备可升级性,通常通过代理合约来实现。
2.2 可升级合约的雷区
然而,Rollup合约可升级的特性也带来了巨大的安全风险。如果升级后的合约中存在恶意代码,例如修改了Rollup自带的Bridge合约提款放行条件,或修改了ZKRollup的Verifier合约判断证明正确性的条件,定序器就可能实施盗币行为。但是,又不能不允许Rollup合约可升级。为了权衡利弊,大多数情况下,Rollup合约升级通过DAO治理、安全委员会或多签授权来决定。此外,还可以通过时间锁设置延时窗口来限制合约升级。然而,大多数Rollup项目方都给自己”留后门”,可以绕过DAO治理和时间锁,通过多签或安全委员会授权立即升级Rollup合约。虽然”合约可立即升级”看似是应急措施,但实际上是一把悬在所有人头顶的达摩克里斯之剑。
3. 受多签和委员会操控的Rollup
根据知名L2研究机构L2 BEAT发布的报告”Upgradeability of Ethereum L2s”以及L2BEAT数据可视化网站,目前主流的Rollup,包括Arbitrum、Optimism、Loopring(路印)、ZKSync Lite、ZKSync Era、Starknet、Polygon ZKEVM等,都存在由多签或委员会授权的可升级合约,并且可以绕过时间锁限制。根据L2BEAT的说法,dYdX和Immutable X比其他已上线主网的主流Rollup更可信任。
4. 降低多签和委员会操控的信任风险
那么,如何降低多签和委员会操控带来的信任风险呢?答案可以归结为反女巫问题。即保证多签/委员会由多个不同、利益重合度低、串谋风险低的实体来控制。目前看来,除了加大DAO去中心化治理的成熟度,邀请有名望有信誉的个人或机构参与多签/委员会,似乎没有更好的办法。当然,也可以通过时间锁限制多签/委员会管理的合约升级行为,但这需要对许多因素进行权衡。
5. 结论
Rollup合约的升级问题一直是一个难题,存在着”人治”和可升级合约的雷区。为了降低多签和委员会操控所带来的信任风险,我们需要保证多签/委员会的去中心化和串谋风险的低概率。目前的解决方案包括加强DAO治理的成熟度以及邀请有信誉的实体参与多签/委员会。此外,通过时间锁来限制合约升级行为也是一种可行的方法。然而,对于每个具体项目来说,需要根据自身情况权衡利弊,找到最适合的解决方案。
参考文献: – 信用的游戏:被多签和委员会操控的Rollup们
