Эффективность капитала против безопасности
TL;DR
- Мы утверждаем, что поставщики ликвидности обязательно предпочтут ZKR-Uniswap (Uniswap вместо ZK-Rollup) OR-Uniswap (Uniswap вместо Optimistic Rollup), поскольку ZKR-Uniswap будет *гораздо* более эффективным с точки зрения капитала.
- Повышение эффективности использования капитала в OR требует сокращения времени задержки оспаривания (DTD), что удешевляет атаку Fraud + Censor на L1.
- Это фундаментальная дилемма OR между эффективностью капитала и безопасностью:
повышение эффективности капитала должно снизить безопасность.
Background
Повышение цены газа на Ethereum в последние месяцы вызвало большой интерес к решениям для масштабирования, в частности к решениям для масштабирования Layer-2 (L2).В целом их можно разделить на две группы: доказательства достоверности и доказательства мошенничества.Мы сравнивали их ранее здесь и здесь .
Доказательства валидности включают ZK-Rollups (доступность данных в сети) и Validium (доступность данных вне сети). Несколько таких систем уже развернуты в основной сети Ethereum, включая нашу собственную StarkEx .
Доказательства мошенничества включают оптимистичные накопительные пакеты (OR), и некоторые из них приближаются к общедоступным тестовым сетям. OR — это последнее поколение решений для защиты от мошенничества, и они идут по стопам Lightning и Plasma. OR привлекательны для любого разработчика dApp, страдающего от перегрузки на Ethereum, поскольку они обещают возможность взять код Solidity «как есть» и перенести dApp в масштабируемую и недорогую OR.
Основная концепция OR: в основную цепочку отправляются только данные tx. Вычисления и хранение больше не выполняются в основной цепочке; вместо этого они перемещаются в Rollup, где производители блоков и валидаторы выполняют эту вычислительную работу. Целостность системы обеспечивается за счет предположения, что по крайней мере один пользователь своевременно обнаружит и сообщит о мошенничестве в основную цепочку, т.е. в течение времени задержки оспаривания блока (DTD). После завершения DTD блок считается завершенным.
Анализ
Ниже мы проанализируем OR с точки зрения поставщиков ликвидности (LP) и пользователей.
Предположим, что такое большое приложение, как Uniswap, легко мигрирует в операционную за счет простого переноса существующего кода Solidity. Давайте рассмотрим эту OR с точки зрения LP и пользователей.
Поставщики ликвидности (LP)
Как упоминалось выше, OR определяют временную задержку разрешения спора (DTD), позволяющую обнаруживать случаи мошенничества и сообщать о них. Время вывода средств должно выходить за рамки DTD, иначе система может легко стать неплатежеспособной в результате кражи.
Соображения безопасности мотивируют расширение DTD, чтобы сделать атаки, такие как следующие, более дорогими:
- Валидатор OR обнаруживает мошенничество и отправляет сообщение Fraction_detected в мемпул . Они якобы выполнили свою роль: мошенничество было обнаружено и «заявлено». Но для того, чтобы действительно сообщать о мошенничестве , необходимо добыть его.
- Злоумышленник арендует достаточную хеш-мощность (в настоящее время оценивается в 300 тысяч долларов в час ) на время действия DTD. Злоумышленник работает над майнингом блоков, чтобы заменить любой представленный блок, который включает в себя Fraction_detected . Думайте об этом как о скрытой атаке на мошенничество_обнаружено . Почему молчит? Потому что с точки зрения невиновного стороннего наблюдателя сеть выглядит как никогда гладкой — не было добыто ни одного B транзакций, и, конечно же, никаких таких транзакций не было возвращено.
Мы утверждаем, что существует компромисс между эффективностью капитала и безопасностью. Мы опишем, почему он возникает, и объясним его последствия. Мы предположим, что продолжительность DTD составляет 1 неделю (было предложено использовать DTD продолжительностью всего 4,5 часа ; некоторые считают, что это опасно мало ). точка на кривой компромисса между безопасностью и эффективностью капитала. В зависимости от продолжительности DTD злоумышленнику придется потратить от $Ms до $10Ms. Сумма, которую им придется потратить, не зависит напрямую от награды, которую преследует злоумышленник — если у OR есть $B, тратить $M на атаку — это рационально.
Альтернативная стоимость резко влияет на dApps из-за действий LP — мы видели, как ликвидность перемещалась из Uniswap в SushiSwap и обратно в течение нескольких дней. Сравните OR-Uniswap, Uniswap на OR, с ZKR-Uniswap, вилкой Uniswap на соседнем ZK-Rollup. Теперь LP может заблокировать свои средства в OR-Uniswap на неделю или в ZKR-Uniswap примерно на 30 минут (цикл генерации доказательств). ZKR-Uniswap имеет фундаментальное преимущество, которое токеномике или другим стимулам будет трудно превзойти в долгосрочной перспективе.
Нас часто спрашивают: не решит ли проблема быстрое снятие средств ? Разве это не уравнивает игровое поле между OR и ZK-Rollups?
Нет. Они просто улучшат UX, сократив время вывода средств, не повысив эффективность использования капитала: в смарт-контракте L-1 необходимо будет зафиксировать достаточное количество средств для финансирования любого вывода средств, который, как ожидается, произойдет в течение всего DTD.
Кроме того, быстрый вывод средств можно использовать только для взаимозаменяемых активов, а не для NFT. Даже для взаимозаменяемых токенов альтернативная стоимость востребованного токена может быть непомерно высокой. Фактически, альтернативная стоимость высока именно тогда, когда многие люди хотят обменять дефицитный актив: представьте себе стоимость предоставления достаточного количества YFI для вывода средств в течение недели, в течение этой недели, когда все пространство DeFi надеется обменять их. Если бы вам предложили заблокировать свой YFI на неделю пикового интереса, какой доход вы бы ожидали?
Некоторые могут заявить, что LP не должны беспокоиться, поскольку все DeFi просто будут тяготеть к одному OR, что позволит пользователям нечасто выходить из него и совершать там сделки недорого.
Обратите внимание, что это делает сильное предположение, что никакие dApps не будут жить за пределами этого OR: ни на L1, ни на ZK-Rollups и т. д.
Мы утверждаем, что даже в этом сценарии по мере увеличения пропускной способности OR снижается его безопасность. Почему? Давайте рассмотрим ситуацию с точки зрения Алисы, пользователя.
Пользователи
- Доверие: Алиса может доверять OR, или, точнее, тому, что есть по крайней мере одна сторона, которая подтверждает текущее состояние OR. Это означает, что с точки зрения Алисы операционная система по сути является доверенной системой. Надежные системы работают в поразительном масштабе и часто являются основой очень ценных предприятий (например, Coinbase, Binance и обычных банков) — эти предприятия усердно работают, чтобы не обмануть доверие, поскольку на кону стоит их репутация.
- Trustless: Алиса может сама проверить состояние операционной. К сожалению, стоимость проверки OR линейно зависит от его пропускной способности: если OR масштабирует Ethereum, например, в 20 раз, вычислительная нагрузка для проверки состояния OR также увеличится в 20 раз, как и стоимость проверки. Проверка высокопроизводительного ОР станет занятием для немногих богатых и заинтересованных.
Это не абстрактная проблема даже сегодня: проверка Эфириума в настоящее время является альтруистической деятельностью. Некоторые считают, что текущие затраты на проверку в Ethereum не являются незначительными, до такой степени, что они наносят ущерб децентрализации: меньше участников сети проверяют ее целостность из-за расходов. Другими словами, снижение децентрализации и снижение уровня безопасности в этом отношении вызывают реальную озабоченность.
Вывод
Операционные сталкиваются с дилеммой: они не могут сравниться с эффективностью капитала ZK-Rollups, так как это повредит безопасности операционной. Это неотъемлемая проблема ИЛИ, а не деталь дизайна. Из-за этого любое приложение, столкнувшееся с выбором работы на OR или ZK-Rollup, предпочтет последнее, поскольку именно туда пойдут его поставщики ликвидности.
Спасибо Дэну Робинсону за комментарий к черновику этого поста.