Tác giả nguyên bản: @IsdrsP, Giám đốc nút xác minh Lido
Bản dịch gốc: Nicky, Foresight News
Vào rạng sáng ngày 10 tháng 5, nhà cung cấp dịch vụ oracle Chorus One đã tiết lộ rằng một ví nóng của oracle Lido đã bị hacker tấn công, dẫn đến việc 1.46 ETH bị đánh cắp. Tuy nhiên, theo báo cáo kiểm toán an ninh, sự cố cô lập này có ảnh hưởng hạn chế, vì ví liên quan vốn chỉ được thiết kế cho mục đích vận hành nhẹ.
Việc oracle bị tấn công nghe có vẻ tồi tệ. Tuy nhiên, thiết kế kiến trúc của Lido, giá trị của các bên liên quan và văn hóa của những người đóng góp hướng tới an toàn có nghĩa là tác động của các sự kiện như vậy là rất hạn chế - ngay cả khi oracle bị xâm phạm hoàn toàn, cũng sẽ không gây ra hậu quả thảm khốc.
Vậy, Lido có gì đặc biệt?
Thiết kế suy nghĩ kỹ lưỡng và cơ chế bảo vệ nhiều lớp
Oracle của Lido chịu trách nhiệm truyền tải thông tin từ lớp đồng thuận đến lớp thực thi và báo cáo động thái của giao thức. Chúng không kiểm soát quỹ của người dùng. Một oracle gặp sự cố đơn lẻ chỉ gây ra một số rắc rối nhỏ, ngay cả khi quy trình trọng tài (quorum) bị tấn công cũng sẽ không gây ra hậu quả thảm khốc.
Một oracle đơn lẻ bị tấn công có thể thử nghiệm những hành vi độc hại nào?
A) Nộp báo cáo ác ý (nhưng sẽ bị oracle trung thực bỏ qua);
B) tiêu tốn số dư ETH của địa chỉ oracle cụ thể này (địa chỉ này chỉ được sử dụng để vận hành giao dịch và không chứa tiền của người giữ token).
Oracle thực sự đảm nhận trách nhiệm gì?
Bộ dự đoán của Lido về cơ bản là một cơ chế phân tán bao gồm 9 người tham gia độc lập (cần đạt được sự đồng thuận 5/9), chủ yếu chịu trách nhiệm báo cáo trạng thái giao thức, các chức năng cốt lõi hiện tại bao gồm:
• Phát hành phần thưởng lạm phát token (rebase)
• Xử lý quy trình rút tiền
• Giám sát hiệu suất và thoát nút xác thực, để tham khảo CSM (Mô-đun Bảo mật Cộng đồng)
Những cơ hội dự đoán này sẽ gửi "báo cáo" trạng thái mà giao thức đã quan sát được. Những báo cáo này được sử dụng để tính toán phần thưởng hoặc hình phạt tích lũy hàng ngày, cập nhật số dư stETH, xử lý và cuối cùng xác nhận yêu cầu rút tiền, tính toán yêu cầu rút của người xác thực, và đo lường hiệu suất của người xác thực.
Về bản chất, oracle của Lido khác với cái mà mọi người thường hiểu về "đa chữ ký". Oracle không thể truy cập vào quỹ của những người đặt cược và giao thức, cũng không thể kiểm soát bất kỳ bản hợp đồng giao thức nào, càng không thể tự nâng cấp hoặc quản lý tư cách thành viên. Ngược lại, Lido DAO duy trì danh sách oracle thông qua việc bỏ phiếu.
Chức năng của oracle rất hạn chế - chỉ có thể thực hiện các thao tác sau: nộp báo cáo, những báo cáo này tuân thủ nghiêm ngặt các thuật toán xác định, đã được kiểm toán và mã nguồn mở được thiết kế cho các mục tiêu giao thức khác nhau; thực hiện giao dịch trong các trường hợp cụ thể để thực hiện kết quả báo cáo (chẳng hạn như hoạt động rebase hàng ngày của giao thức).
Nếu 5 trong số 9 nút oracle bị tấn công, tình huống tồi tệ nhất sẽ ra sao? Trong trường hợp này, các nút oracle bị tấn công có thể thông đồng để gửi báo cáo độc hại, nhưng bất kỳ báo cáo nào cũng phải trải qua kiểm tra tính hợp lý do giao thức thực thi trên chuỗi bắt buộc.
Nếu báo cáo vi phạm các kiểm tra hợp lý này, thời gian xử lý sẽ bị kéo dài (thậm chí có thể không bao giờ "thanh toán"), vì các giá trị trong báo cáo phải phù hợp với phạm vi biến động giá trị cho phép trong một khoảng thời gian cụ thể (vài ngày hoặc vài tuần).
Trong trường hợp xấu nhất, điều này có thể có nghĩa là rebase tương tự như stETH (dù là theo chiều hướng tích cực hay tiêu cực) cần nhiều thời gian hơn để có hiệu lực, điều này sẽ ảnh hưởng đến những người nắm giữ stETH, nhưng tác động đến hầu hết các nhà đầu tư là rất nhỏ, trừ khi có ai đó sử dụng stETH với đòn bẩy trong DeFi.
Cũng có những khả năng khác: nếu các oracle độc hại và đồng phạm của chúng nắm giữ một số thông tin, hoặc có khả năng thực hiện các hình phạt lớn (như tịch thu quy mô lớn) trên lớp đồng thuận, thì họ có thể lợi dụng sự chậm trễ trong việc cập nhật stETH của lớp thực thi để thu lợi kinh tế. Ví dụ, nếu xảy ra tịch thu quy mô lớn, một số người có thể bán bớt stETH qua các sàn giao dịch phi tập trung (DEX) trước khi rebase tiêu cực có hiệu lực. Tuy nhiên, điều này sẽ không ảnh hưởng đến các thao tác rút tiền do người dùng khởi xướng trực tiếp qua Lido, vì chế độ "khẩn cấp" (bunker mode) của giao thức sẽ được kích hoạt, đảm bảo quy trình rút tiền được thực hiện một cách công bằng.
Tính minh bạch tức thì và triệt để
Từ đầu đến cuối, tất cả các bên tham gia trong hệ sinh thái Lido - bất kể là người đóng góp, nhà điều hành nút hay nhà điều hành oracle, đều luôn đặt tính minh bạch và thiện chí lên hàng đầu, ưu tiên bảo vệ quyền lợi của người đặt cọc và sự phát triển lành mạnh của toàn bộ hệ sinh thái. Dù là chủ động phát hành các báo cáo phân tích chi tiết sau sự việc, bồi thường tổn thất đặt cọc do ngừng hoạt động cơ sở hạ tầng, hay vì lý do phòng ngừa chủ động rút lui khỏi các nút xác thực, hoặc nhanh chóng phát hành báo cáo sự cố toàn diện, những bên tham gia này luôn coi tính minh bạch là ưu tiên hàng đầu.
Cập nhật và nâng cấp liên tục
Lido luôn đứng ở vị trí tiên phong trong nghiên cứu và phát triển công nghệ, cam kết sử dụng công nghệ chứng minh không kiến thức (ZK) để nâng cao tính bảo mật và mức độ phi tập trung của cơ chế oracle. Ngay từ giai đoạn đầu, đội ngũ đã đầu tư hơn 200.000 USD vào quỹ đặc biệt, hỗ trợ việc thực hiện xác minh dữ liệu tầng đồng thuận mà không cần tín nhiệm thông qua công nghệ chứng minh không kiến thức.
Những khám phá về công nghệ này cuối cùng đã dẫn đến việc phát triển cơ chế "kiểm tra kép" của SP1 Oracle kiến thức không thể hiện bởi nhóm SuccinctLabs sẽ chính thức ra mắt trong năm nay. Cơ chế này cung cấp một lớp xác thực an ninh bổ sung cho các hoạt động rebase âm tiềm năng thông qua dữ liệu từ lớp đồng thuận có thể xác minh.
Hiện tại, các công nghệ zero-knowledge này vẫn đang trong giai đoạn phát triển, các máy ảo zero-knowledge (zkVM) liên quan không chỉ cần trải qua kiểm tra thực chiến, mà còn có những hạn chế như tốc độ tính toán chậm và chi phí tính toán cao, vẫn chưa thể hoàn toàn thay thế oracle đáng tin cậy. Nhưng về lâu dài, các giải pháp này hứa hẹn sẽ trở thành giải pháp thay thế tối thiểu hóa niềm tin cho các oracle hiện có.
Công nghệ Oracle rất phức tạp và có nhiều trường hợp sử dụng khác nhau trong không gian DeFi. Trong giao thức Lido, oracle được thiết kế như các thành phần cốt lõi để giảm đáng kể phạm vi rủi ro tiềm ẩn thông qua kiến trúc phi tập trung hiệu quả, phân tách nhiệm vụ và hệ thống xác thực nhiều lớp.
Nội dung chỉ mang tính chất tham khảo, không phải là lời chào mời hay đề nghị. Không cung cấp tư vấn về đầu tư, thuế hoặc pháp lý. Xem Tuyên bố miễn trừ trách nhiệm để biết thêm thông tin về rủi ro.
Máy Oracle khóa riêng bị rò rỉ chỉ mất 1.4ETH, cơ chế an toàn của Lido được coi là "cấp sách giáo khoa"?
Vào rạng sáng ngày 10 tháng 5, nhà cung cấp dịch vụ oracle Chorus One đã tiết lộ rằng một ví nóng của oracle Lido đã bị hacker tấn công, dẫn đến việc 1.46 ETH bị đánh cắp. Tuy nhiên, theo báo cáo kiểm toán an ninh, sự cố cô lập này có ảnh hưởng hạn chế, vì ví liên quan vốn chỉ được thiết kế cho mục đích vận hành nhẹ.
Việc oracle bị tấn công nghe có vẻ tồi tệ. Tuy nhiên, thiết kế kiến trúc của Lido, giá trị của các bên liên quan và văn hóa của những người đóng góp hướng tới an toàn có nghĩa là tác động của các sự kiện như vậy là rất hạn chế - ngay cả khi oracle bị xâm phạm hoàn toàn, cũng sẽ không gây ra hậu quả thảm khốc.
Vậy, Lido có gì đặc biệt?
Thiết kế suy nghĩ kỹ lưỡng và cơ chế bảo vệ nhiều lớp
Oracle của Lido chịu trách nhiệm truyền tải thông tin từ lớp đồng thuận đến lớp thực thi và báo cáo động thái của giao thức. Chúng không kiểm soát quỹ của người dùng. Một oracle gặp sự cố đơn lẻ chỉ gây ra một số rắc rối nhỏ, ngay cả khi quy trình trọng tài (quorum) bị tấn công cũng sẽ không gây ra hậu quả thảm khốc.
Một oracle đơn lẻ bị tấn công có thể thử nghiệm những hành vi độc hại nào?
A) Nộp báo cáo ác ý (nhưng sẽ bị oracle trung thực bỏ qua);
B) tiêu tốn số dư ETH của địa chỉ oracle cụ thể này (địa chỉ này chỉ được sử dụng để vận hành giao dịch và không chứa tiền của người giữ token).
Oracle thực sự đảm nhận trách nhiệm gì?
Bộ dự đoán của Lido về cơ bản là một cơ chế phân tán bao gồm 9 người tham gia độc lập (cần đạt được sự đồng thuận 5/9), chủ yếu chịu trách nhiệm báo cáo trạng thái giao thức, các chức năng cốt lõi hiện tại bao gồm:
• Phát hành phần thưởng lạm phát token (rebase)
• Xử lý quy trình rút tiền
• Giám sát hiệu suất và thoát nút xác thực, để tham khảo CSM (Mô-đun Bảo mật Cộng đồng)
Những cơ hội dự đoán này sẽ gửi "báo cáo" trạng thái mà giao thức đã quan sát được. Những báo cáo này được sử dụng để tính toán phần thưởng hoặc hình phạt tích lũy hàng ngày, cập nhật số dư stETH, xử lý và cuối cùng xác nhận yêu cầu rút tiền, tính toán yêu cầu rút của người xác thực, và đo lường hiệu suất của người xác thực.
Về bản chất, oracle của Lido khác với cái mà mọi người thường hiểu về "đa chữ ký". Oracle không thể truy cập vào quỹ của những người đặt cược và giao thức, cũng không thể kiểm soát bất kỳ bản hợp đồng giao thức nào, càng không thể tự nâng cấp hoặc quản lý tư cách thành viên. Ngược lại, Lido DAO duy trì danh sách oracle thông qua việc bỏ phiếu.
Chức năng của oracle rất hạn chế - chỉ có thể thực hiện các thao tác sau: nộp báo cáo, những báo cáo này tuân thủ nghiêm ngặt các thuật toán xác định, đã được kiểm toán và mã nguồn mở được thiết kế cho các mục tiêu giao thức khác nhau; thực hiện giao dịch trong các trường hợp cụ thể để thực hiện kết quả báo cáo (chẳng hạn như hoạt động rebase hàng ngày của giao thức).
Nếu 5 trong số 9 nút oracle bị tấn công, tình huống tồi tệ nhất sẽ ra sao? Trong trường hợp này, các nút oracle bị tấn công có thể thông đồng để gửi báo cáo độc hại, nhưng bất kỳ báo cáo nào cũng phải trải qua kiểm tra tính hợp lý do giao thức thực thi trên chuỗi bắt buộc.
Nếu báo cáo vi phạm các kiểm tra hợp lý này, thời gian xử lý sẽ bị kéo dài (thậm chí có thể không bao giờ "thanh toán"), vì các giá trị trong báo cáo phải phù hợp với phạm vi biến động giá trị cho phép trong một khoảng thời gian cụ thể (vài ngày hoặc vài tuần).
Trong trường hợp xấu nhất, điều này có thể có nghĩa là rebase tương tự như stETH (dù là theo chiều hướng tích cực hay tiêu cực) cần nhiều thời gian hơn để có hiệu lực, điều này sẽ ảnh hưởng đến những người nắm giữ stETH, nhưng tác động đến hầu hết các nhà đầu tư là rất nhỏ, trừ khi có ai đó sử dụng stETH với đòn bẩy trong DeFi.
Cũng có những khả năng khác: nếu các oracle độc hại và đồng phạm của chúng nắm giữ một số thông tin, hoặc có khả năng thực hiện các hình phạt lớn (như tịch thu quy mô lớn) trên lớp đồng thuận, thì họ có thể lợi dụng sự chậm trễ trong việc cập nhật stETH của lớp thực thi để thu lợi kinh tế. Ví dụ, nếu xảy ra tịch thu quy mô lớn, một số người có thể bán bớt stETH qua các sàn giao dịch phi tập trung (DEX) trước khi rebase tiêu cực có hiệu lực. Tuy nhiên, điều này sẽ không ảnh hưởng đến các thao tác rút tiền do người dùng khởi xướng trực tiếp qua Lido, vì chế độ "khẩn cấp" (bunker mode) của giao thức sẽ được kích hoạt, đảm bảo quy trình rút tiền được thực hiện một cách công bằng.
Tính minh bạch tức thì và triệt để
Từ đầu đến cuối, tất cả các bên tham gia trong hệ sinh thái Lido - bất kể là người đóng góp, nhà điều hành nút hay nhà điều hành oracle, đều luôn đặt tính minh bạch và thiện chí lên hàng đầu, ưu tiên bảo vệ quyền lợi của người đặt cọc và sự phát triển lành mạnh của toàn bộ hệ sinh thái. Dù là chủ động phát hành các báo cáo phân tích chi tiết sau sự việc, bồi thường tổn thất đặt cọc do ngừng hoạt động cơ sở hạ tầng, hay vì lý do phòng ngừa chủ động rút lui khỏi các nút xác thực, hoặc nhanh chóng phát hành báo cáo sự cố toàn diện, những bên tham gia này luôn coi tính minh bạch là ưu tiên hàng đầu.
Cập nhật và nâng cấp liên tục
Lido luôn đứng ở vị trí tiên phong trong nghiên cứu và phát triển công nghệ, cam kết sử dụng công nghệ chứng minh không kiến thức (ZK) để nâng cao tính bảo mật và mức độ phi tập trung của cơ chế oracle. Ngay từ giai đoạn đầu, đội ngũ đã đầu tư hơn 200.000 USD vào quỹ đặc biệt, hỗ trợ việc thực hiện xác minh dữ liệu tầng đồng thuận mà không cần tín nhiệm thông qua công nghệ chứng minh không kiến thức.
Những khám phá về công nghệ này cuối cùng đã dẫn đến việc phát triển cơ chế "kiểm tra kép" của SP1 Oracle kiến thức không thể hiện bởi nhóm SuccinctLabs sẽ chính thức ra mắt trong năm nay. Cơ chế này cung cấp một lớp xác thực an ninh bổ sung cho các hoạt động rebase âm tiềm năng thông qua dữ liệu từ lớp đồng thuận có thể xác minh.
Hiện tại, các công nghệ zero-knowledge này vẫn đang trong giai đoạn phát triển, các máy ảo zero-knowledge (zkVM) liên quan không chỉ cần trải qua kiểm tra thực chiến, mà còn có những hạn chế như tốc độ tính toán chậm và chi phí tính toán cao, vẫn chưa thể hoàn toàn thay thế oracle đáng tin cậy. Nhưng về lâu dài, các giải pháp này hứa hẹn sẽ trở thành giải pháp thay thế tối thiểu hóa niềm tin cho các oracle hiện có.
Công nghệ Oracle rất phức tạp và có nhiều trường hợp sử dụng khác nhau trong không gian DeFi. Trong giao thức Lido, oracle được thiết kế như các thành phần cốt lõi để giảm đáng kể phạm vi rủi ro tiềm ẩn thông qua kiến trúc phi tập trung hiệu quả, phân tách nhiệm vụ và hệ thống xác thực nhiều lớp.
Liên kết gốc
: