Từ Blast đến backdoor đa ký trên Layer2: Kỹ thuật hay sự đồng thuận xã hội quan trọng hơn?
Tuyển chọn TechFlowTuyển chọn TechFlow
Từ Blast đến backdoor đa ký trên Layer2: Kỹ thuật hay sự đồng thuận xã hội quan trọng hơn?
Sự "trị vì con người" trong Web3 về bản chất khác biệt so với sự "trị vì con người" trong các quốc gia chủ quyền thực tế.
Chuyên sâu báo cáo Web3Tác giả: Faust, Geekerweb3
Dẫn luận: Ẩn ý đằng sau Blast khi đối mặt với các Layer2 chính thống như Polygon zkEVM có lẽ là “Vương hầu tướng tá, há phải giống nòi nào?” Đã cùng không đủ phi tập trung, bản chất đều dựa vào sự đồng thuận xã hội để đảm bảo an toàn, thì hà cớ gì chỉ trích Blast vì nồng độ Layer2 chưa đủ cao, lại “tự làm đau nhau”?
Thật vậy, việc Blast dùng đa chữ ký 3/5 để kiểm soát địa chỉ nạp tiền đã bị chỉ trích rộng rãi, nhưng phần lớn các Layer2 cũng quản lý hợp đồng bằng đa chữ ký; trước đây Optimism thậm chí từng chỉ dùng một địa chỉ EOA duy nhất để kiểm soát quyền nâng cấp hợp đồng. Trong bối cảnh gần như tất cả Layer2 chính thống đều tồn tại rủi ro về đa chữ ký và các lỗ hổng khác, việc chỉ trích Blast thiếu an toàn dường như chỉ là thái độ khinh thường của giới tinh hoa kỹ thuật đối với một dự án "kiếm tiền nhanh".
Tuy nhiên, bỏ qua chuyện ai hơn ai, ý nghĩa tồn tại của blockchain chủ yếu nằm ở giải quyết vấn đề thiếu minh bạch thông tin trong đồng thuận xã hội / quản trị dân chủ, và khi tuyên truyền chủ nghĩa kỹ thuật tối thượng, chúng ta phải thừa nhận rằng bản thân sự đồng thuận xã hội quan trọng hơn công nghệ, bởi nó mới là nền tảng đảm bảo mọi dự án Web3 vận hành hiệu quả. Tóm lại, công nghệ phục vụ cho sự đồng thuận xã hội, một dự án dù công nghệ vượt trội đến đâu mà không được đại chúng công nhận, thực chất cũng chỉ là một cái ruột thừa hoành tráng.
Chính văn: Gần đây, dự án mới Blast do người sáng lập Blur ra mắt đã gây sốt toàn mạng, giao thức "sinh lời tài sản" này mang danh Layer2 đặt một địa chỉ nạp trên chuỗi ETH, người dùng gửi tiền vào địa chỉ Blast, số tiền này sẽ được sử dụng để staking gốc trên mạng ETH, đưa vào MakerDAO kiếm lãi,... lợi nhuận thu được sẽ hoàn trả cho người dùng.
Nhờ hào quang của người sáng lập và cơ chế hấp dẫn, Blast đã huy động được 20 triệu USD từ nhà đầu tư đứng đầu là Paradigm, đồng thời thu hút vô số nhà đầu tư nhỏ lẻ tham gia. Chưa đầy 5 ngày ra mắt, TVL (tổng giá trị khóa) tại địa chỉ nạp của Blast đã vượt quá 400 triệu USD. Không ngoa khi nói rằng, Blast giống như một liều thuốc mạnh giữa mùa thị trường gấu dài đằng đẵng, ngay lập tức khuấy động cơn cuồng nhiệt của cộng đồng.
Tuy nhiên, song hành với thành công ban đầu, Blast cũng vấp phải nhiều nghi ngờ từ các chuyên gia. Ví dụ, cả L2BEAT và kỹ sư của Polygon đều thẳng thắn chỉ ra: hiện tại Blast chỉ đơn giản là triển khai một hợp đồng Deposit nhận tiền trên Ethereum, hợp đồng này có thể được nâng cấp dưới sự kiểm soát của đa chữ ký 3/5, nói cách khác, logic mã code có thể bị viết lại, muốn chạy trốn (rug) thì vẫn có thể chạy trốn. Đồng thời, Blast chỉ tự xưng muốn hiện thực cấu trúc Rollup, nhưng hiện tại nó chỉ là một cái vỏ rỗng, chức năng rút tiền còn phải đợi đến tháng 2 năm sau mới ra mắt.
Blast cũng đáp trả sắc bén rằng, phần lớn Rollup đều phụ thuộc vào một nhóm đa chữ ký để quản lý quyền nâng cấp hợp đồng, nên việc các Layer2 khác chỉ trích "Blast dùng đa chữ ký" chẳng qua là "người đi năm bước cười người đi năm mươi bước".
Vấn đề đa chữ ký ở Layer2 là chuyện đã có từ lâu
Thực tế, vấn đề hợp đồng đa chữ ký ở Layer2 là điều đã tồn tại từ lâu. Ngay từ tháng 7 năm nay, L2BEAT từng tiến hành khảo sát chuyên sâu về khả năng nâng cấp hợp đồng Rollup —所谓“có thể nâng cấp”, chính là thay đổi địa chỉ hợp đồng logic mà proxy hợp đồng trỏ tới, nhằm đạt được hiệu ứng thay đổi logic hợp đồng. Nếu hợp đồng mới sau khi thay đổi chứa logic độc hại, đội ngũ vận hành Layer2 hoàn toàn có thể đánh cắp tài sản người dùng.
(Nguồn ảnh: wtf academy)
Theo dữ liệu từ L2BEAT, hiện tại Arbitrum, Optimism, Loopring, ZKSync Lite, ZkSync Era, Starknet, Polygon ZKEVM và các Rollup chính thống khác đều sử dụng hợp đồng nâng cấp được ủy quyền bằng đa chữ ký, có thể bỏ qua giới hạn time lock để nâng cấp ngay lập tức. (Có thể đọc bài viết trước của Geekerweb3: Trò chơi tín dụng: Những Rollup bị kiểm soát bởi đa chữ ký và hội đồng)
Điều khiến người ta ngạc nhiên là, trước đây Optimism chỉ dùng một địa chỉ EOA duy nhất để quản lý nâng cấp hợp đồng, thậm chí chức năng đa chữ ký cũng chỉ được thêm vào vào tháng 10 năm nay. Còn về Polygon zkEVM – người từng lên tiếng chỉ trích Blast – cũng có thể dưới sự ủy quyền của đa chữ ký 6/8 thực hiện "tiếp quản khẩn cấp" đối với hợp đồng Rollup, biến Layer2 từ quản trị hợp đồng thành "quản trị thuần túy do con người". Điều thú vị là, kỹ sư Polygon từng chỉ trích Blast trong đoạn văn trên cũng nhắc đến điểm này, nhưng lại trình bày một cách mập mờ.
Vậy thì ý nghĩa tồn tại của chế độ "khẩn cấp" này là gì? Tại sao phần lớn Rollup đều tự để lại một nút bấm khẩn cấp hay cửa hậu? Theo lời Vitalik trước đây, trong quá trình phát triển, Rollup cần thường xuyên cập nhật các hợp đồng triển khai trên ETH; nếu không áp dụng các phương pháp nâng cấp như proxy hợp đồng, sẽ khó lòng thực hiện hiệu quả việc cải tiến.
Ngoài ra, các hợp đồng thông minh nắm giữ lượng tài sản lớn có thể tiềm ẩn những lỗi rất khó phát hiện, và đội ngũ phát triển Layer2 khó tránh khỏi sơ suất. Nếu một số lỗ hổng bị hacker lợi dụng, có thể dẫn đến mất mát tài sản nghiêm trọng. Vì vậy, dù là Layer2 hay giao thức DeFi, họ thường đều thiết lập một nút bấm khẩn cấp, khi cần thiết, các "thành viên hội đồng" sẽ can thiệp để ngăn chặn các sự kiện xấu xảy ra.
Tất nhiên, các hội đồng được thiết lập bởi Layer2 thường có thể bỏ qua giới hạn time lock để nâng cấp mã hợp đồng ngay lập tức, theo một góc nhìn nào đó, họ dường như là mối lo ngại lớn hơn cả hacker và các yếu tố bên ngoài. Hay nói cách khác, bất kể thế nào, các hợp đồng thông minh nắm giữ tài sản khổng lồ khó lòng thoát khỏi mức độ nào đó của "giả định tin cậy", tức là giả định rằng những người kiểm soát đa chữ ký phía sau hợp đồng sẽ không làm điều ác. Trừ khi hợp đồng được thiết kế là không thể nâng cấp, và không tồn tại lỗi nào có thể đe dọa đến an toàn tài sản người dùng.
Thực tế hiện nay, các Layer2 chính thống hoặc cho phép hội đồng do mình thiết lập cập nhật hợp đồng ngay lập tức, hoặc áp dụng time lock với thời gian giới hạn ngắn (ví dụ như bất kỳ ai muốn nâng cấp hợp đồng dYdX đều phải chịu ít nhất 48 giờ trì hoãn). Nếu người dùng phát hiện hội đồng dự định chèn logic độc hại nhằm đánh cắp tài sản vào mã code phiên bản mới của hợp đồng, về lý thuyết họ sẽ có đủ thời gian phản ứng để rút tài sản khẩn cấp về Layer1.
(Về tính năng rút tiền cưỡng chế và buồng thoát hiểm, có thể đọc bài viết trước của chúng tôi: Với Layer2, tính năng rút tiền cưỡng chế và buồng thoát hiểm quan trọng đến mức nào?)
(Time lock là việc sau một khoảng thời gian trì hoãn, bạn mới được phép thực hiện một số thao tác nhất định)
Tuy nhiên, vấn đề then chốt nằm ở chỗ, nhiều Layer2 thậm chí còn chưa thiết lập chức năng rút tiền cưỡng chế có thể bỏ qua bộ sắp xếp (sequencer), Layer2 như vậy nếu muốn làm điều ác, có thể bắt bộ sắp xếp từ chối mọi yêu cầu rút tiền, sau đó chuyển tài sản người dùng vào tài khoản L2 do chính Layer2 kiểm soát. Sau đó, đội vận hành tiếp tục cập nhật hợp đồng Rollup theo nhu cầu, đợi hết thời gian trì hoãn time lock, rồi chuyển toàn bộ tài sản người dùng lên chuỗi ETH và rút đi.
Tất nhiên, tình hình thực tế có thể còn tồi tệ hơn tôi nói, vì đa số Rollup có thể nâng cấp hợp đồng mà không bị giới hạn time lock, nghĩa là gần như có thể thực hiện vụ lừa đảo hàng trăm triệu đô la trong chớp mắt.
Layer2 thực sự phi tin cậy nên để thời gian trì hoãn nâng cấp hợp đồng lớn hơn thời gian trì hoãn rút tiền cưỡng chế
Thực tế, để giải quyết vấn đề phi tin cậy / an toàn của Layer2, cần thực hiện những điều sau:
Thiết lập một cổng rút tiền chống kiểm duyệt trên Layer1, người dùng có thể trực tiếp rút tài sản từ Layer2 lên chuỗi ETH mà không cần sự cho phép của bộ sắp xếp. Thời gian trì hoãn rút tiền cưỡng chế không nên quá lâu, nhằm đảm bảo tài sản người dùng có thể nhanh chóng thoát khỏi L2;
Bất kỳ ai muốn nâng cấp hợp đồng Layer2 đều phải chịu giới hạn trì hoãn time lock, việc nâng cấp hợp đồng nên diễn ra muộn hơn việc kích hoạt rút tiền cưỡng chế. Ví dụ, hiện tại dYdX có ít nhất 48 giờ trì hoãn khi nâng cấp hợp đồng, vậy thời gian trì hoãn kích hoạt rút tiền cưỡng chế / chế độ buồng thoát hiểm nên được rút ngắn dưới 48 giờ. Như vậy, sau khi người dùng phát hiện đội phát triển dYdX định chèn mã độc hại vào hợp đồng phiên bản mới, họ có thể rút tài sản từ Layer2 về Layer1 trước khi hợp đồng được cập nhật.
Hiện tại, đa số Rollup đã triển khai cơ chế rút tiền cưỡng chế / buồng thoát hiểm không thỏa mãn điều kiện trên. Ví dụ, thời gian trì hoãn rút tiền cưỡng chế / buồng thoát hiểm của dYdX dài nhất là 7 ngày, nhưng thời gian trì hoãn nâng cấp hợp đồng của hội đồng dYdX chỉ 48 giờ, nghĩa là hội đồng có thể triển khai hợp đồng mới trước khi người dùng kịp rút tiền, và đánh cắp tài sản trước khi người dùng kịp trốn thoát.
Nhìn từ góc độ này, ngoại trừ Fuel, ZKSpace và Degate, các Rollup khác đều không thể đảm bảo xử lý xong việc rút tiền cưỡng chế của người dùng trước khi nâng cấp hợp đồng, đều tồn tại mức độ đáng kể của giả định tin cậy.
Nhiều dự án sử dụng giải pháp Validium (lưu trữ dữ liệu DA bên ngoài chuỗi Ethereum) tuy có thời gian trì hoãn nâng cấp hợp đồng rất dài (ví dụ 8 ngày hoặc hơn), nhưng Validium thường phụ thuộc vào các nút DAC bên ngoài chuỗi để công bố dữ liệu mới nhất, trong khi DAC có thể phát động tấn công giữ lại dữ liệu khiến chức năng rút tiền cưỡng chế mất tác dụng, do đó không phù hợp với mô hình an toàn đã nêu trên. (Có thể đọc bài viết trước của chúng tôi: 《Khai trừ Validium? Hiểu lại Layer2 từ góc nhìn của người đề xuất Danksharding》)
Tới đây, chúng ta dường như có thể rút ra kết luận rõ ràng và súc tích: Ngoại trừ Fuel, ZKSpace và DeGate, các giải pháp Layer2 khác đều không phải là phi tin cậy. Người dùng buộc phải tin tưởng đội phát triển Layer2 hoặc hội đồng an toàn do họ thiết lập sẽ không làm điều ác, hoặc tin tưởng các nút DAC bên ngoài chuỗi sẽ không cấu kết, hoặc tin tưởng bộ sắp xếp sẽ không kiểm duyệt giao dịch của bạn (từ chối yêu cầu của bạn). Layer2 thực sự an toàn, chống kiểm duyệt, phi tin cậy hiện nay chỉ có ba dự án trên.
An toàn không chỉ đạt được bằng công nghệ, mà phải đưa vào sự đồng thuận xã hội
Thực ra, chủ đề chúng ta đang bàn hôm nay không hề mới mẻ, việc Layer2 bản chất phụ thuộc vào uy tín của đội phát triển – như bài viết này chỉ ra – đã bị vô số người vạch trần từ lâu. Ví dụ như người sáng lập Avalanche và Solana từng chỉ trích gay gắt điều này, nhưng vấn đề nằm ở chỗ, các giả định tin cậy tồn tại trong Layer2 cũng tồn tại tương tự trong Layer1 và tất cả các dự án blockchain.
Ví dụ, chúng ta phải giả định rằng các nút Validator chiếm 2/3 trọng số stake trên mạng Solana sẽ không cấu kết, phải giả định hai mỏ đào lớn nhất chiếm phần lớn sức mạnh băm của Bitcoin sẽ không liên minh phát động tấn công 51% để hoàn tác chuỗi dài nhất. Dù các giả định này rất khó bị phá vỡ, nhưng "rất khó" không có nghĩa là "không thể".
Khi một blockchain Layer1 truyền thống xảy ra hành vi ác ý gây tổn thất nặng nề cho tài sản người dùng, cuối cùng thường sẽ thông qua cách thức đồng thuận xã hội để loại bỏ chuỗi có vấn đề, fork ra một chuỗi mới (tham khảo sự kiện The DAO năm 2016 khiến Ethereum fork thành ETH và ETC). Nếu có người cố gắng fork ác ý, cộng đồng cũng phải thông qua đồng thuận xã hội để chọn theo chuỗi nào "đáng tin cậy hơn". (Ví dụ như phần lớn mọi người không theo dự án ETHW.)
Đồng thuận xã hội là nền tảng cốt lõi đảm bảo dự án blockchain và các giao thức DeFi mà nó hỗ trợ vận hành trật tự, kể cả kiểm toán mã hợp đồng, thành viên cộng đồng tiết lộ vấn đề của một dự án,... các cơ chế sửa sai này đều là một phần của đồng thuận xã hội. Trong khi đó, việc phi tập trung thuần túy dựa vào công nghệ thường không phát huy được tác dụng tối đa, và thường chỉ dừng lại ở lý thuyết.
Thứ thực sự phát huy tác dụng trong thời khắc then chốt thường là đồng thuận xã hội không liên quan đến công nghệ, là giám sát dư luận không liên quan đến luận văn học thuật, là mức độ chấp nhận của quần chúng không liên quan đến câu chuyện công nghệ.
Hãy thử tưởng tượng một chuỗi công khai POW chỉ vài trăm người biết đến, tạm thời ở trạng thái phi tập trung cao độ vì chưa xuất hiện tình trạng một一家 độc đại. Nhưng nếu một công ty máy đào đột nhiên đổ toàn bộ sức mạnh băm của mình vào chuỗi POW này, khiến sức mạnh riêng họ cao gấp nhiều lần tổng sức mạnh của tất cả thợ đào khác, lúc đó, tính phi tập trung của chuỗi POW sẽ sụp đổ trong chớp mắt. Nếu công ty máy đào này muốn làm điều ác, con người chỉ còn cách dựa vào đồng thuận xã hội để sửa sai.
Ngược lại, xét về các Layer2, dù cơ chế thiết kế tinh vi đến đâu, cũng không thể tránh khỏi vòng đồng thuận xã hội, ngay cả các L2 như Fuel, DeGate và ZKSpace mà đội vận hành gần như không thể làm điều ác, chúng cũng dựa vào Layer1 - Ethereum - vốn bản thân cực kỳ phụ thuộc vào đồng thuận xã hội / cộng đồng - giám sát dư luận.
Hơn nữa, việc chúng ta cho rằng hợp đồng không thể nâng cấp là vì tin vào lời khẳng định từ các tổ chức kiểm toán hợp đồng và L2BEAT, nhưng các tổ chức này có thể sơ suất hoặc nói dối. Dù xác suất này cực kỳ thấp, chúng ta vẫn phải thừa nhận rằng chúng ta vẫn đưa vào một giả định tin cậy nhỏ bé.
Tuy nhiên, thuộc tính mở mã nguồn dữ liệu của blockchain cho phép bất kỳ ai, kể cả hacker, kiểm tra xem hợp đồng có chứa logic độc hại hay không, điều này thực tế đã giảm thiểu tối đa giả định tin cậy, làm giảm đáng kể chi phí của đồng thuận xã hội. Khi chi phí này giảm xuống mức đủ thấp, chúng ta có thể mặc định đây chính là "phi tin cậy".
Tất nhiên, ngoại trừ ba dự án đã nêu, các Layer2 khác căn bản không có khái niệm phi tin cậy, thứ thực sự đảm bảo an toàn trong thời khắc then chốt vẫn là đồng thuận xã hội, thành phần công nghệ nhiều khi chỉ tiện lợi cho việc triển khai giám sát đồng thuận xã hội mà thôi. Nếu một dự án công nghệ vượt trội nhưng không nhận được sự công nhận rộng rãi, không thu hút được cộng đồng đông đảo, thì quản trị phi tập trung và bản thân đồng thuận xã hội của nó cũng khó lòng triển khai hiệu quả.
Công nghệ dĩ nhiên quan trọng, nhưng nhiều khi, khả năng được công nhận rộng rãi, khả năng xây dựng văn hóa cộng đồng mạnh mẽ, lại là yếu tố quan trọng hơn, có giá trị hơn và thuận lợi hơn cho sự phát triển của dự án.
Chúng ta hãy lấy ví dụ zkRollup, hiện nay nhiều zkRollup chỉ hiện thực hệ thống bằng chứng hiệu lực và dữ liệu DA lên chuỗi, họ có thể chứng minh bên ngoài rằng các giao dịch người dùng, mọi chuyển khoản họ xử lý đều hợp lệ, không phải do bộ sắp xếp giả mạo, trên chuyện "chuyển đổi trạng thái" không làm điều ác, nhưng các kịch bản làm điều ác của đội vận hành Layer2 hoặc bộ sắp xếp không chỉ có mỗi kiểu này.
Chúng ta có thể coi gần đúng rằng, hệ thống bằng chứng ZK bản chất chỉ giảm mạnh chi phí giám sát Layer2 của con người, nhưng nhiều thứ là công nghệ bản thân không thể giải quyết, buộc phải dựa vào sự can thiệp của "quản trị con người" hoặc đồng thuận xã hội.
Nếu đội vận hành L2 không thiết lập cổng rút tiền chống kiểm duyệt, hoặc đội vận hành cố gắng nâng cấp hợp đồng, chèn logic có thể đánh cắp tài sản người dùng, các thành viên cộng đồng sẽ buộc phải dựa vào đồng thuận xã hội và sự lan tỏa dư luận để sửa sai. Lúc này đây, công nghệ ưu việt hay không dường như đã không còn quan trọng nhất nữa, so với việc công nghệ quan trọng cho an toàn hay không, chi bằng nói rằng, cơ chế thiết kế thuận tiện cho con người triển khai đồng thuận xã hội mới thực sự quan trọng hơn, và đây mới chính là bản chất của Layer2 và cả blockchain.
Từ Blast – nơi chỉ dựa hoàn toàn vào đồng thuận xã hội để giám sát – chúng ta nên nhìn nhận trực tiếp hơn mối quan hệ giữa đồng thuận xã hội và hiện thực công nghệ, chứ không nên đơn thuần phán xét ưu劣 một dự án theo tiêu chí "Layer2 nào giống Layer2 trong định nghĩa của Vitalik hơn". Khi một dự án đã giành được sự công nhận và chú ý của hàng chục, hàng trăm triệu người, đồng thuận xã hội đã hình thành, việc dùng marketing hay câu chuyện công nghệ để đạt được điều đó không còn quan trọng, bởi kết quả quan trọng hơn quá trình.
Thật vậy, bản thân đồng thuận xã hội là sự mở rộng của dân chủ chính trị, và thế giới thực đã chứng minh những khuyết điểm của quản trị dân chủ, nhưng bản thân blockchain sở hữu đặc tính mã nguồn mở và minh bạch dữ liệu, đã cực kỳ giảm chi phí đồng thuận xã hội. Do đó, "quản trị con người" trong Web3 khác biệt bản chất so với "quản trị con người" trong các quốc gia chủ quyền thực tế.
Nếu chúng ta xem blockchain như một công cụ kỹ thuật nhằm cải thiện vấn đề minh bạch thông tin trong quản trị dân chủ, thay vì đơn thuần theo đuổi "phi tin cậy thuần code" mãi mãi không thể đạt tới, mọi thứ dường như trở nên lạc quan và rõ ràng hơn rất nhiều. Chỉ khi thoát khỏi sự kiêu ngạo và định kiến cố hữu của giới tinh hoa kỹ thuật, ôm lấy đối tượng khán giả rộng lớn hơn, hệ sinh thái Layer2 của Ethereum mới thực sự trở thành một cơ sở hạ tầng tài chính toàn cầu phục vụ đại chúng.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
@godrealmx
