원본 출처: Vitalik
편집: Odaily Planet Daily( @OdailyChina )
번역자: Wenser ( @wenser 2010 )
편집자 주: 이더리움 롤업 보안의 3단계에 대한 논의는 항상 이더리움 생태계 커뮤니티의 초점이었습니다. 이는 이더리움 메인넷과 L2 네트워크의 운영 안정성뿐만 아니라, L2 네트워크의 실제 개발 상태와도 관련이 있습니다. 최근, 이더리움 커뮤니티의 멤버인 다니엘 왕은 X 플랫폼의 L2 네트워크 2단계에 #BattleTested라는 태그 이름을 제안했습니다. 그는 이더리움 메인넷에서 6개월 이상 온라인 상태를 유지하며 최신 코드와 구성을 갖춘 L2 네트워크만이 이 타이틀을 획득할 수 있다고 믿습니다. 여기에는 최소 5,000만 달러 상당의 ETH와 주요 스테이블코인이 포함되어 있으며, 총 잠금 가치(TVL)가 1억 달러가 넘습니다. 체인상의 유령이 나타나는 것을 막기 위해 타이틀은 동적으로 평가됩니다. 이후 이더리움 공동 창립자 비탈릭은 질문에 대한 자세한 답변을 제공했고 자신의 견해를 공유했습니다. Odaily Planet Daily는 이를 다음과 같이 정리했습니다.
L2 네트워크의 3대 주요 단계: 0에서 1, 2까지, 보안은 거버넌스 공유에 의해 결정됩니다.
이더리움 롤업 보안의 세 가지 단계는 보안 위원회가 신뢰할 수 없는(즉, 순수하게 암호화 또는 게임 이론적) 구성 요소를 다룰 수 있는 시점에 따라 결정될 수 있습니다.
0단계: 보안위원회가 모든 통제권을 갖습니다. 증명 시스템(낙관주의 또는 ZK 모드)이 있을 수 있지만 보안 위원회는 단순 다수결 투표로 이를 뒤집을 수 있습니다. 따라서 인증 시스템은 자문적 성격에 불과합니다.
1단계: 안전 위원회는 운영 시스템을 포괄하기 위해 75%(최소 6/8)의 승인이 필요합니다. 기본 조직 외부에 정족수 차단 하위 집합(예: ≥ 3)이 있어야 합니다. 그러므로 증명체계를 제어하는 데에는 비교적 어려움이 따르지만, 극복할 수 없는 것은 아니다.
2단계: 안전 위원회는 입증 가능한 오류가 있는 경우에만 조치를 취할 수 있습니다. 예를 들어, 증명 가능한 오류는 두 개의 중복된 증명 시스템(예: OP와 ZK)이 서로 모순되는 것일 수 있습니다. 증명 가능한 오류가 있는 경우 제안된 답 중 하나만 선택할 수 있습니다. 즉, 임의로 메커니즘에 응답할 수 없습니다.
다음 다이어그램을 사용하면 안전 위원회가 각 단계에서 갖는 투표권을 나타낼 수 있습니다.
3단계 거버넌스 투표 구조
중요한 질문은 L2 네트워크가 0단계에서 1단계로 전환하는 데 최적의 시점은 언제이며, 1단계에서 2단계로 진화하는 시점은 언제인가?
2단계로 바로 이동하지 않는 유일한 타당한 이유는 증명 시스템을 완전히 신뢰할 수 없다는 것입니다. 이는 이해할 만한 우려입니다. 이 시스템은 방대한 코드로 구성되어 있고, 해당 코드에 취약점이 있다면 공격자가 모든 사용자의 자금을 훔칠 수 있습니다. 증명 시스템에 대한 신뢰가 높을수록(또는 반대로 보안 위원회에 대한 신뢰가 낮을수록) 전체 네트워크 생태계를 다음 단계로 추진하고 싶은 마음이 커집니다.
사실, 우리는 이를 단순화된 수학적 모델을 사용하여 정량화할 수 있습니다. 먼저, 가정을 나열해 보겠습니다.
안전위원회의 각 구성원은 개별적인 실패를 경험할 확률이 10%입니다.
우리는 활성 실패(계약서에 서명을 거부하거나 키를 사용할 수 없음)와 안전 실패(잘못된 거래에 서명하거나 키가 해킹됨)를 동일한 확률로 처리합니다. 실제로 우리는 단지 실패한 범주만을 가정합니다. 즉, 실패한 안전보장이사회 회원국은 잘못된 것에 서명했을 뿐만 아니라 올바른 것을 추진하는 데 서명하지도 않았습니다.
0단계에서는 안전위원회의 기준이 4/7이고, 1단계에서는 6/8입니다.
우리는 단일의 전반적인 증명 시스템이 있다고 가정합니다(두 사람이 의견이 일치하지 않을 때 안전 위원회가 교착 상태를 깨뜨릴 수 있는 2/3 설계 메커니즘과 대조적으로). 따라서 2단계에서는 안전위원회의 존재 여부가 전혀 중요하지 않습니다.
이러한 가정 하에, 증명 시스템이 충돌할 확률이 있다는 점을 감안하여 L2 네트워크가 충돌할 가능성을 최소화하고자 합니다.
이항분포를 사용하면 다음과 같은 작업을 수행할 수 있습니다.
안전보장이사회 각 회원국이 독립적으로 실패할 확률이 10%일 때 7개 중 최소 4개가 실패할 확률은 ∑𝑖= 47( 7 𝑖)∗ 0.1 𝑖∗ 0.97 −𝑖= 0.002728입니다. 따라서 0단계의 통합 시스템은 실패 확률이 고정 0.2728%입니다.
증명 시스템에 장애가 발생하고 안전 위원회 검증 메커니즘이 3회 이상 실패하여 네트워크 계산 범위가 불가능해지는 경우(확률 ∑𝑖= 38( 8 𝑖)∗ 0.1 𝑖∗ 0.98 −𝑖= 0.03809179를 증명 시스템 실패율로 곱한 값) 또는 안전 위원회가 6회 이상 실패하여 잘못된 계산 답을 생성하도록 강제하는 경우(고정 확률 ∑𝑖= 68( 8 𝑖)∗ 0.1 𝑖∗ 0.98 −𝑖= 0.00002341) 1단계 통합도 실패할 수 있습니다.
2단계 병합 실패 확률은 증명 시스템 실패 확률과 일치합니다.
다음은 그래픽 형태로 표현한 것입니다.
L2 네트워크의 다양한 단계에서 시스템 실패 확률 증명
위에서 추측한 대로, 증명 시스템의 품질이 향상됨에 따라 최적의 단계는 0단계에서 1단계로, 그리고 1단계에서 2단계로 이동합니다. 최악의 시나리오는 0단계 품질 증명 시스템을 사용하여 2단계 네트워크를 실행하는 것입니다.
이제 위의 단순화된 모델의 가정이 완벽하지 않다는 점에 유의하세요.
실제로 보안 위원회 구성원은 완전히 독립적이지 않으며 공통 모드 오류가 발생할 수 있습니다. 즉, 구성원들이 공모하거나 모두 동일한 강요나 해킹 등의 대상이 될 수 있습니다. 기본 조직 외부에 쿼럼 블록 하위 집합을 요구하는 것은 이를 방지하기 위한 것이지만 아직 완벽하지는 않습니다.
증명 시스템 자체는 여러 개의 독립적인 시스템으로 구성될 수 있습니다(이에 대해서는 이전 블로그 에서 주장한 바 있습니다). 이 경우, (i) 시스템 충돌이 발생했다는 것을 증명할 확률은 매우 낮고, (ii) 안전위원회는 분쟁 해결에 핵심적인 역할을 하기 때문에 2단계에서도 중요합니다.
두 주장 모두 차트에서 나타난 것보다 1단계와 2단계가 더 매력적이라는 것을 시사합니다.
수학을 믿는다면 1단계의 존재는 거의 정당화될 수 없습니다. 그냥 1단계로 바로 넘어가는 게 좋습니다. 제가 들은 가장 큰 반대 의견은 치명적인 버그가 발생할 경우, 안전 위원회 위원 8명 중 6명이 신속하게 서명하여 수정하기 어려울 수 있다는 것입니다. 하지만 간단한 해결책이 있습니다. 안전 위원회 위원에게 1~2주 동안 인출을 연기할 수 있는 권한을 부여하여 다른 사람들이 (시정) 조치를 취할 수 있는 충분한 시간을 주는 것입니다.
하지만 동시에, 특히 2단계로의 전환 작업이 기반 증명 시스템을 강화하는 작업을 희생해서 이루어진다면, 2단계로 너무 일찍 넘어가는 것은 실수일 것입니다. 이상적으로는 L2Beat 와 같은 데이터 제공자는 시스템 감사 증명과 성숙도 측정 항목(재사용할 수 있도록 전체 집계 측정 항목보다는 시스템 구현 증명이 바람직함)과 함께 데모 단계를 제시해야 합니다.
