L2网络安全性阶段划分:从理论到实践

以太坊扩容方案中,L2网络的安全性一直是业界关注的焦点。近期,社区就L2网络安全性的三个阶段展开了深入讨论,这不仅关系到以太坊主网及L2网络的稳定运行,更与L2网络的实际发展状况密切相关。

有社区成员提出了L2网络Stage 2阶段的命名标签#BattleTested,认为只有满足以下条件的L2网络才能获此称号:

1. 代码和配置在以太坊主网上线超过6个月
2. 总锁仓价值(TVL)持续保持在1亿美元以上
3. 其中至少有5000万美元的ETH和主要稳定币

该称号采用动态评估机制,以避免出现"链上鬼蜮"现象。

对此,以太坊创始人之一给出了详细解答和观点分享。他将L2网络安全性划分为三个阶段,主要基于安全委员会对无信任组件的覆盖程度:

• 阶段0:安全委员会拥有完全控制权。证明系统仅具咨询性质。
• 阶段1:需75%以上安全委员会成员批准才能覆盖运行系统。
• 阶段2:安全委员会仅能在可证明错误情况下采取行动。

这三个阶段可用安全委员会的"投票份额"来表示。关键问题在于L2网络从一个阶段过渡到下一阶段的最佳时机。

不立即进入阶段2的唯一合理理由是对证明系统缺乏完全信任。对证明系统越有信心(或对安全委员会越缺乏信心),就越倾向于推动网络向后一个阶段发展。

通过简化的数学模型,我们可以量化这一点。假设条件包括:

• 每个安全委员会成员有10%的单独故障可能性
• 活跃性故障和安全性故障概率相等
• 阶段0和阶段1的安全委员会判定标准分别为4/7和6/8
• 存在单一整体证明系统

在这些假设下,考虑证明系统崩溃的特定概率,我们希望最小化L2网络崩溃的可能性。

使用二项分布计算得出:

• 阶段0整合系统有0.2728%的固定失败概率
• 阶段1失败概率取决于证明系统失败率和安全委员会失败情况
• 阶段2失败概率与证明系统失败概率一致

结果显示,随着证明系统质量提高,最佳阶段从0转向1,再从1转向2。使用阶段0质量的证明系统进行阶段2网络运行是最差结果。

然而,这个简化模型存在局限性:

1. 现实中安全委员会成员并非完全独立,可能存在"共同模式故障"
2. 证明系统可能由多个独立系统组合而成

这两点都表明,阶段1和阶段2实际上比模型显示的更具吸引力。

从数学角度看,阶段1的存在似乎难以证明合理性,应该直接进入阶段2。但考虑到可能出现的关键错误,建议赋予任一安全委员会成员延迟提款1-2周的权限,以便其他成员有足够时间采取补救行动。

同时,过早跳到阶段2也可能是错误的,尤其是以牺牲加强底层证明系统为代价。理想情况下,数据提供商应展示证明系统的审计和成熟度指标,并附带展示所处阶段。

总之,L2网络安全性阶段的划分和过渡需要权衡多方面因素,既要考虑理论模型,也要结合实际情况,以确保网络稳定安全运行。