原文作者:flowie,ChainCatcher
大部分 Layer 2 协议都有一个”后门“,以供开发者在必要时进入修改合约。比如遭遇了重大漏洞攻击,它们一般需要通过多签管理的“安全委员会”冻结合约等“人为干预”来及时止损。但这种“留后门”机制在保证可以应对漏洞危机的同时,也意味着留下了可作恶的“中心化”隐患,因此被广为诟病。
为应对 Layer 2 协议在紧急升级下的中心化风险,zkSync 联合创始人 Alex Glochowski 近日在社交媒体上提出了一项模拟现实世界司法体系的“链上多层法院系统”新治理模式。而该新治理模式设想发布后,迅速引起加密社区的激烈辩论:“链上多层法院系统”能解决 Layer 2 协议紧急升级下的中心化隐患吗?可行性又有多大?
将链上纠纷的最终裁决交给“以太坊最高法院”
为了应对安全问题,以太坊过去通过分叉进行升级的机制,让任何用户都可以自主选择加入他们主观认为正确且规范的分叉分支。但对于 Layer 2 来说,这种去中心化的分叉升级机制不适用,因为无法通过分叉机制将 Layer 1 桥接 ETH 等底层原生资产也转移。
因此在应对安全等紧急危机下,Layer 2 协议一直有个两难困境,即安全和中心化几乎不可兼得,舍弃“后门 ”意味着安全威胁太高,但留有“后门”又的确存在“中心化”隐患。zkSync 联合创始人 Alex Glochowski 在推特上提到,使用多签管理的“安全委员会”虽然可以通过冻结资金可以缓解问题,但不能解决问题。它们需要代币治理批准才能紧急升级,但大多数抵押不足的恶意质押者可能会执行恶意接管升级并窃取所有资产。“任何被授予紧急升级权的政府多重签名都会带来不同类型的监管和安全风险。”
因此在 Layer 2 这种两难困境下,Alex 指出一种应对的新治理模式猜想,即建立一个类似于现实世界司法体系的“链上多层法院”治理裁决制度。
Alex 对这一治理裁决制度进行了称述,他表示,每个协议都有自己的治理,并定义了正常和紧急升级机制。但该协议还通过标准的 ERC 接口接入多类特殊合约(法院)以供上诉。对于紧急升级,必须有一个上诉期,在此期间任何人在缴纳预先确定的保释金情况下,都可以向上级法院对于紧急升级的做法提出质疑。
而对于上级法院而言,它可以取消紧急升级,并且不执行任何其它操作。每个法院还必须指定可以对任何决定提出上诉的更高一级法院,直到到达以太坊最高法院。该智能合约的决定只能由 L1 技术上的软分叉来决定,不同的法院将有不同的成员、价格和声誉,以完全去中心化的方式组成。
对于 Alex 提出的“链上多层法院”治理裁决模式,加密分析师 Haotian(@tme l0 211 )进一步类比到,“ Layer 2 层级的特殊裁决合约可以视为县级法院,以太坊主网层级的裁决合约可视为市级和省级法院,而最高院以太坊为主网最顶级的权利中心。”那么在上诉期限中,任何人如果不服县级法院( Layer 2 层级的特殊裁决合约)裁决,那么在缴纳一定的保释金下,可申请市级法院和省级法院(以太坊主网层级)申请二审三审,甚至可请求国家最高法院终审(以太坊为主网最顶级的权利中心)。
也就是说,Alex 希望在面对紧急升级的情况下,将 Layer 2 层的裁决权利,用更去中心化的 L1 层级来监督,让 Layer 2 层一些恶意接管升级并窃取所有资产的纠纷情形可以被申诉审判甚至强制执行,最终达到一个相对无争议的结果。
但这种治理模式的猜想还是一个雏形,仍有很多可行性以及潜在的危害等方面值得深入探讨的部分。在 Alex 看来,如果任何人都可以部署这样的合约,并且不能保证用户会费心进行软分叉。那么就这一想法需要形成社会共识,并部署一个“规范”的法院上诉实例,而该实例的使用成本非常昂贵,只有真正特殊的案件才会通过这种给方式治理。比如像 Uniswap、主要的 Layer 2 协议以及其它具有系统性风险的 DeFi 协议等这种需要引起以太坊 Layer 0. 社会共识层关注的案例。
Alex 认为这种“链上多层法院”系统最重要的功能是保护协议免受外部政治干扰。它将作为一种强大的威慑机制,将提升以太坊作为强大网络国家的作用。
“链上多层法院”与 Vitalik “不要让以太坊共识过载”相悖?
Alex 提出的“链上多层法院”的治理模式,作为一种创新的治理机制引起了激烈的讨论。目前加密社区的一些用户和技术人员对于这种“链上多层法院”问题解决成效、以及最终的可行性上大多比较悲观。
Alex 推特评论区提到,过往也有一些关于 L2 的 漏洞用 L1 分叉来恢复的方案被提出,在 Vitalik 今年 5 月份发布的《不要让以太坊共识过载》一文中也有提及,但 Vitalik 否定了该类方案。
为什么不要让以太坊共识过载? Vitalik 列举了一个典型案例,概括来说最终的裁决可能只限于 ETH/USD 加密代币层面的参数考量,看起来可行。但是随着时间的推移,其他的指数也被添加进来:ETH/EUR,ETH/CNY,最后是 G 20 所有国家的汇率。
假如说, 2034 年,巴西产生了一场意想不到的严重政治危机,导致选举争议。不同的国家和政党之间对于该事件也产生了分歧。此时,巴西已经有了一种 CBDC,也因这种地缘政治间的分歧分裂成两个分叉,而在预言机投票时,以太坊质押者也产生分歧并最终提议对链进行硬分叉,社区也随之分裂。但 Vitalik 强调,以太坊初衷是为了摆脱国家和地缘政治的影响而创建的全球无权限平台,却因为 G 20 成员国中的任何一个国家出现意想不到的严重内部问题,而被一分为二。
而加密社区用户 @bitflag 123 也有类似的担忧,他认为区块链的社会共识非常脆弱,每次分叉都会是巨大伤害,而当有可能迫使 ETH 分叉,这使得一些大型项目获得护城河,变成了大而不能倒,而小项目无力这样做,损害公平竞争。
但对于以太坊因共识过载而分裂的担忧,Alex 回复称将公开挑战这个观点。并称他的“链上多层法院”治理猜想受到了 Vitalik 《关于凹与凸的世界观》观点的启发,他认为采用 100% 远程治理方法是凸的,他主张采取最小必要干预的凹政策,即预先同意软分叉作为治理决策的非侵入性否决机制;仅在极端紧急情况下,且仅适用于具有系统意义的协议。否则注定要在两个极端之间做出选择:代码就是法律,bug=死亡;或者代码并不重要,可以“留后门”来应对,但一切最终都是中心化的。而这两种选择都不能作为去中心化价值互联网的基础。
除了 Vitalik 主张的不要让以太坊共识过载相悖外,加密社区不少用户也认为该治理方案在可行性上存在很大的阻碍。Haotian (@tme l0 211)提到裁决流程虽然都在链上,但也是一种复杂的业务逻辑,还得依赖 time-lock 来和漏洞危机赛跑。
ColliderVC 合伙人@0x idanlevin 就提到决策协商裁决需要消耗时间与协议需要尽快止损的矛盾。“如果发现错误并且协议被暂停(假设使用熔断或某种暂停机制)法院系统需要多长时间才能就分叉达成一致,特别是如果存在有几个升级层?在解决方案被接受之前,协议一直处于停止状态,没有任何活性,这给用户带来了很多不确定性。“相比于中心化风险,保护升级才是优先级最高的。
Web3安全分析师 @0x Arhat 则更详细地指出,这种链上多层法院系统如果要执行下去,则要考虑到共识达成的可能性以及上诉成本、争议参数、治理代币等合约细节太多维度的设置。
比如为了使这些法院有效地运作,可能需要有影响力的人物/团体的协调,以确定“规范的”合同和程序。这种自上而下的影响与无许可系统的精神相冲突。但如果不这样,以太坊社区需要自愿联合起来,承认特定的最高法院合同为“官方”合同,而这一过程实现起来又非常困难。因为通常对于如何设计或由谁来控制它存在分歧,比如它应该由 DAO、智能合约、可信开发者的多重签名、特定的包持有者、鲸鱼等来管理吗?如果未达成社会共识,则存在围绕相互竞争的实施形成派系的风险。而在没有中央权威的情况下围绕一个法院系统达成令人信服的协议似乎不太可能。
此外,L1 软分叉不可扩展。鉴于实际的协调挑战,怀疑是否能够现实地依靠反复出现的软分叉来解决特定议定书的争端。而成本也会刺激规避行为,“高昂的上诉成本意味着协议可能会在可能的情况下避开法庭,从而破坏采用。“因此提起上诉、提供证据、作出判决等基本职能需要有一个共同标准,但上诉成本、争议参数、治理代币交互等因素的细节可能需要定制,实践起来会非常棘手。比如上诉成本如何定?太便宜会导致大量的上诉让以太坊系统负担过重,但如果太贵导致很多有价值的申诉案例回避上诉。
虽然目前关于链上多层法院治理新模式的可行性普遍比较悲观,但 Alex 表示 zkSync 会提供资金以供大家对该模式进入更深入的研究,也吸引了一些技术开发者积极参与。
无论这一新治理模式将如何发展,对于 Layer 2 以及大部分 DeFi 协议紧急危机的安全治理困境,依然是值得持续探讨和攻克的难题。