L2BEATという名前については、多くの人が聞いたことがあるかもしれませんが、実際にはその機能をよく理解していません。2023年までかなり長い間、L2BEATに対する人々の印象は、しばしば「イーサリアムレイヤー2データ可視化プラットフォーム」というものに過ぎませんでした。L2回路のTVLデータ表示や技術的なソリューションの分類以外に、L2beatの機能についてはあまり知られていないようです。しかし、今年6月に開始されたLayer 2リスク評価指標の急速な上昇とともに、「イーサリアムL2格付け機関」に匹敵するニッチな組織であるL2BEATはますます多くの人々に知られるようになっています。

4つの言葉「格付け機関」というと、本「世界は平らだ」には非常に生々しい類推があります。「私たちは2つの超大国の世界に住んでいます。1つはアメリカで、もう1つは格付け機関です。アメリカは国を破壊するために爆弾を使うことができ、格付け機関は国を破壊するために債務格付けを使うことができます。時には、この2つの力のうち、どちらが強力なのかは言い難い。

1997年のアジア金融危機から2007年のサブプライム住宅ローン危機まで、ウォール街の格付け機関は重要な役割を果たし、これらの悪循環の重要なドライバーにさえなりました。しかし、Web3では、表面的には「除染」に焦点を当てているが実際には「社会的合意」に依存している輪の中で、「リスク評価」は絶対に回避できない重要な要素です。契約コードの監査やオンチェーンの変更解析であっても、その価値はゼロ知識証明やコンセンサスアルゴリズムと同等であり、それ以上でさえあります。

新しいモジュラーブロックチェーン分野において、異なるレイヤーを区別できる客観的で包括的なリスク評価指標が特に重要です。特にL2システムがすでに約100億米ドル相当の資産を保有している今、どのようにして潜在的なL2リスクをよりよく検出し、一般市民によりよく警告するかは避けられない実際の問題です。

2022年のフォーラムブログで、Vitalikは、現在ほとんどのRollupsが非常に成熟しておらず、ほとんどのRollupsが通常の運用を確保するために補助手段である"トレーニングホイール"を使用していることを述べました。"補助ラウンド"は、Rollupプロジェクトが"手動介入"と"社会的合意"にどの程度依存しているかを反映しています。補助ホイールへの依存が少ないほど、L2はより"浄化"され、リスクは低くなります。逆に、依存度が高いほど、リスクが高くなります。

たとえば、Optimismを含むほとんどの楽観的なRollupsの多くは、詐欺証明システムを導入していないため、リスクレベルが大幅に上昇しています。また、Immutable Xなどの多くのL2は、ETHチェーン上でDA（データの可用性）を実装しているか、いつでも呼び出せる必須の引き出し／必須のトランザクション機能が欠落しています（Starknetなど）。Layer 2において、上記の条件は、「ETHと同じくらい安全であること」を確保するために必要です。もちろん、これらに加えて、現在ほとんどのL2プロジェクトパートナーは自分たちのために「バックドア」を残しています。彼らはEthereum上でL2契約コードを管理するために複数の署名のセットに依存し、いつでもステータスハッシュを変更できます。これも大きな潜在的な危険です。

Rollupをよりよく区別し定義するために、VitalikらはRollupを補助車輪/手作業介入にどれだけ依存するかに基づいて、Stage 0、Stage 1、Stage 2の3つのレベルに分類しました。その後、L2beatはコミュニティからコメントを募り、この分類スキームを修正しました。大まかに以下のようにまとめることができます:

ステージ0 — 補助輪に完全に依存し、ロールアップが満たす必要がある最低基準:

・プロジェクトはRollupであると主張しています。

・Rollup で処理されるトランザクションは「オンチェーン」である必要があります（L2 の状態遷移プロセスに関わるデータは L1 に開示され、L2 の状態ハッシュステートルートも開示される必要があります；）

·オープンな権限とオープンソースコードを持つ一括のロールアップノードを設定して、ユーザーがL2上のすべてのアカウントの状態（残高、取引回数など）を把握できるようにします。

上記の条件をすべて満たすL2プロジェクトのみが、それらがロールアップの最低基準を満たしていることを意味するレイヤー2ビートによってステージ0としてマークされます。それ以外の場合、それらはロールアップと見なされません（Arbitrum Novaなど）。

ステージ1は、部分的にオーギュメンテッドホイールのロールアップに依存しており、以下の特性を持っています:

L2ステータスの遷移の効果を保証するために、詐欺証明/有効性認証システムを導入する必要があります。

·もし楽観的なRollupであれば、少なくとも5つの非公式に制御されたL2ノードが存在し、詐欺の証拠を提出できなければなりません（challengerホワイトリストにはRollup公式以外の少なくとも5つのエンティティが含まれています）。

例えば、2022年11月時点で、Arbitrum Oneのチャレンジャーホワイトリストのメンバーには、9つのエンティティが含まれています: Consensys、Ethereum Foundation、L2BEAT、Mycelium、Offchain Labs、P2P、Quicknode、DLRC、およびUnit410。

・いつでも、ユーザーはシーケンサー（オペレーター）をバイパスしてL2からL1に資産を強制的に引き出すことができ、資産が凍結されないようにします。シーケンサーが検閲攻撃を開始し、特定の取引を処理拒否する場合、ユーザーはL1ロールアップ取引シーケンスに取引を強制的に送信することができます。ステートルートを誤って投稿する以外に、シーケンサーは悪事を行うための他の方法を見つけることができませんでした。

·Rollupは、緊急時にRollup契約を強制的にアップグレードする権限を持ち、契約に記録されたL2ステータスハッシュに干渉する可能性があるセキュリティ委員会を設置できます。ただし、委員会のマルチシグネチャの秘密鍵は十分に分散しており、しきい値は十分に高い必要があります。Vitalik自身は、この値は少なくとも6/8でなければならないと考えており、つまり、複数の署名は8人以上によって管理され、有効なしきい値は75%です。

·委員会による複数の署名による承認を受けていないロールアップ契約のアップグレードは、少なくとも7日間のタイムロック遅延の対象となります。これにより、Tornado Cashガバナンス攻撃事件などの悪意のあるアップデート提案によってロールアップが影響を受けた場合、ユーザーは少なくとも7日間の安全な資金引き出しを行うことができます。

現在、Arbitrum One、dYdX、およびzkSync LiteのみがStage 1の要件を満たしています。その他の主要なRollupsはすべてStage 0のままです。

ステージ2 — 補助ホイールを完全に廃止し、完全なロールアップになります:

オプティミスティックロールアップネットワークのL2ノードは、詐欺証明書を公開できる必要があり、ホワイトリスト設定を削除する必要があります（これに対応して、Arbitrum Oneは最近、BOLDという合意を導入しました）；

·すべてのロールアップ契約のアップグレードは、少なくとも30日のタイムロック遅延によって制限されています。もしくは、契約をアップグレードすることはできません。これは、悪意のあるロールアップのアップグレードが発生した場合、L2ユーザーは少なくとも30日間、安全に資金を引き出すことができることを意味します。

L2BEATにリストされているリスク評価指標をよりよく理解するために、セキュリティレベルが異なる3つのRollupの例を選択して分析することができます。

Stage0-Base、Stage1-Arbitrum One、Stage2-Fuel:

Baseは、Optimistic Rollup Circuitの主要プロジェクトの1つです。L2の状態ハッシュステートルートを記録するためにL1上の契約に依存し、L2内外の資金を処理し、Ethereumを使用してデータの可用性（DA）を実現し、L1との橋渡し関係を持っています。

Baseシーケンサーは、L2トランザクションデータをL1に開示する必要があります。具体的には、数分ごとに、シーケンサーはイーサリアムの指定されたアドレスにトランザクションを開始し、Transcationのカスタマイズ可能な追加データCalldataにバッチ化された圧縮トランザクションデータを記録します。すべてのL2ノードは自動的にL1ブロックを同期するため、シーケンサーによって発行されたトランザクションを監視し、そのCalldata内のL2トランザクションデータを分析し、次にL2シーケンサーの最新のステータスを取得し、正しいステータスハッシュ、Staterootを計算し、L1ソーターが提出したStaterootと比較します。

現在、Baseにはオンライン詐欺認証システムがないため、L1契約に記録されたL2ステートルートが正しいことを保証する手段がありませんが、全てのL2ノードを実行できるユーザーはエラーを迅速に検出できます。さらに、Baseには強制引き出しのような検閲攻撃に対抗する計画がありません。シーケンサーが長時間ダウンしたりユーザーの要求を故意に拒否した場合、L2ユーザーは安全に資金をL1に引き出すことができませんので、巨大なセキュリティリスクが生じます。

明らかに、この種のロールアップは機構設計のレベルで安全ではありませんが、ユーザーやL2コミュニティメンバーは必要に応じてソーシャルメディアを通じて警告を発行し、イーサリアム財団やSECなどの規制機関に危険の発生を知らせることができます。これがいわゆる「社会的合意」であり、高度なデータの透明性とコミュニティメンバーによる自発的な監督を通じて、L2プロジェクトのパートナーの不正行為を「世論の発酵」と「手動介入」、そしてその後の「法的責任」を通じて抑制するものです。これは前もって悪を阻止することはできないため、危険が発生した後にのみ機能するため、最低限のセキュリティ保証です。

しかし、実際には、「社会的合意」もブロックチェーンを確保するための基本条件です（誰かが悪意を持ってイーサリアムをフォークしようとした場合、イーサリアムコミュニティも社会的合意を用いてどのフォークチェーンに従うかを決定します）、そして悪意のある行為者は自分の行動が暴露されることを考慮するため、ほとんどの場合、リスクを冒すことはできません（FTX、ZT、Mentougou取引所を除く）。

検査対象を Arbitrum One に変更すると、それと Base との違いがすぐにわかります。 例えば、使用可能な不正証明システムを導入し、チャレンジャーのホワイトリストを設定しています。 Ethereum Foundation や L2beat を含む 9 つの異なるエンティティによって実行されるノードが含まれています。 シーケンサーが誤った状態ハッシュ Stateroot を L1 に投稿する限り、チャレンジャーノードは不正証明書を公開し、Rollup 契約に記録された L2 Stateroot が正しいことを確認できます。

同時に、Arbitrum Oneには、シーケンサーの検閲攻撃に対処するための強制トランザクションメカニズムがあり、L1上のシーケンサーのインボックス契約のForce Inclusion機能を呼び出すことで、ユーザーは直接L1にトランザクション命令を送信することができます。シーケンサーが24時間以内に「強制的に含める」トランザクション/引き出しを処理しない場合、トランザクション/引き出しオーダーは直接Rollupトランザクションシーケンスに含まれ、これによりL2からの強制引き出しからユーザーを「安全に退出」させることができます。

ここで強調すべきは、Stage 1のロールアッププロジェクトでは、ユーザーが全体的なL2アカウントの状態を知り、アカウント残高に対応するMerkle Proofを構築することができれば、Rollup契約内の指定された関数を介して強制的に引き出すことができるということです（この関数は一般的に脱出カプセル内のEscape Hetchと呼ばれます）。 L2アカウントの状態を知る方法については、Rollupネットワーク全体に外部にデータを公開するノードがすべて存在するかどうかに依存します（ほとんどのL2にはそのようなノードが存在します）。

さらに、Arbitrum Oneの契約のアップグレード動作はさまざまな要因で制限されています。たとえば、通常の契約のアップグレード提案は、まずオンチェーンガバナンスによって決定される投票決定を通過する必要があります。投票のしきい値を超えた後、自動的に実行される前にタイムロック（12日の遅延があります）。契約のアップグレード提案に悪意のあるコードロジックが含まれている場合、セキュリティ委員会によって拒否される可能性があります（複数の署名を通じて実行されます）。

ただし、Arbitrum One Safety Committee自体は、時間ロックを超えることができます。たとえば、9/12に複数の署名が渡されれば、安全委員会は直ちに契約コードをアップグレードしたり、Rollup契約に記録されているL2 Staterootを強制的に変更したりすることができます。

なぜ安全保障理事会がそんなに権力を持っているのか、Vitalikは以前説明しました:

一部のロールアップは複数の独立した状態遷移関数を使用する場合があります。たとえば、異なるビューを持つ2つの不正な証明書発行業者、または異なる妥当性証明を提出する複数の証明者ノード、またはL2アカウントをL1上でフォークしようとするシーケンサー、または7日以内にチェーンに妥当性証明が提出されない場合などが該当します。これらの要因はL2システムが完全にクラッシュする可能性があります。安全委員会はこの危険な状況で決定を下すことができ、システムが正しい結果を採用するよう手動で介入することができます。

もちろん、Vitalikはわずかな危険な状況しか挙げていませんでした。ロールアップ契約がハッキングされる可能性やシーケンサーがいつでもハッキングされる（または未熟な）可能性を考慮すると、緊急の対策が明らかに必要です。

Vitalikによると、完全なRollupであれば契約をアップグレードすることができますが、ユーザーやコミュニティメンバーが適切に対応するために30日以上のタイムロック遅延が必要です。

明らかに、Arbitrumのセキュリティ委員会は、複数の署名が承認された後に契約を直ちにアップグレードできるので、新しいバージョンのコードに悪意のあるビジネスロジックが含まれている場合、理論的にはユーザーのL2資産を奪うことができます。そのため、Arbitrum OneはVitalikの完璧なロールアップの定義には当てはまらないのです。単に、リスクレベルが比較的低いだけです。

「完璧なロールアップ」を検討したところ、L2BEATの2つのプロジェクト、Fuel V1とDeGateのみが基準を満たしていました。その中で、Fuel V1は、最初のオンライン詐欺防止システムの楽観的なロールアップです。その不正証明書の提出はパーミッションレスであり、誰でもノードを実行し、必要に応じて不正証明書を公開することができます。同時に、Fuel V1 契約は書き出されており、まったくアップグレードできず、委員会はロールアップ契約に記録された L2 Stateroot に干渉できないため、いわゆる安全委員会のリスクはありません。

Fuel V1が最も低いリスクレベルに達しましたが、更新および反復ごとに契約を再展開する必要があり、ユーザーは資産を新しいバージョンに手動で移行する必要があります。本質的には、新しいプロジェクトが再構築されました。その結果、流動性が分断され、柔軟性が大幅に低下します。UTXOの使用やプログラミングモデルでのEVMとの非互換性など、さまざまな理由により、Fuelの開発は次第に停滞し、生態系の構築が十分でない状態です。また、創設者が後にCelestiaチームに移籍したこともあります。

結局のところ、絶対的なセキュリティを追求するコストは、更新とイテレーションの不便さです。詐欺証明と妥当性証明技術がまだ完璧でない時期において、ある程度の契約のアップグレード可能性を維持することは、おそらくRollUpが持っているべき機能です。

今後かなりの間、次の状況が予想されます:ほとんどのロールアップは安全委員会の複数の署名をあきらめず、L2契約は長期間にわたって「すぐにアップグレード可能」になります(あるZKロールアッププロジェクトは、複数のセキュリティ委員会の署名をあきらめず、新しいプロジェクトに頭を向けました)。不正防止システムの開発が困難なため、リーダーではない楽観的なロールアップのほとんどは、短期的には(おそらく2023年末までに)不正防止を起動できない可能性があり、Arbitrum Oneは長い間、ロールアップ回路で主導的な地位を占めることになります。まだ最高レベルのセキュリティは備えていませんが、比較的完全な不正防止システムを備えており、セキュリティ委員会の複数の署名は適度に分散しており(9/12の多重署名、ARBプロジェクトメンバーを含む12人のコミュニティメンバーに配布)、最大のdAppエコシステム(所有権)も持っています 440以上のアプリ。しかし、セキュリティが貧弱でマーケティングへの依存度が高いBaseが、ここ数カ月の成長の勢いを維持できるかどうかは、まだ検証されていません。BaseがTVLのボリュームでArbitrum Oneを凌駕できれば、「信頼を解く」という信念自体が崩壊するかもしれません。

もちろん、何よりも重要なのは、L2BEATのようなリスク評価機関が常に必要とされることです。この動揺し、混沌とした時代において、明確で包括的なリスク評価指標が常にイーサリアムシステムやWeb3全体の繁栄的な発展を確保する鍵となります。

免責事項：

1. この記事は[から転載されました中]. すべての著作権は元の著者に帰属します [Faust，极客web3]. If there are objections to this reprint, please contact the Gate Learn team（gatelearn@gate.io）, そして彼らは迅速に対応します。
2. 責任の免責事項：この記事で表現されている意見は、著者個人のものであり、いかなる投資アドバイスを構成するものではありません。
3. 他の言語への記事の翻訳は、Gate Learnチームによって行われます。特に言及されていない限り、翻訳された記事のコピー、配布、または盗作は禁止されています。