前言:
感谢MatterLabs提出关于部分L1数据链上可用性的问题,我们一直以来都非常重视社区的声音,并会根据社区的需求修改方案。因此,我们想借着这次机会向大家分享ZKSwap开发团队辛勤工作所交付的产品背后的一些思考。
经过非常谨慎细致的思考之后,为了TPS和Gasfee的效率,我们决定将ZKSwap的L2转账放在链下。在ZKSwap的设计中,L1相关的数据在链上,L2相关的数据,比如转账和交易,存在链下。尽管存在链下,这部分数据也会被验证者实时公布。
例如,L2区块7831:https://api.zkswap.info/block/7831/pub-data
三种转账类型
ZK-Rollup协议中,一个区块可以包括三种类型的转账:
LendHub被黑简析:系LendHub中存在新旧两市场:金色财经报道,据慢雾安全区情报,2023 年 1 月 13 日,HECO 生态跨链借贷平台 LendHub 被攻击损失近 600 万美金。慢雾安全团队以简讯的形式分享如下:
此次攻击原因系 LendHub 中存在两个 lBSV cToken,其一已在 2021 年 4 月被废弃但并未从市场中移除,这导致了新旧两个 lBSV 都存在市场中。且新旧两个 lBSV 所对应的 Comptroller 并不相同但却都在市场中有价格,这造成新旧市场负债计算割裂。攻击者利用此问题在旧的市场进行抵押赎回,在新的市场进行借贷操作,恶意套取了新市场中的协议资金。
目前主要黑客获利地址为 0x9d01..ab03,黑客攻击手续费来源为 1 月 12 日从 Tornado.Cash 接收的 100 ETH。截至此时,黑客已分 11 笔共转 1,100 ETH 到 Tornado.Cash。通过威胁情报网络,已经得到黑客的部分痕迹,慢雾安全团队将持续跟进分析。[2023/1/13 11:11:00]
类型1:来自L1的存款和创建AMM交易对的转账;
安全团队:Rubic被攻击事件简析:金色财经报道,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,Rubic项目被攻击,Beosin安全团队分析发现RubicProxy合约的routerCallNative函数由于缺乏参数校验,_params可以指定任意的参数,攻击者可以使用特定的integrator来让RubicProxy合约可以几乎零成本的调用自己传入的函数data。攻击者通过调用routerCallNative函数,把所有授权给RubicProxy合约的USDC全部通过transferFrom转入了0x001B地址,被盗资金近1100个以太坊,通过Beosin Trace追踪发现被盗资金已经全部转入了Tornado cash。[2022/12/25 22:06:32]
类型2:L2发起且只能被L1验证的转账。比如,公钥转账将需要L1签名来确保L1账户的密钥所有者能将他们的账户与L2账户关联起来,因为电路不能检查确认L1的签名;
Beosin:SheepFarm项目遭受攻击事件简析:金色财经报道,根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,BNB链上的SheepFarm项目遭受漏洞攻击,Beosin分析发现由于SheepFarm合约的register函数可以多次调用,导致攻击者0x2131c67ed7b6aa01b7aa308c71991ef5baedd049多次利用register函数增大自身的gems,再利用upgradeVillage函数在消耗gems的同时累加yield属性,最后调用sellVillage方法把yield转换为money后再提款。本次攻击导致项目损失了约262个BNB,约7.2万美元。Beosin Trace追踪发现被盗金额仍在攻击者账户,将持续关注资金走向。[2022/11/16 13:10:39]
类型3:由L2签名验证而无法被L1验证的转账。
Grim Finance 被黑简析:攻击者通过闪电贷借出 WFTM 与 BTC 代币:据慢雾区情报,2021 年 12 月 19 日,Fantom 链上 Grim Finance 项目遭受攻击。慢雾安全团队进行分析后以简讯的形式分享给大家。
1. 攻击者通过闪电贷借出 WFTM 与 BTC 代币,并在 SpiritSwap 中添加流动性获得 SPIRIT-LP 流动性凭证。
2. 随后攻击者通过 Grim Finance 的 GrimBoostVault 合约中的 depositFor 函数进行流动性抵押操作,而 depositFor 允许用户指定转入的 token 并通过 safeTransferFrom 将用户指定的代币转入 GrimBoostVault 中,depositFor 会根据用户转账前后本合约与策略池预期接收代币(预期接收 want 代币,本次攻击中应为 SPIRIT-LP)的差值为用户铸造抵押凭证。
3. 但由于 depositFor 函数并未检查用户指定转入的 token 的合法性,攻击者在调用 depositFor 函数时传入了由攻击者恶意创建的代币合约地址。当 GrimBoostVault 通过 safeTransferFrom 函数调用恶意合约的 transferFrom 函数时,恶意合约再次重入调用了 depositFor 函数。攻击者进行了多次重入并在最后一次转入真正的 SPIRIT-LP 流动性凭证进行抵押,此操作确保了在重入前后 GrimBoostVault 预期接收代币的差值存在。随后 depositFor 函数根据此差值计算并为攻击者铸造对应的抵押凭证。
4. 由于攻击者对 GrimBoostVault 合约重入了多次,因此 GrimBoostVault 合约为攻击者铸造了远多于预期的抵押凭证。攻击者使用此凭证在 GrimBoostVault 合约中取出了远多于之前抵押的 SPIRIT-LP 流动性凭证。随后攻击者使用此 SPIRIT-LP 流动性凭证移除流动性获得 WFTM 与 BTC 代币并归还闪电贷完成获利。
此次攻击是由于 GrimBoostVault 合约的 depositFor 函数未对用户传入的 token 的合法性进行检查且无防重入锁,导致恶意用户可以传入恶意代币地址对 depositFor 进行重入获得远多于预期的抵押凭证。慢雾安全团队建议:对于用户传入的参数应检查其是否符合预期,对于函数中的外部调用应控制好外部调用带来的重入攻击等风险。[2021/12/19 7:49:04]
ZKSwap安全模型
一个区块内记录的L2转账在L1上只有部分记录。只有区块信息的总结会被记录在L1链上,例如区块哈希、新默克尔根、区块高度等等。
当一个区块的转账被提交到L1上,区块就被创建出来,区块哈希会被验证。由于以太坊内建了sha256算法,所以区块哈希通常也使用sha256进行计算。
为了保持数据可用性,所有的转账数据都应该被提交到L1上,这被称为“公开数据”。一笔转账的公开数据与其在L2上的转账并不完全相同。系统在进入“退出模式”时将使用公开数据,这样任何人都能恢复最近的经过验证的默克尔树。
电路
L2的电路与L1的智能合约能够协同工作,确保ZK-Rollup协议的功能性。L2的电路保证了以下几点:L2转账签名正确、L1/L2转账执行正确、区块信息计算正确、及时有效地更新账户信息——包括默克尔根、账户默克尔树和费用信息等等。
双验证模式
验证模块对与安全性来说十分重要,是ZK-Rollup协议的基础。
公开数据验证——验证第一类和第二类转账的内容和次序。例如,验证存款需要确保存款数额和信息与L1上记录的相同,并且顺序无误。
区块验证——验证一个区块里的转账被正确执行,并且L2的账户默克尔树根被及时恰当地通过零知识证明进行更新。当一个区块被验证之后,更新的默克尔根就取得了最终性。
总结来说,整体的安全假设如下:
·一个区块的所有转账公开数据在链上;
·验证一个区块中第一类和第二类转账被正确执行;
·证明一个区块内的所有转账被正确执行、账户默克尔树被正确更新、一个区块内的所有转账的公开数据能够匹配;
·证明该区块内所有公开数据都被正确计算;
·提交给L1的区块公开数据与零知识证明系统所证明的数据相同。
公开数据不上链时会发生什么?
如果公开数据不在链上,安全假设“提交给L1的区块公开数据与零知识证明系统所证明的数据相同”就不能被验证。这时候,当L2的零知识证明系统阵营所有转账都被正确执行、默克尔树都被正确更新时,只能说明一个区块内的转账有效,而不能证明来自特定区块的其他转账。
大多数第三类转账都是安全的,但是对于提现操作来说,提现的收款人未经验证,不能被零知识证明系统证明。
对于第一类转账来说,所有可能的第一类转账都能被证明,但不能被验证。类如,零知识证明系统能证明一些非L1发起的存款转账。
由于只有验证着能提交公开数据或者区块证明,所以社区必须信任验证者是诚实的。当验证者诚实时,以上所有的风险都不会存在。对ZKSwap来说,所有公开数据都在浏览器中同步公布,任何人都可以验证公开数据和任何链上区块。
将公开数据存在链下不是一个草率的决定。这个选择背后的主要原因是降低Gas费和提高可扩展性。
Gas费用
保持ZK-Rollup协议运行的一个痛点是Gas。为了向L1提交一个区块,需要消耗以下GasLimit):
一个区块中,最多可以包括120笔交易转账。
如果要在L1提交验证一个区块,需要消耗大约23万GasLimit,calldata费用约占31%。
可扩展性
可扩展性是另一个考虑因素。假设一笔L2转账消耗1850.7Gas,那么ZKSwap将消耗10%的以太坊Gas,整体TPS将在51.5。
这是在只有交易、没有提现的情况,所以正常使用中将消耗更多Gas,TPS会更低。
结论
保护用户资金安全对所有区块链项目来说都很重要,也是ZKSwap的核心价值。当转账的公开数据没有提交上链时,安全性就依赖于零知识证明电路。当验证者诚实时,用户的资产就是安全的。从技术角度来说,如果验证者不诚实,安全性将会是一个问题。这是降低Gas、提高TPS的一个权衡。
考虑到Gas消耗和可扩展性,ZKSwap做了一个艰难的决定,将公开数据不上链,换来对L2用户更高的TPS和更低的Gas消耗。
我们愿意倾听开发者和用户的反馈,让ZKSwap系统更好。我们也可以在任何时间将所有数据上链。事实上,在发布ZKSwap之前,我们已经实现了100%数据可用的版本,所以我们可用随时升级至这个100%ZK-Rollup的版本,提供更高的Gas消耗、更低的TPS,但是更安全。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。