La diferencia entre zkRollup y Validium, el esquema de expansión de Ethereum: ¿para qué escenarios son adecuados?

Prefacio: Tanto zkRollup como Validium son soluciones de escalabilidad para la capa 2 de Ethereum. Su validez de transacción se realiza mediante el uso de prueba de conocimiento cero, pero la disponibilidad de datos de uno se mantiene en la cadena y el otro se mantiene fuera de la cadena. Esta diferencia aparentemente pequeña conduce a una gran diferencia en el nivel de seguridad de los activos entre los dos. Por supuesto, esto también conduce a una gran diferencia en el rendimiento entre los dos. Validium puede ser más adecuado para aplicaciones de frecuencia relativamente alta (como dApps de juegos) que no requieren tanta confianza, mientras que zkRollup es más adecuado para escenarios como pagos e intercambios que requieren mayor seguridad. El autor de este artículo es Alex Gluchowski, traducido por "SIEN" de la comunidad "Blue Fox Notes".

DeversiFi lanzó recientemente una nueva versión del intercambio impulsado por el motor comercial StarkEx. Este es un logro técnico notable que aumenta el nivel de seguridad que los usuarios esperan de los intercambios de criptomonedas. También marca un punto de inflexión histórico: esta es la primera aplicación de STARK (pruebas sucintas de conocimiento cero sin configuración de confianza) en un sistema de producción.

Por contexto, StarkEx es Validium: es una solución de escalado de Capa 2 donde la validez de todas las transacciones se aplica mediante pruebas de conocimiento cero, mientras que la disponibilidad de datos se mantiene fuera de la cadena. Esto evita el robo de fondos en Validium, ya que cada transferencia de valor que se produce desde una cuenta de usuario en particular debe ser autorizada por el usuario.

(vitalik retuiteó el resumen de Eli Ben-Sasson de la diferencia entre los dos)

El mecanismo de Validium es muy similar a zkRollup, la principal diferencia es que la disponibilidad de datos en zkRollup está en la cadena, mientras que Validium permanece fuera de la cadena. Esto permite que Validium logre un mayor rendimiento, sin embargo, tiene un precio:

"Quien puede destruir cosas, controla cosas." - Frank Herbert, Dune

Sin la garantía de disponibilidad de datos de zkRollup, el operador de Validium (o más bien, el administrador de disponibilidad de datos), puede negar a cualquier usuario el derecho a transferir fondos.

Así es como funciona: los operadores realizan pequeños cambios en el estado de Merkle sin revelar sus cambios de estado a los usuarios. Sin esta información, los usuarios no pueden crear pruebas de propiedad de Merkle para sus cuentas.

Como se muestra en la imagen: Si el operador cambia la cuenta d3, el propietario de la cuenta d1 perderá su prueba La información del nodo m requerida en , que debe usarse para demostrar la titularidad de su cuenta.

¿Hay alguna forma de prevenir los ataques de retención de datos en Validium? Desde que se propuso el concepto de Plasma en 2016, este tema ha sido discutido por todos. Al mismo tiempo, nació zkRollup basado en este resultado de investigación. Los intentos no consolidados de garantizar la disponibilidad de datos sin confianza, lo que resultará en la pérdida de la mayoría de las ventajas competitivas de Validium.  

Aunque no es una solución completa al problema, StarkEx mitigó esto mediante la introducción de un Comité de Disponibilidad de Datos (DAC) autorizado.

El DAC debe confirmar que ha recibido los datos firmando cada actualización al estado a través de un quórum de los miembros de su comité. En StarkEx, DAC está compuesto por 8 participantes (agregar demasiados miembros será perjudicial para la actividad del sistema). Todas son organizaciones conocidas y de buena reputación en jurisdicciones legales establecidas. Es casi imposible que intenten abusar de su poder. Esta es la lógica de su construcción.

Paradójicamente, las jurisdicciones que son bien conocidas, prestigiosas y ubicadas en estados poderosos son las que las hacen vulnerables. Un escenario potencialmente problemático: los operadores requieren regulaciones KYC/AML y están obligados a congelar (posiblemente para siempre) todos los fondos en cuentas con registros de transacciones superiores a $10,000.

A medida que avanzaba nuestra investigación, StarkEx implementó un mecanismo de "actualización del contrato del validador", que permite a los operadores agregar inmediatamente nuevos elementos al contrato del validador en cadena. No puede invalidar ninguna lógica anterior, por ejemplo, no puede eliminar las comprobaciones de firma de usuario. En su lugar, permite agregar restricciones adicionales (en términos de solidez, puede pensar en las restricciones como   instrucciones `require()`).

Esta es una buena característica de seguridad: si se encuentra alguna restricción faltante en la lógica del circuito STARK de StarkEx, se puede solucionar rápidamente sin introducir nuevas vulnerabilidades. Sin embargo, esta funcionalidad se puede utilizar como una puerta trasera de censura oculta.

En resumen, los operadores de StarkEx siempre pueden implementar extensiones para la lógica del contrato, de modo que existe la posibilidad de que las extensiones introduzcan listas negras sin previo aviso a los usuarios. No está del todo claro en su documentación, pero no parece que se requiera el consentimiento del DAC (Blue Fox Notes: Data Availability Committee) para implementar las nuevas reglas.

Esto no tiene mucho sentido si consideras a StarkEX como un protocolo comercial completamente descentralizado. Imagínese si Vitalik Buterin tuviera un interruptor que pudiera congelar instantáneamente cualquier cuenta de Ethereum, ¿qué pasaría? Además, si ve a StarkEX como una mejora de las características de seguridad de un intercambio de cifrado (como deberían hacerlo sus creadores), entonces tiene sentido.

Ampliemos el experimento mental. Por la supuesta razón que sea (muy probablemente por razones fuera del control del operador), los activos de muchos usuarios han sido congelados. Entonces, ¿también se pueden confiscar los fondos de los usuarios en StarkEx?

De hecho, es posible.

Como muchos otros proyectos criptográficos, StarkEx implementa el último mecanismo de actualización. Antes de implementar una nueva versión, los usuarios serán notificados con 28 días de anticipación, y cualquier persona a la que no le guste puede retirarse y salir.

Excepto para aquellos cuyos fondos estén congelados.

Se puede implementar una nueva lógica en el contrato, de modo que después de que finalice el período de gracia, los fondos congelados se puedan transferir a la parte designada para su custodia. Desafortunadamente, los usuarios afectados no tienen nada que hacer al respecto.

También existe una preocupación legítima de que el ciclo de recordatorio de actualización puede no ser suficiente para cerrar la sesión de todos los usuarios que no están de acuerdo con el cambio (el llamado escenario de "salida masiva"). Sin embargo, este problema es un problema general de actualización del contrato, no un problema exclusivo de Validium.

En una discusión de seguimiento, Justin Drake señaló que la disponibilidad de datos podría conducir a un vector de ataque inesperado: si las claves de firma del quórum del DAC (Comité de disponibilidad de datos) se vieran comprometidas (dado que estas claves permanecen en línea, esto hace que sea difícil para ellos estar completamente seguros), un atacante podría transformar Validium en un estado conocido solo para ellos, congelando así todos los activos y luego exigir un rescate para desbloquearlos.

En teoría, un mecanismo de actualización de contrato podría mitigar tales ataques. Los operadores de Validium pueden iniciar una implementación de una nueva versión y, después de un período de notificación de actualización de 28 días, revertir el estado a la última versión conocida. Esto sería un bloqueo de capital de un mes, que por supuesto tiene un costo significativo, pero si el DAC se niega a negociar, el atacante no obtendrá nada.

Sin embargo, resulta que el atacante tiene una forma de obligar al operador a decidir entre perderlo todo o permitir que el atacante gaste el doble. Esto se puede ilustrar con el siguiente ejemplo:

Imagine que pudiera piratear un cajero automático de tal manera que borre toda la base de datos del banco después de que se complete un retiro. Solo puedes retirar dinero de tu propia cuenta, pero cuando desaparece la base de datos, se pierden los detalles de la operación. Los empleados del banco pueden completar un proceso complejo de recuperación de la base de datos en un mes. Sin embargo, dado que no tienen forma de saber quién hizo el retiro, al volver al último punto de control, también restaurarán el saldo retirado. (Blue Fox Notes: es decir, los atacantes pueden lograr ataques de doble gasto operando sus propias cuentas)

Por supuesto, este ataque de doble gasto se limitará al saldo de la cuenta del atacante. Sin embargo, no es difícil construir contratos sin confianza y tomar prestados los activos necesarios de ballenas anónimas.

La disponibilidad de datos en zkRollup protege los activos de los usuarios de la incautación, la censura y la piratería, pero con un rendimiento reducido. Para los usuarios de zkrollup, el estado del resumen está disponible siempre que haya un nodo completo de Ethereum en línea.

Así es como funciona: para cada bloque zkRollup, la información necesaria para reconstruir el cambio de estado debe enviarse como los datos de llamada de la transacción de Ethereum; de lo contrario, el contrato inteligente zkRollup se negará a realizar la transición de estado. Los cambios de estado en zkRollups darán como resultado un menor costo de gas por transacción, que crece linealmente con la cantidad de transacciones.

Con los datos del árbol Merkle a mano, los usuarios examinados siempre pueden reclamar sus fondos directamente desde el contrato zkRollup en la red principal. Todo lo que necesitan hacer es proporcionar una prueba de propiedad de Merkle en su cuenta. Por lo tanto, la disponibilidad de datos en la cadena garantiza que nadie (incluidos los operadores de zkRollup) pueda congelar o capturar los fondos de los usuarios.

El almacenamiento en cadena de la disponibilidad de datos da como resultado un rendimiento limitado, zkRollup tiene un límite superior de 2000 tps en Ethereum hoy, mientras que StarkEx Validium afirma alcanzar los 9000 tps. Esta diferencia puede conducir a decisiones críticas en términos de dominios de aplicación y casos de uso para elegir entre las dos tecnologías. Por ejemplo, zkRollup es muy adecuado para expandir el pago encriptado descentralizado (el tps promedio global de VISA es 2000) y esos contratos inteligentes no manipulables que tienen requisitos estrictos sin confianza; para Validium, puede ser más adecuado para el comercio tradicional de alta frecuencia o buenos juegos con suposiciones de confianza más bajas.

Se ha demostrado que zkRollups y Validium (StarkEX) son relativamente similares en su funcionamiento, pero su principal diferencia es si los datos están disponibles dentro o fuera de la cadena. Esto es crucial para entenderlos y saber dónde usarlos. Esta diferencia también significa que, si bien zkRollup es un protocolo de escalado descentralizado sin permisos, Validium exhibe más propiedades (ya sea en términos de rendimiento o características de riesgo) de un sistema PoA de custodia, aunque su seguridad ha mejorado mucho.

Ambos desarrollos tecnológicos están aliviando la necesidad de confianza y brindando a los usuarios más control sobre sus activos. Ambos avanzan hacia el empoderamiento de las personas, y siempre hay que hacer concesiones para lograr avances.

Sin embargo, en la comunidad criptográfica, existe un consenso cada vez mayor de que la tecnología ha superado la fase de "no seas malvado" y entró en la fase de "no puede ser malvado". Podemos hacer esto a través del alojamiento propio, la resistencia a la censura, la privacidad y la eliminación de puntos únicos de falla. Estas ideas forman los valores fundamentales del sistema por el que luchamos.

Tags：

Intercambio de bitcoins