Rollup真相：Vitalik 揭秘 L2 安全幻影，權力遊戲暗藏風險

Rollup 安全的幻影：Vitalik 的清醒批判

以太坊的 Layer 2 擴容方案 Rollup，一直被吹捧為解決以太坊擁堵和高 gas 費的靈丹妙藥。然而，圍繞 Rollup 安全性的討論，卻常常陷入一種數字遊戲的迷思。Vitalik Buterin 的這篇文章，看似在探討 Rollup 安全階段的劃分，實則是對整個 Rollup 生態的一種清醒批判。這種批判，並非來自一個局外人，而是來自以太坊的聯合創始人，這使得其更具力量。

安全階段的迷思：從數字遊戲到權力遊戲

一直以來，社群聚焦於以太坊 Rollup 安全性的三個階段，這不僅僅關乎以太坊主網及 L2 網絡的穩定性，更與 L2 網絡的真實發展狀況息息相關。Daniel Wang 提出的 #BattleTested 標籤，看似是對 L2 網絡的一種認可，實則也暴露出當前 L2 生態的焦慮：大家都渴望被認可，渴望被證明是安全的。但安全性，真的可以用幾個數字、幾個月的運行時間來簡單定義嗎？

Vitalik 將 Rollup 的安全性劃分為三個階段，看似提供了一個量化的評估框架，但仔細分析，這三個階段的劃分，本質上是一種權力遊戲：誰掌握了安全委員會的控制權，誰就掌握了 Rollup 的命運。這種權力，並非來自底層的加密學原理，而是來自人為的治理結構，這本身就是一種安全風險。

Stage 0：中心化的傲慢與偏見

在 Stage 0 階段，安全委員會擁有完全的控制權。表面上，可能存在一個運行的證明系統（Optimistic 或 ZK 模式），但這個證明系統形同虛設，因為安全委員會可以通過簡單的多數票機制推翻它。換句話說，證明系統只是一個「諮詢性質」的存在，真正的決策權掌握在少數人手中。

安全委員會的絕對權力：一場高風險的賭博

Stage 0 的問題，不僅僅在於其中心化，更在於這種中心化所帶來的傲慢與偏見。當少數人掌握了絕對的權力，他們很容易忽視底層技術的安全性，轉而依賴自身的判斷。這種判斷，往往受到個人利益、政治因素等多重因素的影響，而非純粹的技術考量。更可怕的是，這種中心化的結構，為潛在的惡意攻擊敞開了大門。如果安全委員會的成員串通一氣，或者被外部勢力脅迫，那麼整個 Rollup 網絡的安全將岌岌可危。

更進一步說，將所有希望寄託於一個由人組成的委員會，本身就是一種對人性的高估。歷史已經無數次證明，權力會腐蝕人，絕對的權力會絕對地腐蝕人。Stage 0 的安全模式，無異於一場高風險的賭博，賭注是所有用戶的資產安全。

Stage 1：看似進步的倒退？

Stage 1 聲稱相較於 Stage 0 有所進步，它要求安全委員會需要 75% (至少 ⁶⁄₈) 的批准才能覆蓋運行系統。 並且設立一個法定人數阻止子集（如 ≥ 3）在主要組織之外。乍看之下，這似乎提高了攻擊的門檻，分散了權力。但深入分析，這種看似進步的設計，可能是一種倒退。

75% 的門檻：真的安全了嗎？

75% 的批准門檻，意味著仍然只需要少數人就可以推翻證明系統的結果。 這種模式依舊依賴於安全委員會的誠實和能力。 即使引入了主要組織之外的法定人數阻止子集，也無法完全消除共謀的風險。 想像一下，如果 8 個安全委員會成員中有 6 個受到某種形式的脅迫（例如，來自政府的壓力，或者黑客的威脅），那麼整個系統仍然會崩潰。

更令人擔憂的是，Stage 1 這種模式可能造成一種虛假的安全感。 開發者和用戶可能會誤以為系統更加安全，從而降低對潛在風險的警惕性。實際上，Stage 1 只是將單點故障轉變為多點故障，但並未從根本上解決中心化權力的問題。 而且，為了達成 75% 的共識，安全委員會的決策效率可能會降低，從而延緩對緊急安全事件的響應速度。 在某些情況下，這種決策延遲可能比中心化的快速反應更具危害性。

Stage 2：理想國的陷阱

Stage 2 被認為是 Rollup 安全的最終階段，安全委員會只能在可證明的錯誤情況下採取行動。例如，當兩個冗餘的證明系統（例如 OP 和 ZK）相互矛盾時，安全委員會可以介入，但它只能選擇提出的答案之一，而不能任意干預。這聽起來很美好，彷彿我們終於可以擺脫人為干預，完全依賴加密學的確定性。

可證明的錯誤：誰來定義「錯誤」？

然而，Stage 2 的問題在於，誰來定義「可證明的錯誤」？即使是兩個證明系統相互矛盾，也可能存在多種解釋，哪一種解釋才是真正的「錯誤」？更重要的是，證明系統本身也可能存在漏洞，導致其產生錯誤的結果。如果安全委員會的成員缺乏足夠的技術能力，他們可能無法識別這些漏洞，從而做出錯誤的決策。

此外，過於強調「可證明的錯誤」，可能會導致安全委員會在面對一些新出現的、未知的風險時，變得束手束腳。他們可能會因為缺乏明確的「證據」，而不敢採取行動，從而錯失了最佳的防禦時機。更諷刺的是，即使在 Stage 2，安全委員會仍然掌握著一定的權力，他們仍然可以選擇在兩個相互矛盾的答案中選擇一個。這種選擇權，本身就蘊含著潛在的風險，因為它可能會被濫用，用於實現某些人的個人利益。

因此，Stage 2 並非 Rollup 安全的終點，而是一個新的起點。我們需要不斷地反思和改進，才能真正實現去中心化、無信任的安全。

數學模型的誤導：簡化與現實的鴻溝

Vitalik 在文章中嘗試使用數學模型來量化不同安全階段的風險。 他假設安全委員會成員有 10% 的「單獨故障」的可能性，並使用二項分佈來計算不同階段的失敗概率。 這種數學模型看似嚴謹，實則存在嚴重的缺陷。

獨立故障的謊言：安全委員會的真實面貌

最核心的問題在於，安全委員會成員的故障並非完全獨立的。 他們可能串通一氣，或者都受到同樣的脅迫或黑客攻擊。 這種「共同模式故障」的可能性遠遠大於 10%。 試想一下，如果整個安全委員會都受到同一個國家的政府的控制，那麼無論是 Stage 0、Stage 1 還是 Stage 2，都形同虛設。

Vitalik 意識到這個問題，並提出要求在主要組織之外擁有一個法定人數阻止子集，以避免這種情況的發生。 但這種做法仍然無法完全消除共謀的風險。 即使存在一個獨立的子集，他們也可能受到某種形式的誘惑或威脅，從而選擇與其他成員合作。

此外，數學模型忽略了另一個重要的因素：安全委員會成員的能力。 一些成員可能缺乏足夠的技術知識，無法理解複雜的加密學原理，從而做出錯誤的判斷。 另一些成員可能缺乏誠實和責任感，為了個人利益而損害整個系統的安全。

因此，過於依賴數學模型來評估 Rollup 的安全性是一種誤導。 我們需要更加關注安全委員會的組成、權力結構和激勵機制，才能真正理解潛在的風險。

過渡的藝術：速度與質量的權衡

Vitalik 在文章中提到，過早地跳到 Stage 2 是錯誤的，尤其是如果向 Stage 2 過渡的工作是以犧牲加強底層證明系統的工作為代價的話。 這句話一針見血地指出了當前 Rollup 生態的一個普遍現象：過於追求速度，而忽略了質量。

證明系統的幽靈：審計與成熟度的缺失

許多 Rollup 項目為了儘快推出產品，吸引用戶，往往會忽略對證明系統的充分審計和測試。 他們可能會使用一些尚未經過時間考驗的、不成熟的證明系統，或者直接抄襲其他項目的代碼，而沒有充分理解其背後的原理。 這種做法無異於在一個不穩固的地基上建造摩天大樓，風險極高。

Vitalik 建議 L2Beat 這樣的數據提供商應該展示證明系統審計和成熟度指標（最好是證明系統實現而非整個匯總的指標，這樣我們可以復用），並附帶展示階段。 這個建議非常重要，它可以幫助用戶更好地理解不同 Rollup 方案的安全性，從而做出更明智的選擇。

然而，僅僅依靠數據提供商的披露是不夠的。 我們需要建立一套更加完善的審計和評估機制，確保所有 Rollup 項目都遵循嚴格的安全標準。 我們還需要鼓勵更多的開發者參與到證明系統的開發和審計中，共同構建一個更加安全、可靠的 Rollup 生態。 否則，Rollup 只能是空中樓閣，美麗卻不安全。