用木桶理論拆解比特幣/以太坊Layer2安全模型與風險指標

在建造比特幣Layer2的同時，我們應充分認識到「西學東用」的意義，對以太坊社群的諸多結論進行適度的吸收與優化。但在藉鏡比特幣生態以外的觀點時，我們有必要意識到其出發點的差異，並最終做到求同存異。

作者：Faust & 霧月，極客web3

顧問：Kevin He(@0xKevinHe)，新火科技技術VP

導語：美國管理學家勞倫斯·彼得曾提出“木桶理論”，該理論認為，一個系統的整體性能，被其最薄弱的部分所限制。換言之，一個木桶能裝多少水，由它最短的那塊木板決定。這個道理雖然簡單，卻又常被忽略。以往對Layer2安全性的辯論，大多忽略了不同組件的優先順序與重要程度，基本都集中在狀態轉換可靠性與DA問題上，卻忽略了更底層更重要的要素，這樣下來整套理論根基可能都站不住腳。所以，當我們對多模組的複雜系統展開探討時，要先摸清楚哪塊是「最短的木板」。

受到木桶理論的啟發，我們做了系統分析之後發現，比特幣/以太坊Layer2安全模型中的不同組件間，也存在明顯的依賴關係，或者說某些組件的安全性比其他組件的安全性更基礎、更重要，即所謂「更短」。

對此，我們可以初步對主流Layer2安全模型中不同元件的重要程度/基礎程度，進行如下優先排序：

1. 合約/官方橋的控制權限是否被合理分散（多簽控制權有多集中）

2. 是否有抗審查的提款功能（強制提款、逃生艙）

3. DA層/資料發布形式是否可靠（DA資料是否發佈在比特幣、以太坊上）

4. 是否在Layer1上部署了可靠的詐欺證明/有效性證明系統（比特幣L2需要藉助於BitVM）

我們應該適度吸收以太坊社群對Layer2的研究成果，避免李森科主義

相較於高度秩序化的以太坊Layer2體系，比特幣Layer2猶如一片嶄新的天地，這個在銘文熱潮後顯得愈發重要的新概念，在表現出崛起勢頭的同時，其生態體系卻日漸混亂、趨於混沌，霎時間各種Layer2專案方層出不窮，有如雨後春筍。他們在為比特幣生態帶來希望的同時，卻刻意隱瞞自身的安全風險，甚至曾有人揚言“否定以太坊Layer2，走比特幣生態獨特道路”，大有走極端主義路線的勢頭。

考慮到比特幣與以太坊在功能屬性上的不同，比特幣Layer2在早期注定無法向以太坊Layer2對齊，但這並不能說明，我們應當徹底否定以太坊乃至模組化區塊鏈界早有定論的產業常識（參考前蘇聯生物學家李森科，借意識形態問題，迫害西方遺傳學支持者的「李森科事件」）。

恰恰相反，這些由「前人」花費巨大努力取得的評判標準，在得到了廣泛認可後，早已表現出強大的說服力，刻意否定這些成果的價值，絕非理智之舉。

在建造比特幣Layer2的同時，我們應充分認識到「西學東用」的意義，對以太坊社群的諸多結論進行適度的吸收與優化。但在藉鏡比特幣生態以外的觀點時，我們有必要意識到其出發點的差異，並最終做到求同存異。

這就像是在探討「西方人」與「東方人」的同與異。不管是西方的還是東方的，「人」這個後綴都表達了很多相似的特徵，只是在對應「西方」和「東方」這種不同前綴時，會在細分特徵上有所不同。

但歸根結底，「西方人」和「東方人」之間注定存在重合，這就意味著，許多適用於西方人的東西，在東方人身上同樣適用，許多適用於「以太坊Layer2」的東西，也同樣適用於「比特幣Layer2」。在區分比特幣L2與以太坊L2的不同前，先理清兩者之間的互通之處，或許是更為重要、更有意義之事。

秉著“求同存異”的宗旨，本文作者並不打算探討“什麼是比特幣Layer2，什麼不是”，因為這個話題爭議過大，就連以太坊社區都沒有就“哪些是以太坊Layer2，哪些不是Layer2 」而達成客觀一致的見解。

但可以肯定的是，不同的技術方案在為比特幣帶來擴容效應的同時，其安全風險各有不同，其安全模型中存在的信任假設，將是本文打算重點探討的議題。

如何理解Layer2的安全性及評判標準

其實，Layer2的安全性不是一個新鮮的討論點。甚至就連安全性這個詞，也是一個包含了多個細分屬性的複合概念。

先前EigenLayer創辦人曾將「安全性」簡單的細分為「交易不可逆轉性（抗回滾性）、抗審查性、DA/資料發布可靠性、狀態轉換有效性」等4個要素。

而L2BEAT和以太坊社群OG曾提出比較系統的Layer2風險評估模型，當然這些結論針對於智慧合約型Layer2，而非主權Rollup、客戶端驗證等典型的非智慧合約型Layer2。

雖然這並不100%適合比特幣L2，但還是包含了值得肯定的諸多結論，其大部分觀點已經在西方社區被廣泛認可，也便於我們客觀評估不同比特幣L2的風險所在。

那麼安全風險都來自於哪裡？考慮到當前，無論是以太坊Layer2還是比特幣Layer2，許多都依賴於中心化的節點來充當排序器，或由少數節點組成側鏈形式的“委員會”，這些趨於中心化的排序器/委員會如果不受限制，可以竊取用戶資產並隨時跑路，可以拒絕用戶的交易請求，導致資產被凍結無法使用。這便牽涉到前文EigenLayer創辦人提到的狀態轉換有效性與抗審查性。

同時，由於以太坊Layer2依賴ETH鏈上的合約進行狀態轉換驗證和充提款行為驗證，合約控制者（其實就是Layer2官方）若能快速更新合約邏輯，在其中摻雜惡意程式碼段（比如，允許某個指定的地址，把L1-L2充提款合約上鎖定的代幣全部轉走），就可以直接盜走託管的資產。

這歸結為“合約多簽分配問題”，而多簽分配問題一樣適用於比特幣Layer2 ，因為比特幣Layer2往往依賴於“公證人橋”，需要多個節點通過多簽來放行跨鏈請求，所以比特幣Layer2身上也存在多簽如何合理分配的問題，我們甚至可以把它看作比特幣Layer2身上最基礎的「輔助輪」。

此外，DA問題也極為重要。如果Layer2不把資料上傳到Layer1，而自行選用一些不可靠的DA發布場所，假如這種鏈下DA層（一般稱為DAC數據可用性委員會）發生串謀，拒絕對外發布最新交易數據，數據扣留攻擊將導致網路報廢，並可能使得用戶無法順利提款。

L2BEAT對上述問題進行了總結，並歸納出了Layer2安全模型中幾個核心的要素：

1. 狀態驗證/證明系統是否可靠（State Validation）

2 . DA資料發布方式是否可靠（Data Avalibility）

3. 如果Layer2網路故意拒絕你的交易/停機，你能否強制將資產撤出Layer2（Sequencer Faliure、Proposer Failure）

4. Layer2相關合約-官方跨鏈橋的控制權，是否足夠分散。如果權力比較集中，發生「監守自盜」時，使用者能否有足夠的時間去應急（Exit Window）

Anyway ，當我們分析Layer2安全隱患時，其實就是在探討，Layer2網路內存在多少可能導致使用者資產受損的場景，對於這些危險情況，Layer2系統又能否透過機制設計進行有效制約。如果某些惡意行為是無法杜絕的，我們又需要引入多大程度的“信任”，需要信任一個群體中的多少個體，需要依賴於多少“輔助輪”。

下文中我們將對通用的以太坊Layer2/比特幣Layer2模型中，存在的風險要素進行分析（本文所談及的物件不包含“狀態通道”或“支付通道”，也不包括銘文索引協議，因為它們比較特殊）。而我們會嘗試探討，哪些因素是Layer2安全模型中，更基礎、更底層、更重要的，這些更為基礎的短板，將是比其他短板更值得我們去重視的信任風險。

Layer2的木桶效應－短板有哪些

最短的那塊板子－合約/官方橋的管理權

在這裡，我們不妨用「木桶效應」來分析Layer2安全問題，很容易看出，最短的一塊木板就是上文有所提及的「合約可升級性」（主要針對以太坊Layer2），或者更進一步的說，是「官方跨鏈橋的管理權」（比特幣和以太坊Layer2都適用）。

對於以太坊Layer2而言，只要Layer2官方可以在Layer1鏈上快速升級合約，理論上可以把L2官方橋充提款地址上鎖定的Token盜走，無論其DA層或證明系統有多麼可靠。

可以說，橋接合約的控制權限關乎整個系統的安危，它是整個Layer2甚至模組化區塊鏈堆疊中最基礎、最關鍵的部分。如果橋接組件/合約是可以在多簽控制下更新迭代的，那我們就要在這裡引入“信任假設”，假設Layer2合約/官方橋的控制者不會作惡。

有別於以太坊Layer2的是，比特幣Layer2的橋基本上不受Layer1上的合約控制，因為比特幣本來就不支援智能合約。相對而言，以太坊Layer2的整個工作流程都高度依賴Layer1上的合約，而比特幣Layer2不能這麼做。

這對比特幣Layer2而言，是避不開的問題，可以說既有好處也有壞處。目前看來，以太坊Layer2依賴合約實現的“去信任化的橋”，在比特幣L2身上無法實現。這種「Trustless Bridge」需要在Layer1上部署專用合約，同時需要DA+詐欺證明/ZK證明系統的配合，本質類似Orbiter那種「樂觀橋」或Polyhedra這類ZK橋。

目前業界的主流觀點是，若不考慮實務上可能存在的bug，只考慮理論模型，樂觀橋和ZK橋的安全等級基本上是最高的一檔，只要合約程式碼不包含bug，或不能被惡意升級，基本就是去信任化的。

由於比特幣Layer2沒辦法在Layer1上部署合約組件（這裡不談論閃電網路），它的官方橋基本上都是少數節點組成的“公證人橋”，或者叫“多簽橋”，這種橋的安全性，取決於多重簽/閾值簽章的設定方式，需要引入較強的信任假設：假設這些公證人不會合謀，或不被盜取私鑰。

目前大多數基於公證人/閾值簽名的橋，在安全性上無法與以太坊Layer2官方的“去信任化橋”相提並論（其前提是以太坊Layer2的合約不會發生惡意升級）。顯然，比特幣Layer2網路託管的資產安全性，將會受制於其官方橋的安全性，或者說受限於多簽橋的權力分散度，這是其第一個「輔助輪」所在。

由於以太坊Layer2官方橋相關合約的“升級權限”，往往也集中在少數幾個多簽控制者手上，如果多簽控制者串謀，以太坊Layer2的橋也會出問題，除非其合約不可升級，或受到了很長的延遲限制（目前只有Degate和Fuel V1如此）。

關於「官方橋」這部分，以太坊Layer2和比特幣Layer2的信任模型基本一致：需要信任多籤的控制者不會串謀作惡，這組多簽可以控制L2官方橋，要么更改其代碼邏輯，要嘛直接放行無效的提款請求，最後的結果都是：使用者資產可能被偷。

兩者唯一的差別是，以太坊Layer2只要合約不惡意升級/升級窗口期夠長，其官方橋就是去信任的，但比特幣Layer2無論如何都達不到這種效果。

第二短的板子－抗審查的強制提款

如果我們假設，前文所說的合約多簽/官方橋控制權問題可以無視，也就是這一層沒有問題，那麼接下來最重要的一層，必然是提款行為的抗審查性。

關於抗審查強制提款/逃生艙功能的重要性，Vitalik在幾個月前的文章“Different types of layer 2s”中曾強調，用戶能否順利的把資產從Layer2撤回至Layer1，是一個非常重要的安全指標。

如果Layer2的排序器一直拒絕你的交易請求，或者長時間故障/宕機，你的資產將被“凍結”，什麼都乾不了。即便DA和詐欺證明/ZK證明系統可用，如果沒有抗審查方案，這樣的Layer2也是不夠安全的，隨時可以把你的資產扣住。

更何況，曾在以太坊生態盛極一時的Plasma方案，允許任何人在DA失效或欺詐證明失效時，安全的把資產撤出至Layer1。這時候，整個Layer2網路基本上已經報廢，但你的資產仍有辦法全身而退。顯然，抗審查的提領功能，比DA與證明系統更基礎、更底層。

部分以太坊Layer2，如Loopring和StarkEx、dYdX、Degate等，會在Layer1上設立一個抗審查的強制提款/逃生艙激活函數，以Starknet為例，如果用戶在Layer1上提交的Forced Withdrawal請求，在7天窗口期結束時，未得到Layer2排序器回應，則可手動呼叫freeze Request功能讓L2進入凍結狀態，啟動逃生艙模式。

此時，排序器無法向L1上的Rollup合約提交數據，整個Layer2將凍結一年。然後，用戶可以提交merkle proof，證明自己在Layer2上的資產狀態，並在Layer1上直接提款（其實就是從官方橋的充提款地址中，把屬於自己的等額資金拿走）。

很顯然，逃生艙模式只能在以太坊這種支援智慧合約的鏈上實現，比特幣無法運作這麼複雜的邏輯。換言之，逃生艙功能基本上是以太坊Layer2的專利，比特幣Layer2必須藉助於一些額外的輔助手段，照貓畫虎的模仿，這就是第二處「輔助輪」。

但單純聲明“強制提款請求”，要比直接啟動逃生艙方便的多。前者只需要讓使用者在Layer1上向指定地址提交一筆交易，並在交易的附加資料中，聲明自己想提交給全體Layer2節點的資料（這樣可以直接繞過排序器，向其它Layer2節點傳達請求） 。如果「強制提款」長時間無法回應，使用者再去觸發逃生艙模式，是比較合理的設計。

（參考資料：對Layer2而言，強制提款與逃生艙功能到底有多重要？https://mp.weixin.qq.com/s/EheKZWDcJHYZ7vBZZPOMDA）

目前，已經有比特幣Layer2團隊打算模仿Arbitrum的強制交易實現方式，允許用戶在比特幣鏈上發布強制交易聲明（Forced Transaction Envelopes）。這種方案下，使用者可以繞開排序器直接向其它Layer2節點「傳達心聲」。如果排序器在看到用戶的強制交易聲明後依然拒絕其請求，將會被其他Layer2節點察覺並可能受到懲罰。

但問題在於，Arbitrum的強制交易功能，受益於其詐欺證明系統，可以懲罰一直無視用戶交易的Sequencer/Proposer。但對於難以在Layer1上驗證詐欺證明的比特幣Layer2，會在這方面遇到一定挑戰。 （暫且不討論BitVM）如果是主權Rollup這種安全等級與客戶端驗證並無太大差異的方案，我們很難嚴肅的評估其可靠性，可能要針對不同項目的實現細節進行評估。

當然，鑑於目前許多比特幣Layer2以類似側鏈的形式運轉，相當於實現了去中心化排序器，可以一定程度上解決抗審查問題。但這只是一種有效的輔助手段，絕對不是終極解決方案。

ps：現在的一些Layer2方案，如Validium等，在逃生艙的機制設計上並不完善，排序器發動資料扣留攻擊/DA不可用時，可以讓使用者無法提款。但這歸因於Layer2逃生艙設計的不完善，理論上來看，最優的逃生艙提款可以只依賴歷史數據，不需要對DA/新數據的可獲得性產生依賴）

第三短的板：DA層資料發布的可靠性

DA雖然被稱作數據可用性，但這個名詞實際指的是數據發布，只是因為Vitalik和Mustafa在最初給這個概念起名字時，沒有深思熟慮，才有了DA/數據可用性這種名不符實的叫法。

數據發布，顧名思義，說的是：最新的區塊/交易數據/狀態轉換參數，能否被有需要者順利接收。在不同的鏈上發布數據，其可靠性都不一樣。 （參考資料：對資料可用性的誤解：DA=資料發布≠歷史資料檢索https://mp.weixin.qq.com/s/OAM_l4Pe9Gphn8H55OZUtw）

西方社群普遍認為，比特幣、以太坊等老牌公鏈，是最信任的DA層。如果Layer2排序器在以太坊上發布了新的數據，任何人只要運行以太坊geth客戶端，就能下載到這些數據並進行同步，幾乎不會受到任何阻攔，這是憑藉以太坊網絡龐大的規模，和繁多的公開資料來源來實現的。

值得一提的是，以太坊Rollup會強行要求排序器在Layer1上發布交易資料/狀態轉換參數，這一點是透過有效性證明/詐欺證明來保證的。

例如，ZK Rollup的排序器在Layer1上發布交易資料後，會觸發合約邏輯產生一個datahash，而驗證器合約要確認，Proposer提交的有效性證明和datahash有對應關係。

這等價於：確認Proposer提交的zk Proof和Stateroot，與Sequencer提交的Tx data，是關聯在一起的，即New Stateroot=STF(Old Stateroot，Txdata)。 STF就是state transition function狀態轉換函數。

這樣可以確保將狀態轉換資料/DA強行上鍊，如果只提交stateroot和有效性證明，將無法通過驗證器合約的verify。

關於DA資料發布與證明驗證系統哪個更基礎，以太坊/Celestia社群早已進行過充分討論，普遍結論是：DA層是否可靠，要比詐欺證明/有效性證明系統的完備性更重要。比如說，Plasma、Validium、Optimium這類——DA層在以太坊鏈下、結算層在以太坊鏈上的方案，容易遭遇“數據扣留攻擊”，就是指：

Sequencer/Proposer可以與ETH鏈下的DA層節點串謀，​​在Layer1上更新stateroot，但扣住狀態轉換對應的輸入參數不發出來，讓外人無法判斷新的stateroot是否正確，成為“睜眼瞎” 。

這種情況發生的話，整個Layer2網路相當於報廢，因為這時，你根本不知道Layer2帳本變成了什麼樣。如果是基於詐欺證明的Layer2（Plasma和Optimium），排序器可以隨意改寫任意帳戶下的資料/資產；如果是基於有效性證明的Layer2（Validium），雖然排序器不能隨便改寫你的帳戶，但此時整個Layer2網路成了黑箱，沒人知道裡面發生了啥，跟報廢沒差別。正因如此，以太坊生態內的正統Layer2方案，基本上都是Rollup，而Validium和Optimium往往不被以太坊基金會認可。

（參考資料：資料扣留與詐欺證明：Plasma不支持智能合約的原因https://mp.weixin.qq.com/s/oOPZqIoi2p6sCxBdfUP4eA）

所以， DA層的可靠性/狀態轉換參數的可獲得性，比詐欺證明/有效性證明系統的完備性更重要，更基礎。對於比特幣Layer2,，尤其是基於客戶端驗證模型的Layer2而言，即便沒有在Layer1上設定詐欺證明/有效性證明驗證系統，只要DA層照常工作，大家依然能知道L2網路是否出現錯誤的狀態轉換。

目前比特幣主網難以驗證詐欺證明/有效性證明（此處不探討BitVM），我們先假設比特幣L2沒有證明驗證系統。理想狀態下，如果L2排序器真的作惡，在結算層/BTC上發布一個與DA資料無關聯的stateroot，它還是無法真正意義的盜取用戶資產，因為它單方面提交的stateroot/狀態轉換結果，不會被誠實節點認可，到最後可能只是自嗨。

如果是類似側鏈的模型，多數節點串謀執行惡意的狀態變更，人們很快就可以發現問題。只要跨鏈橋、交易所這類第三方設施不認可錯誤的數據，Layer2/側鏈的惡意控制者就無法成功套現，除非他說服別人與他在鏈上直接OTC。

這裡有一個很有趣的點，其實無論是以太坊Layer2，還是比特幣Layer2，都可以做到「客戶端驗證」。但以太坊Layer2在「客戶端驗證」的基礎上，借助Layer1和證明驗證系統，保證狀態轉換的有效性，基本上不必依賴社會共識（前提是有成熟的詐欺證明/有效性證明系統）。

而比特幣Layer2的「客戶端驗證」方案往往對「社會共識」有較強依賴，會帶來相應的風險（對於比特幣Layer2而言，這種安全風險基本上可控，但還是可能導致某些人損失資產。對於以太坊Layer2而言，因為其官方橋需要證明系統的配合，如果證明系統不完善，排序器可以盜取用戶資產並提到L1上跑路。當然，具體要看跨鏈橋組件怎麼設計）。

所以說，一個能在Layer1上實現詐欺證明/有效性證明驗證系統的Layer2，永遠都要比單純的「客戶端驗證」模型好的多。

PS:由於大多數採用了欺詐證明/有效性證明系統的比特幣Layer2，無法讓Layer1直接參與到證明驗證流程，所以其本質仍然只是把比特幣當做DA層，安全模型等價於「客戶端驗證」。

理論上來看，在Layer1上透過BitVM方案，可以在比特幣鏈上驗證詐欺證明，但這種方案工程落地難度很大，會遇到很大挑戰。鑑於以太坊社群早已對基於Layer1的證明驗證系統做出了特別多的討論，已經人盡皆知，所以本文不打算對「基於Layer1的證明驗證系統」進行贅述。

總結

經過簡單的木桶模型分析，我們可以初步得出結論：主流的Layer2安全模型中，按照重要程度/基礎程度，可以進行如下排序：

1. 合約/官方橋的控制權限是否被合理分散

2. 是否有抗審查的提款功能

3. DA層/資料發布形式是否可靠

4. 是否在Layer1上部署了可靠的詐欺證明/有效性證明系統

當然，我們並未對閃電網路/狀態通道及ICP生態的ckBTC、銘文索引協定等方案進行分析，因為它們與典型的Rollup、Plasma、Validium或客戶端驗證方案有較大差異。由於時間關係，我們也難以對其安全性與風險要素進行審慎的評估，但考慮到它們的重大意義，日後相關的評估工作必將如期進行。

同時，對於銘文索引協議是否該被看作Layer2一事，諸多項目方之間存在嚴重的分歧，但毋論Layer2定義之事，銘文索引協議等新事物為比特幣生態帶來了充分的技術創新，並終將​​迸發出巨大的活力。