Раніше сьогодні один із ключів підпису оракула Lido, яким керує Chorus One, був скомпрометований. Що це означає? () Найголовніше: оракул не є мультипідписом. Він не зберігає кошти і не може спустошити протокол. Депозити користувачів ніколи не були під загрозою. Отже, для чого саме потрібен цей оракул? Lido використовує оракул 5 із 9, щоб повідомляти про стан рівня консенсусу Ethereum смарт-контрактам рівня виконання. По суті, він інформує контракти Lido про те, скільки валідатори заробили для користувачів за цей день, чи відбулися якісь скорочення тощо. Який найгірший сценарій? Якщо весь оракул буде скомпрометований, він може неправильно повідомити про стан рівня консенсусу, що призведе до незначного перебазування stETH в будь-якому напрямку. Однак вплив значно обмежений, оскільки протокол Lido суворо обмежує оновлення оракула, які він приймає. Можливо, ви чули, що зловмисник вкрав 1,4 ETH. Так, але це були газові гроші, що лежали на скомпрометованому рахунку, не пов'язані з протоколом. Через те, як оракул збирає звіти від кількох підписантів, компрометація навіть чотирьох ключів не вплине на кінцевий результат. Навіть при наявності п'яти і більше потенційних пошкоджень жорстко обмежена. Той факт, що стан CL не доступний безпосередньо на EL, є відомим обмеженням Ethereum, з яким стикаються всі пули стейкінгу. Власне, це прекрасний приклад того, як Lido підходить до безпеки, активно посилюючи всі зовнішні залежності. Мало того, що Lido проводить жорсткі перевірки здорового глузду щодо дозволених оновлень, так ще й в наступному році весь механізм перейде на перевірку ZK. ( Для отримання більш детальної інформації про сьогоднішній інцидент, технічні уявлення про дизайн оракула Lido і про те, що вирізняє нашу культуру безпеки, перегляньте також тред Іззі: