Sáng nay, một trong các khóa ký của oracle Lido, được vận hành bởi Chorus One, đã bị xâm phạm. Điều này có ý nghĩa gì? () Quan trọng nhất: Oracle không phải là multi-sig. Nó không lưu giữ quỹ và không thể rút cạn giao thức. Không có khoản tiền gửi nào của người dùng từng gặp rủi ro. Vậy chính xác thì oracle này dùng để làm gì? Lido sử dụng một oracle 5-trong-9 để báo cáo trạng thái lớp đồng thuận Ethereum cho các hợp đồng thông minh lớp thực thi Ethereum. Về cơ bản, nó thông báo cho các hợp đồng Lido về số tiền mà các validator kiếm được cho người dùng trong ngày, liệu có bất kỳ sự cắt giảm nào xảy ra, v.v. Kịch bản xấu nhất là gì? Nếu toàn bộ oracle bị xâm phạm, nó có thể báo cáo sai trạng thái lớp đồng thuận, khiến stETH điều chỉnh nhẹ theo cả hai hướng. Tuy nhiên, tác động bị giới hạn đáng kể, vì giao thức Lido nghiêm ngặt giới hạn các cập nhật oracle mà nó chấp nhận. Bạn có thể đã nghe nói rằng kẻ tấn công đã đánh cắp 1.4 ETH. Đúng vậy—nhưng đây chỉ là tiền gas nằm trong tài khoản bị xâm phạm, không liên quan đến giao thức. Do cách oracle tổng hợp báo cáo từ nhiều người ký, việc xâm phạm thậm chí bốn khóa cũng không ảnh hưởng đến kết quả cuối cùng. Ngay cả với năm hoặc nhiều hơn, thiệt hại tiềm năng cũng bị giới hạn chặt chẽ. Việc trạng thái CL không trực tiếp có sẵn trên EL là một hạn chế đã biết của Ethereum mà tất cả các nhóm staking đều phải đối mặt. Thực tế, đây là một ví dụ hoàn hảo về cách Lido tiếp cận bảo mật—tích cực củng cố tất cả các phụ thuộc bên ngoài. Không chỉ Lido có các kiểm tra hợp lý chặt chẽ đối với các cập nhật được phép, mà vào năm tới, toàn bộ cơ chế sẽ chuyển sang bằng chứng ZK. ( Để biết thêm chi tiết về sự cố hôm nay, những hiểu biết kỹ thuật về thiết kế oracle của Lido, và điều gì làm cho văn hóa bảo mật của chúng tôi nổi bật, hãy xem chuỗi bài viết của Izzy nhé: