Исследование выявляет риски неверной оценки транзакций в роллапах Ethereum и предлагает улучшения для повышения их устойчивости к злоупотреблениям.

Исследование предупреждает о том, что сети роллапов Ethereum неправильно оценивают небольшие транзакции, что создает риски, варьирующиеся от завышенных пользовательских затрат до атак типа `отказ в обслуживании`. Это утверждается в новом исследовании, проведенном исследователями из zkSecurity, Prooflab и Имперского колледжа Лондона.

Исследование под названием `Несоответствующие стимулы: атаки на ценообразование против блокчейн-роллапов` было опубликовано в воскресенье и подробно описывает, как различные ролапы рассчитывают сборы за выполнение, доступность данных и затраты на доказательства. В результате было сделано вывод, что текущие механизмы сбора сборов слишком просты и не способны сбалансировать справедливость, безопасность и удобство использования.

Роллапы — это сети второго уровня, которые группируют транзакции и обрабатывают их на блокчейнах первого уровня, таких как Bitcoin, Ethereum и Solana, чтобы сократить расходы и увеличить пропускную способность. Роллапы играют центральную роль в плане масштабирования Ethereum, который полагается на эти системы для обработки больших объемов транзакций, пока базовая цепь ограничена по пропускной способности.

Для работы роллапам необходимо оплачивать три отдельных ресурса. Первый — это вычисление, затраты на выполнение транзакций внутри группы. Второй — доступность данных, расходы на размещение данных о транзакциях обратно в блокчейн для проверки. Третий — стоимость газа для соглашения по пакетам и проверки доказательств.

Эти три затраты варьируются независимо, но в исследовании обнаружено, что большинство роллапов не учитывают их отдельно. Вместо этого они часто сворачивают их в одну формулу или применяют фиксированные правила, что может искажать цены.

По словам исследователей, этот дизайн означает, что небольшие переводы могут быть неправильно оценены. Пользователи, осуществляющие небольшие платежи, могут заплатить больше, чем необходимо, в то время как злоумышленники могут воспользоваться заниженными транзакциями, отправляя большие объемы спама за небольшие деньги.

Авторы провели оценку пяти основных роллапов — Polygon zkEVM, zkSync Era, Scroll, Optimism и Arbitrum — и обнаружили широкие различия в том, как устанавливаются сборы. Некоторые сети фиксируют сборы в момент подачи транзакции, другие ждут, пока группа будет завершена, а некоторые возвращают деньги, если фактическая стоимость оказывается ниже ожидаемой.

Эти механизмы могут казаться техническими, но создают возможности для эксплуатации. Например, систему возврата средств можно обойти, если злоумышленники подают большое количество транзакций, а затем возвращают часть сбора, продолжая при этом использовать ресурсы сети.

Авторы подчеркивают, что `наивные модели сборов создают уязвимые места`, предостерегая, что фиксированные или статические кривые сборов особенно уязвимы.

Помимо разочарования пользователей, в статье утверждается, что эти слабости создают системный риск. Если неправильное ценообразование позволяет злоумышленникам субсидировать небольшие транзакции, то они могут провести атаки типа `отказ в обслуживании`, которые перегрузят сеть, ухудшают производительность или увеличат затраты для честных пользователей. Проблема заключается не в неправильном коде, а в экономическом дизайне, который формирует стимулы.

В исследовании подчеркивается, что эти вопросы важны по мере роста экосистемы роллапов Ethereum. Сегодня роллапы защищают десятки миллиардов долларов активов, что делает их высокоценными целями.

Авторы подчеркивают: `Игнорирование этих проблем со стимулами больше не безопасно`.

В качестве мер по смягчению последствий в статье предлагается `мультимодальная` система сбора сборов, которая отдельно оценивает вычисление, размещение данных и доказательства. Авторы утверждают, что согласование сборов с реальным использованием ресурсов сделает системы более устойчивыми к спаму, предоставляя пользователям более предсказуемые затраты.

Инструменты, такие как динамическая регулировка, частичная группировка и раскрытие компонентов затрат, могут помочь в решении этой проблемы. Некоторые команды роллапов уже экспериментируют с адаптивными кривыми сборов и моделированием в реальном времени, но в исследовании отмечается, что стандарты еще не установлены.

Результаты исследования появляются в тот момент, когда Ethereum продвигает дорожную карту, ориентированную на нулевые доказательства и масштабирование с помощью роллапов. Нулевые виртуальные машины, или zkVMs, обещают более надежную проверку транзакций, но также вводят затраты на доказательства, которые могут резко возрастать в зависимости от спроса и доступного оборудования. Модели, которые не учитывают эту изменчивость, как указывает статья, рискуют не выдержать стресс.

Для пользователей, бирж и кошельков это может означать непостоянные сборы и ухудшенное обслуживание. Для разработчиков и инвесторов послание исследования заключается в том, чтобы смотреть beyond headline throughput или номинально низкие сборы и исследовать, как эти сборы рассчитываются.

Авторы поддерживают: `Стимулы — это безопасность`, призывая сообщество Ethereum рассматривать ценообразование транзакций как часть дизайна консенсуса, а не как вспомогательную деталь.