Pada 10 Mei dini hari, penyedia layanan oracle Chorus One mengungkapkan bahwa dompet panas Lido oracle telah diretas yang mengakibatkan pencurian 1,46 ETH. Namun, menurut audit keamanan, kejadian terisolasi ini memiliki dampak yang terbatas, karena desain dompet yang terlibat memang hanya digunakan untuk operasi ringan.
Serangan terhadap oracle terdengar memang sangat buruk. Namun, desain arsitektur Lido, nilai-nilai pemangku kepentingan, dan budaya kontributor yang berfokus pada keamanan, berarti bahwa dampak dari kejadian semacam itu sangat terbatas - bahkan jika oracle sepenuhnya diretas, itu tidak akan menyebabkan konsekuensi yang bencana.
Jadi, apa yang membuat Lido begitu unik?
Desain yang dipikirkan dengan matang dan mekanisme perlindungan berlapis
Orakel Lido bertanggung jawab untuk menyampaikan informasi lapisan konsensus ke lapisan eksekusi dan melaporkan dinamika protokol. Mereka tidak mengendalikan dana pengguna. Orakel yang gagal tunggal hanya akan menyebabkan masalah kecil, bahkan jika prosedur arbitrase (quorum) dilanggar, tidak akan menyebabkan konsekuensi yang bencana.
Apa saja perilaku jahat yang mungkin dicoba oleh oracle yang telah diserang?
A) Mengajukan laporan jahat (tetapi akan diabaikan oleh oracle yang jujur);
B) menghabiskan saldo ETH dari alamat oracle tertentu (alamat ini hanya digunakan untuk operasi transaksi dan tidak menyimpan dana dari validator).
Apa sebenarnya tanggung jawab oracle?
Oracle Lido pada dasarnya adalah mekanisme terdistribusi yang terdiri dari 9 peserta independen (diperlukan 5/9 untuk mencapai konsensus), yang terutama bertanggung jawab untuk melaporkan status protokol, dengan fungsi inti saat ini mencakup:
• Pemberian imbalan inflasi token (rebase)
• Proses Penarikan
• Verifikasi keluarnya Node dan pemantauan kinerja untuk referensi CSM (Community Security Module)
Kesempatan prediksi ini memungkinkan protokol untuk mengajukan "laporan" tentang status yang diamati. Laporan ini digunakan untuk menghitung hadiah atau hukuman kumulatif harian, memperbarui saldo stETH, memproses dan akhirnya mengonfirmasi permintaan penarikan, menghitung aplikasi keluar validator, serta mengukur kinerja validator.
Secara esensial, oracle Lido berbeda dari "multi-signature" yang biasanya dipahami orang. Oracle tidak dapat mengakses dana dari staker dan protokol, tidak dapat mengontrol upgrade kontrak protokol, apalagi melakukan upgrade atau mengelola keanggotaan sendiri. Sebaliknya, Lido DAO memelihara daftar oracle melalui voting.
Fungsi oracle sangat terbatas — hanya dapat melakukan operasi berikut: mengajukan laporan, yang secara ketat mengikuti algoritma deterministik, diaudit, dan open-source yang dirancang untuk tujuan protokol yang berbeda; melakukan transaksi dalam situasi tertentu untuk menerapkan hasil laporan (misalnya operasi rebase harian protokol).
Jika 5 dari 9 oracle diretas, apa yang akan terjadi dalam skenario terburuk? Dalam hal ini, oracle yang diretas mungkin bersekongkol untuk mengajukan laporan jahat, tetapi setiap laporan harus melalui pemeriksaan keabsahan protokol yang ditegakkan secara on-chain.
Jika laporan melanggar pemeriksaan kelayakan ini, waktu pemrosesannya akan diperpanjang (bahkan mungkin tidak pernah bisa) "penyelesaian", karena nilai-nilai dalam laporan harus sesuai dengan rentang perubahan nilai yang diizinkan dalam periode waktu tertentu (beberapa hari atau beberapa minggu).
Dalam skenario terburuk, ini mungkin berarti bahwa rebase seperti stETH (baik positif atau negatif) memerlukan waktu lebih lama untuk berlaku, yang akan berdampak pada pemegang stETH, tetapi dampaknya sangat kecil bagi sebagian besar pemegang, kecuali jika seseorang menggunakan stETH dengan leverage di DeFi.
Ada kemungkinan lain: jika oracle jahat dan konspiratornya menguasai informasi tertentu, atau memiliki kemampuan untuk menerapkan hukuman besar di lapisan konsensus (seperti penyitaan besar-besaran), mereka mungkin akan memanfaatkan keterlambatan pembaruan stETH di lapisan eksekusi untuk mendapatkan keuntungan ekonomi.
Misalnya, jika terjadi penyitaan besar-besaran, beberapa orang mungkin akan menjual sebagian stETH melalui bursa terdesentralisasi (DEX) sebelum rebase negatif berlaku. Namun, ini tidak akan mempengaruhi operasi penarikan yang dilakukan pengguna secara langsung melalui Lido, karena "mode darurat" (bunker mode) dari protokol akan diaktifkan, memastikan proses penarikan dilaksanakan dengan adil.
transparansi yang instan dan menyeluruh
Dari awal hingga akhir, semua peserta dalam ekosistem Lido — baik itu kontributor, operator node, maupun operator oracle, selalu menempatkan transparansi dan niat baik sebagai prioritas utama, dengan mengutamakan perlindungan hak-hak staker dan kesehatan keseluruhan ekosistem.
Baik itu secara aktif menerbitkan laporan analisis pasca kejadian yang rinci, mengompensasi kerugian staking yang disebabkan oleh downtime infrastruktur, atau secara proaktif menarik diri dari Node untuk pertimbangan pencegahan, atau dengan cepat menerbitkan laporan insiden yang komprehensif, para peserta ini selalu mengutamakan transparansi.
terus iterasi dan meningkatkan
Lido selalu berada di garis depan penelitian dan pengembangan teknologi, berkomitmen untuk menggunakan teknologi bukti nol pengetahuan (ZK) untuk meningkatkan keamanan dan tingkat desentralisasi mekanisme oracle. Sejak tahap awal, tim telah menginvestasikan lebih dari 200.000 dolar untuk mendukung verifikasi data lapisan konsensus tanpa kepercayaan melalui teknologi bukti nol pengetahuan.
Eksplorasi teknologi ini akhirnya mengarah pada peluncuran resmi mekanisme "Double Verification" dari SP1 zero-knowledge oracle yang dikembangkan oleh tim SuccinctLabs, yang akan diluncurkan dalam tahun ini. Mekanisme ini menyediakan lapisan verifikasi keamanan tambahan untuk potensi operasi rebase negatif melalui data lapisan konsensus yang dapat diverifikasi.
Saat ini, teknologi zero-knowledge semacam ini masih dalam tahap pengembangan, dan mesin virtual zero-knowledge terkait (zkVM) tidak hanya perlu menjalani pengujian praktis, tetapi juga memiliki keterbatasan dalam kecepatan perhitungan yang relatif lambat dan biaya komputasi yang tinggi, sehingga belum dapat sepenuhnya menggantikan oracle yang terpercaya. Namun, dalam jangka panjang, solusi semacam ini diharapkan menjadi alternatif dengan kepercayaan minimal untuk oracle yang ada.
Teknologi oracle sangat kompleks dan memiliki berbagai skenario aplikasi di bidang DeFi. Dalam protokol Lido, oracle dirancang sebagai komponen inti dengan cermat, melalui arsitektur desentralisasi yang efektif, mekanisme pemisahan tanggung jawab, serta sistem verifikasi berlapis, secara signifikan mengurangi jangkauan dampak risiko potensial.
Konten ini hanya untuk referensi, bukan ajakan atau tawaran. Tidak ada nasihat investasi, pajak, atau hukum yang diberikan. Lihat Penafian untuk pengungkapan risiko lebih lanjut.
1.4 ETH kecil pencurian kasus di balik: analisis bagaimana Lido mencapai pemisahan risiko melalui desain desentralisasi
Penulis: @IsdrsP (Kepala Node Verifikasi Lido)
Disusun oleh: Nicky, Foresight News
Pada 10 Mei dini hari, penyedia layanan oracle Chorus One mengungkapkan bahwa dompet panas Lido oracle telah diretas yang mengakibatkan pencurian 1,46 ETH. Namun, menurut audit keamanan, kejadian terisolasi ini memiliki dampak yang terbatas, karena desain dompet yang terlibat memang hanya digunakan untuk operasi ringan.
Serangan terhadap oracle terdengar memang sangat buruk. Namun, desain arsitektur Lido, nilai-nilai pemangku kepentingan, dan budaya kontributor yang berfokus pada keamanan, berarti bahwa dampak dari kejadian semacam itu sangat terbatas - bahkan jika oracle sepenuhnya diretas, itu tidak akan menyebabkan konsekuensi yang bencana.
Jadi, apa yang membuat Lido begitu unik?
Desain yang dipikirkan dengan matang dan mekanisme perlindungan berlapis
Orakel Lido bertanggung jawab untuk menyampaikan informasi lapisan konsensus ke lapisan eksekusi dan melaporkan dinamika protokol. Mereka tidak mengendalikan dana pengguna. Orakel yang gagal tunggal hanya akan menyebabkan masalah kecil, bahkan jika prosedur arbitrase (quorum) dilanggar, tidak akan menyebabkan konsekuensi yang bencana.
Apa saja perilaku jahat yang mungkin dicoba oleh oracle yang telah diserang?
A) Mengajukan laporan jahat (tetapi akan diabaikan oleh oracle yang jujur);
B) menghabiskan saldo ETH dari alamat oracle tertentu (alamat ini hanya digunakan untuk operasi transaksi dan tidak menyimpan dana dari validator).
Apa sebenarnya tanggung jawab oracle?
Oracle Lido pada dasarnya adalah mekanisme terdistribusi yang terdiri dari 9 peserta independen (diperlukan 5/9 untuk mencapai konsensus), yang terutama bertanggung jawab untuk melaporkan status protokol, dengan fungsi inti saat ini mencakup:
• Pemberian imbalan inflasi token (rebase)
• Proses Penarikan
• Verifikasi keluarnya Node dan pemantauan kinerja untuk referensi CSM (Community Security Module)
Kesempatan prediksi ini memungkinkan protokol untuk mengajukan "laporan" tentang status yang diamati. Laporan ini digunakan untuk menghitung hadiah atau hukuman kumulatif harian, memperbarui saldo stETH, memproses dan akhirnya mengonfirmasi permintaan penarikan, menghitung aplikasi keluar validator, serta mengukur kinerja validator.
Secara esensial, oracle Lido berbeda dari "multi-signature" yang biasanya dipahami orang. Oracle tidak dapat mengakses dana dari staker dan protokol, tidak dapat mengontrol upgrade kontrak protokol, apalagi melakukan upgrade atau mengelola keanggotaan sendiri. Sebaliknya, Lido DAO memelihara daftar oracle melalui voting.
Fungsi oracle sangat terbatas — hanya dapat melakukan operasi berikut: mengajukan laporan, yang secara ketat mengikuti algoritma deterministik, diaudit, dan open-source yang dirancang untuk tujuan protokol yang berbeda; melakukan transaksi dalam situasi tertentu untuk menerapkan hasil laporan (misalnya operasi rebase harian protokol).
Jika 5 dari 9 oracle diretas, apa yang akan terjadi dalam skenario terburuk? Dalam hal ini, oracle yang diretas mungkin bersekongkol untuk mengajukan laporan jahat, tetapi setiap laporan harus melalui pemeriksaan keabsahan protokol yang ditegakkan secara on-chain.
Jika laporan melanggar pemeriksaan kelayakan ini, waktu pemrosesannya akan diperpanjang (bahkan mungkin tidak pernah bisa) "penyelesaian", karena nilai-nilai dalam laporan harus sesuai dengan rentang perubahan nilai yang diizinkan dalam periode waktu tertentu (beberapa hari atau beberapa minggu).
Dalam skenario terburuk, ini mungkin berarti bahwa rebase seperti stETH (baik positif atau negatif) memerlukan waktu lebih lama untuk berlaku, yang akan berdampak pada pemegang stETH, tetapi dampaknya sangat kecil bagi sebagian besar pemegang, kecuali jika seseorang menggunakan stETH dengan leverage di DeFi.
Ada kemungkinan lain: jika oracle jahat dan konspiratornya menguasai informasi tertentu, atau memiliki kemampuan untuk menerapkan hukuman besar di lapisan konsensus (seperti penyitaan besar-besaran), mereka mungkin akan memanfaatkan keterlambatan pembaruan stETH di lapisan eksekusi untuk mendapatkan keuntungan ekonomi.
Misalnya, jika terjadi penyitaan besar-besaran, beberapa orang mungkin akan menjual sebagian stETH melalui bursa terdesentralisasi (DEX) sebelum rebase negatif berlaku. Namun, ini tidak akan mempengaruhi operasi penarikan yang dilakukan pengguna secara langsung melalui Lido, karena "mode darurat" (bunker mode) dari protokol akan diaktifkan, memastikan proses penarikan dilaksanakan dengan adil.
transparansi yang instan dan menyeluruh
Dari awal hingga akhir, semua peserta dalam ekosistem Lido — baik itu kontributor, operator node, maupun operator oracle, selalu menempatkan transparansi dan niat baik sebagai prioritas utama, dengan mengutamakan perlindungan hak-hak staker dan kesehatan keseluruhan ekosistem.
Baik itu secara aktif menerbitkan laporan analisis pasca kejadian yang rinci, mengompensasi kerugian staking yang disebabkan oleh downtime infrastruktur, atau secara proaktif menarik diri dari Node untuk pertimbangan pencegahan, atau dengan cepat menerbitkan laporan insiden yang komprehensif, para peserta ini selalu mengutamakan transparansi.
terus iterasi dan meningkatkan
Lido selalu berada di garis depan penelitian dan pengembangan teknologi, berkomitmen untuk menggunakan teknologi bukti nol pengetahuan (ZK) untuk meningkatkan keamanan dan tingkat desentralisasi mekanisme oracle. Sejak tahap awal, tim telah menginvestasikan lebih dari 200.000 dolar untuk mendukung verifikasi data lapisan konsensus tanpa kepercayaan melalui teknologi bukti nol pengetahuan.
Eksplorasi teknologi ini akhirnya mengarah pada peluncuran resmi mekanisme "Double Verification" dari SP1 zero-knowledge oracle yang dikembangkan oleh tim SuccinctLabs, yang akan diluncurkan dalam tahun ini. Mekanisme ini menyediakan lapisan verifikasi keamanan tambahan untuk potensi operasi rebase negatif melalui data lapisan konsensus yang dapat diverifikasi.
Saat ini, teknologi zero-knowledge semacam ini masih dalam tahap pengembangan, dan mesin virtual zero-knowledge terkait (zkVM) tidak hanya perlu menjalani pengujian praktis, tetapi juga memiliki keterbatasan dalam kecepatan perhitungan yang relatif lambat dan biaya komputasi yang tinggi, sehingga belum dapat sepenuhnya menggantikan oracle yang terpercaya. Namun, dalam jangka panjang, solusi semacam ini diharapkan menjadi alternatif dengan kepercayaan minimal untuk oracle yang ada.
Teknologi oracle sangat kompleks dan memiliki berbagai skenario aplikasi di bidang DeFi. Dalam protokol Lido, oracle dirancang sebagai komponen inti dengan cermat, melalui arsitektur desentralisasi yang efektif, mekanisme pemisahan tanggung jawab, serta sistem verifikasi berlapis, secara signifikan mengurangi jangkauan dampak risiko potensial.
Sumber konten: