DA桥和Alt-DA信任假设

l2beat
发布于 2025-02-12 18:36
阅读 74

本文分析了Layer 2（L2）设计中引入外部数据可用性（DA）层如何改变安全和信任假设。通过Rari Chain与Celestia的Blobstream集成案例，探讨了DA桥接集成如何将信任从单一排序器转移到更广泛的证明委员会，从而提高安全性，并详细说明了在没有DA桥的情况下，恶意排序器可能通过数据扣留攻击窃取资金，而集成DA桥后，攻击者需要同时攻破排序器和DA证明委员会才能成功。

![](https://img.learnblockchain.cn/2025/06/10/68012727_image.jpg)

当引入外部数据可用性（DA）层时，Layer 2（L2）设计之间的安全性和信任假设可能会发生巨大变化。 特别是，在optimiums和validiums中，DA桥接集成可以将信任从单个排序器转移到更广泛的证明委员会，从而增强针对恶意行为的安全性。 通过检查Rari Chain与Celestia的Blobstream的集成，我们可以分析在与DA桥集成之前和之后L2 / L3信任假设如何变化。

Rari是基于Nitro的optimium，它依靠欺诈证明来保护其宿主链桥上的用户资金。 在不考虑DA桥的情况下，系统的工作方式如下：排序器将交易数据发布到Celestia DA层，如果成功，[它会将引用提交](https://arbiscan.io/tx/0x23d28b503ce51383ec478945703386d0b264d7b2e7f99a54f4700e15a4c2e3f2)发布到L1排序器收件箱。 L2节点能够读取L1承诺，从外部DA层获取相应的数据，并从中派生出L2链。

![](https://img.learnblockchain.cn/2025/06/10/1JrmR4U9cLGCArGxufCtMOw.png)

Alt-DA 链派生

但是，这只是最佳情况。 实际上，恶意排序器可能会向L1发布承诺，但未能向外部DA层提供相应的交易数据。 在这种情况下，用户依靠欺诈证明系统来保护其在宿主链桥上的资产。

![](https://img.learnblockchain.cn/2025/06/10/1biCY4SMw3U_gELHvlX5L4Q.png)

证明系统可以防止恶意排序器/提议者

证明系统旨在确保提议者和挑战者可以在状态转换输入或状态转换输出（即其结果）上存在分歧。 换句话说，为了使证明系统有效，任何两方都应该能够就输入数据的真实来源达成一致。 但是，如果没有DA桥验证数据是否已实际发布，则证明系统必须假定承诺指定的数据确实可用。 这会产生直接的数据扣留攻击（DWA）：运营商可以在L1上发布数据承诺，而不发布实际数据。 由于诚实的挑战者缺乏重建状态所需的输入，因此他们无法证明不当行为，并且运营商将有效地赢得任何挑战。 在这样的构造中，仅拥有证明系统是无效的 - 它不能保护用户免受数据扣留攻击。 有趣的是，反过来也是如此：如果没有证明系统，即使是DA桥也无法提供有意义的保护，因为如果DA桥声明数据不可用（例如，未证明数据的可用性），则无法采取任何措施。

![](https://img.learnblockchain.cn/2025/06/10/1DWg98A2FFoZAkeOr0fr5Yw.png)

没有DA桥 - 排序器成功DWA

因此，精心设计的状态根可能会在挑战窗口的长度内未受到挑战，从而被结算并允许排序器（和提议者）从桥中窃取资金。 **在不与DA桥集成的情况下，系统依赖于排序器的诚实性。**

但是，与DA桥集成后，信任假设会改变吗？

批处理发布过程是相同的，至少在Rari的示例中是这样，因为排序器既不等待DA承诺发布在DA桥上，也不等待排序器收件箱引用Blobstream DA桥。 但是，欺诈证明系统确实已更新。 特别是，单步证明者合约（确定挑战获胜者）已修改为允许针对Blobstream DA桥验证排序批次的包含。 通过此更改，欺诈证明挑战使DA桥成为输入的真实来源 - DA桥包含批次的数据可用性承诺，或者批次无效。

![](https://img.learnblockchain.cn/2025/06/10/1997-X07ryhTA8P7oN8zr4w.png)

DA桥集成

**信任假设现在已经改变，并且排序器不能独立窃取资金 - DA桥也需要受到威胁**才能接受无效的DA承诺。 在Rari的案例中，这意味着至少2/3的Celestia验证者（目前约为15亿美元的股份）需要签署无效的DA承诺，以证明数据在不可用时可用。

但是，实现细节很重要，用户尚未完全脱离困境。 由于DA桥充当以太坊外部DA层的预言机，因此它们需要一个实体 - 中继器 - 将承诺传递给以太坊。 中继器只是消息传递者，不需要签署承诺。 尽管具有这种简单的角色，但如果桥仅允许许可的中继器，则它们可以成为中心舞台。 在这种情况下，中继器的故障将直接影响桥的活跃性，并且**DA桥的活跃性对于确保资产安全至关重要。**

中继器可能因各种原因而未能履行其职责，包括运营失败、彻底的恶意行为，或者其交易可能被排序器直接掩盖。 无论原因如何，观察到恶意状态根的挑战者都需要中继器处于运行状态。 如果不能确定DA承诺已中继，挑战者将无法依靠证明系统将不可用的批次承诺视为不可用，从而可能失去挑战。 这反映在Rari的Blobstream集成中，其中证明系统中DA包含检查的结果可以是三种类型：`in_blobstream`（即，有效），`counterfactual`（即，无效）或`undecided` - 当批次数据的Celestia块尚未提交给Blobstream时。 “undecided”场景将导致验证功能恢复，使挑战者无法完成交易并阻止恶意状态根完成。

```
enum DaInclusion {
        NOT_CHECKED,
        IN_BLOBSTREAM,
        COUNTERFACTUAL
    }
```

![](https://img.learnblockchain.cn/2025/06/10/18Bf_lokoXA5tk1cVMNl1Kw.png)

DA桥集成取决于中继器和升级机制

另一个要考虑的集成设计是DA桥的可升级性。 挑战者需要确保在欺诈证明挑战的最后一步执行期间，DA承诺仍然是DA桥的一部分。 如果DA桥可以在没有延迟的情况下升级，则此保证将被打破。 诚实的挑战者可能会发现自己已经进入了一场注定要失败的挑战。 [L2BEAT风险框架](https://forum.l2beat.com/t/the-data-availability-risk-framework/318)建议DA桥智能合约的升级延迟，以确保挑战完成，并确保用户安全退出系统。

总而言之，DA桥集成确实改善了信任假设。 但是，只有在（a）中继器是无需许可的，并且（b）升级延迟足够长的情况下，才能实现此好处。 在这些条件下，破坏系统将需要攻击排序器和DA证明委员会 - 从而将安全性扩展到DA桥的完整密码经济保证。

![](https://img.learnblockchain.cn/2025/06/10/1fGneV-rIafTL6UCOx-Dr9w.png)

RARI Alt-DA 信任假设摘要

>- 原文链接： [medium.com/l2beat/da-bri...](https://medium.com/l2beat/da-bridges-and-alt-da-trust-assumptions-6a00c6f40b10)
>- 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

当引入外部数据可用性（DA）层时，Layer 2（L2）设计之间的安全性和信任假设可能会发生巨大变化。特别是，在optimiums和validiums中，DA桥接集成可以将信任从单个排序器转移到更广泛的证明委员会，从而增强针对恶意行为的安全性。通过检查Rari Chain与Celestia的Blobstream的集成，我们可以分析在与DA桥集成之前和之后L2 / L3信任假设如何变化。

Rari是基于Nitro的optimium，它依靠欺诈证明来保护其宿主链桥上的用户资金。在不考虑DA桥的情况下，系统的工作方式如下：排序器将交易数据发布到Celestia DA层，如果成功，它会将引用提交发布到L1排序器收件箱。 L2节点能够读取L1承诺，从外部DA层获取相应的数据，并从中派生出L2链。

Alt-DA 链派生

但是，这只是最佳情况。实际上，恶意排序器可能会向L1发布承诺，但未能向外部DA层提供相应的交易数据。在这种情况下，用户依靠欺诈证明系统来保护其在宿主链桥上的资产。

证明系统可以防止恶意排序器/提议者

证明系统旨在确保提议者和挑战者可以在状态转换输入或状态转换输出（即其结果）上存在分歧。换句话说，为了使证明系统有效，任何两方都应该能够就输入数据的真实来源达成一致。但是，如果没有DA桥验证数据是否已实际发布，则证明系统必须假定承诺指定的数据确实可用。这会产生直接的数据扣留攻击（DWA）：运营商可以在L1上发布数据承诺，而不发布实际数据。由于诚实的挑战者缺乏重建状态所需的输入，因此他们无法证明不当行为，并且运营商将有效地赢得任何挑战。在这样的构造中，仅拥有证明系统是无效的 - 它不能保护用户免受数据扣留攻击。有趣的是，反过来也是如此：如果没有证明系统，即使是DA桥也无法提供有意义的保护，因为如果DA桥声明数据不可用（例如，未证明数据的可用性），则无法采取任何措施。

没有DA桥 - 排序器成功DWA

因此，精心设计的状态根可能会在挑战窗口的长度内未受到挑战，从而被结算并允许排序器（和提议者）从桥中窃取资金。 在不与DA桥集成的情况下，系统依赖于排序器的诚实性。

但是，与DA桥集成后，信任假设会改变吗？

批处理发布过程是相同的，至少在Rari的示例中是这样，因为排序器既不等待DA承诺发布在DA桥上，也不等待排序器收件箱引用Blobstream DA桥。但是，欺诈证明系统确实已更新。特别是，单步证明者合约（确定挑战获胜者）已修改为允许针对Blobstream DA桥验证排序批次的包含。通过此更改，欺诈证明挑战使DA桥成为输入的真实来源 - DA桥包含批次的数据可用性承诺，或者批次无效。

DA桥集成

信任假设现在已经改变，并且排序器不能独立窃取资金 - DA桥也需要受到威胁才能接受无效的DA承诺。在Rari的案例中，这意味着至少2/3的Celestia验证者（目前约为15亿美元的股份）需要签署无效的DA承诺，以证明数据在不可用时可用。

但是，实现细节很重要，用户尚未完全脱离困境。由于DA桥充当以太坊外部DA层的预言机，因此它们需要一个实体 - 中继器 - 将承诺传递给以太坊。中继器只是消息传递者，不需要签署承诺。尽管具有这种简单的角色，但如果桥仅允许许可的中继器，则它们可以成为中心舞台。在这种情况下，中继器的故障将直接影响桥的活跃性，并且DA桥的活跃性对于确保资产安全至关重要。

中继器可能因各种原因而未能履行其职责，包括运营失败、彻底的恶意行为，或者其交易可能被排序器直接掩盖。无论原因如何，观察到恶意状态根的挑战者都需要中继器处于运行状态。如果不能确定DA承诺已中继，挑战者将无法依靠证明系统将不可用的批次承诺视为不可用，从而可能失去挑战。这反映在Rari的Blobstream集成中，其中证明系统中DA包含检查的结果可以是三种类型：in_blobstream（即，有效），counterfactual（即，无效）或undecided - 当批次数据的Celestia块尚未提交给Blobstream时。 “undecided”场景将导致验证功能恢复，使挑战者无法完成交易并阻止恶意状态根完成。

enum DaInclusion {
        NOT_CHECKED,
        IN_BLOBSTREAM,
        COUNTERFACTUAL
    }

DA桥集成取决于中继器和升级机制

另一个要考虑的集成设计是DA桥的可升级性。挑战者需要确保在欺诈证明挑战的最后一步执行期间，DA承诺仍然是DA桥的一部分。如果DA桥可以在没有延迟的情况下升级，则此保证将被打破。诚实的挑战者可能会发现自己已经进入了一场注定要失败的挑战。 L2BEAT风险框架建议DA桥智能合约的升级延迟，以确保挑战完成，并确保用户安全退出系统。

总而言之，DA桥集成确实改善了信任假设。但是，只有在（a）中继器是无需许可的，并且（b）升级延迟足够长的情况下，才能实现此好处。在这些条件下，破坏系统将需要攻击排序器和DA证明委员会 - 从而将安全性扩展到DA桥的完整密码经济保证。

RARI Alt-DA 信任假设摘要

原文链接： medium.com/l2beat/da-bri...

登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

翻译
学分: 0
分类: 以太坊
标签: Layer 2 数据可用性 DA桥 Celestia Blobstream 欺诈证明

本文参与登链社区写作激励计划，好文好收益，欢迎正在阅读的你也加入。

DA桥和Alt-DA信任假设

0 条评论

文章目录