我们通过介绍 Lido 协议参与者可用的恶意策略,探索对 Lido 和以太坊的攻击空间:
- stETH 持有者:利用其否决权破坏治理的能力。
- 节点运营商:能够通过协调削减来稳定 stETH 和 LDO 的价格。能够与建设者勾结,混淆 MEV 奖励。
- LDO 持有者:能够通过升级合约明确攻击 Lido。通过胁迫节点操作员的行为破坏以太坊共识。通过在生态系统中的定位和软实力进行隐性攻击的能力。
致谢
特别感谢 Vitalik、Tim、Barnabé、Sam、Sacha、Izzy、Jon、Toni、Justin、Thomas、stokes 和 Danny 的讨论和评论。
在深入探讨各种方案之前,让我们先明确一下 Lido 的不同参与者和他们所扮演的角色。
<strong style="color: rgb(0, 0, 0);">角色
- stETH 持有者(代表)。任何 ETH 持有者都可以通过 https://stake.lido.fi 以 1:1 的比例铸造 stETH,成为委托人。stETH 是一种重定向和有收益的资产,因此持有它等同于委托(也可以在二级市场上购买 stETH)。功能包括
- 铸造和赎回 stETH,以及
- (最终)对任何治理投票拥有否决权(被称为 "双重治理")。
- 节点运营商(NOs)(代表)。运行接受委托 ETH 的验证器的 31 个组织。请查看 rated.network 上的最新统计数据。本动议旨在加入 7 个新方——加入轮更新有更多细节。能力包括
- 控制从 Lido 接收委托 ETH 的验证器签名密钥、
- 选择要运行的执行和共识层客户端,以及
- 在 Lido 指定的政策(如提议者奖励政策)范围内决定其他验证器配置(地理位置、mev-boost 利用率等)。
- LDO 持有者(治理参与者)。Lido DAO 允许基于 LDO 的代币加权投票参与治理。请参见 https://votes.lido.fi 上的当前投票。DAO 可通过合约升级对协议进行 "根 "访问。功能包括
- 升级智能合约(包括提款和 stETH 铸造合约)、
- 维护节点操作员注册表,以及
- 分配金库。
<strong style="color: rgb(0, 0, 0);">stETH 持有者攻击
根据设计,stETH 持有者在 Lido 协议中没有太多权力。通过将 ETH 委托给 Lido,他们放弃了大量的控制权,并承担了协议风险。作为回报,他们得到的是可在 DeFi 中使用的可替代 LST,并且只需持有就能获得奖励。不过,如果 stETH 持有者选择用脚投票,他们也有一张王牌;Lido 只在 ETH 仍被委托的情况下起作用。如果节点运营商或治理参与者违反了他们的信任,stETH 持有者可以随时撤回他们的 ETH。就 stETH 持有者可以发起的攻击而言,他们在协议中拥有的唯一明确权力将是双重治理下赋予他们的否决权(注意,双重治理尚未实施)。
1. 通过否决权进行治理破坏。
(i) 战略。StETH 持有者否决任何治理提案,以有效冻结协议。或者,他们利用否决权将协议导向预期结果(例如,只允许审查 NO 加入)。萨姆在 "防止否决权滥用 "中对此进行了讨论。
(ii) 短期。DAO 治理锁定,需要协调才能退出否决状态。LDO 或 stETH 的价格可能会因市场情绪而发生变化,从而允许攻击者尝试建立空头头寸。
(iii) 长期。在最好的情况下,DAO 恢复运行,恶意 stETH 持有者被清除出系统或受到惩罚。在最坏的情况下,协议治理停止运作。现有的 NO 固若金汤,但协议却无法再更新。虽然终局利多确实旨在僵化,但以这种方式过早冻结治理会严重削弱系统。
(iv) 缓解。正如 "防止否决权滥用 "中所概述的,这种攻击的代价会非常高昂。在撰写本文时,stETH 的 FDV 约为 150 亿美元。如果需要 1%的 stETH 来行使否决权,则代价为 150 毫米美元。目前正在积极讨论其他缓解战略,如延长时限和征用 stETH。
(v) 严重性。低/中:3.5/10。考虑到成本以及在实施双重治理之前正在积极研究其他缓解技术的事实,严重性似乎并不太高。
<strong style="color: rgb(0, 0, 0);">节点运营商攻击
节点操作员在 Lido 生态系统中拥有很大的权力。作为验证者签名密钥的唯一拥有者,以及参与以太坊协议的硬件和软件的自主权,每个节点运营商都被信任能够处理大量验证者。由于节点操作员不需要提供抵押,因此他们没有“参与游戏”的权利,这就体现了委托代理问题。任何行为不端的节点运营者都不会受到以太坊协议的惩罚,但他们会牺牲参与网络的未来贴现现金流(他们从验证者那里赚取 5% 的赌注奖励),以及损害以太坊的声誉(所有节点运营者都是众所周知的实体)。这种组合应被视为节点运营商的 "经济安全"。
附注 1——简单计算一下 Lido 节点运营商的回报。每个运营商控制约 10,000 个验证器,相当于 320,000 个 ETH。按照 4% 的年利率和 5% 的节点运营商奖励计算,我们可以得到 320000⋅0.04⋅0.05=640ETH/ 年。按 1600 美元/ETH 计算,每个节点运营商每年可获得 1,024,000 美元。
每个节点运营商都控制着委托给 Lido 的部分 ETH;最大的节点运营商大约拥有 1/30 的 ETH,相当于总股份的 1.18%。虽然这是一个庞大的数字,但仍远低于一些中心化交易所的控制水平(例如,仅 Coinbase 一家交易所就控制了 10-15%(不清楚具体是多少),约为任何单一 Lido 节点运营商的 10 倍)。当然,如果节点运营商串通一气,他们所造成的破坏比任何单个运营商都要大得多。当所有操作员控制的总质押超过共识层的 1/3、1/2 和 2/3 等关键阈值时,这一点就变得尤为重要。值得指出的是,非 Lido 节点运营商也有可能串通。Lido DAO 并没有独特地启用任何特定的节点操作员串通行为,除了通过治理(我们将在下文的 "LDO 持有者攻击 "部分进行探讨)强制实施的串通行为。
附注 2——Lido V2 的最大变化之一是增加了 "staking router",它允许不同的 "模块"(例如,镜像 RocketPool 的无权限模块)有资格获得委托的 ETH。Lido DAO 仍将负责确定模块的分配和风险管理,以确保 stETH 的可替代性。我们的重点是当前策划的节点操作员集,但随着其开发的继续,可以/应该写更多关于安全模型和通过定值路由器启用的攻击的文章。
节点操作员可以通过访问验证密钥执行以下策略。
1. 协调削减,以降低 stETH 的抵押品价值并贬低 LDO 的价值。
(i) 策略。节点运营商可以通过串通一气,让大部分已抵押的 ETH 被砍掉,从而破坏 stETH 和 LDO 的价值。在大规模削减事件中,作为流通 stETH 抵押的 ETH 将大量减少,从而使 Lido 资不抵债。届时将出现 "银行挤兑",试图从协议中提取剩余的 ETH,stETH 将在二级市场上折价交易。由于共识层的底层延迟提现,提现过程非常复杂,因此通过激活掩体模式,可以将这种挤兑的影响降至最低--详情请参见 "提现情况"。
(ii) 短期。知情者可以在 stETH 和 LDO 代币上做空。协议中剩余的 ETH 将很快被消耗殆尽,共识层也将因验证器的大量减少而受到影响。
(iii) 长期。共识层将移除所有被削减的验证器,stETH 将不再以 1:1 的价格与 ETH 交易。共识层中剩余的任何 ETH 都将被提取,并以折扣价赎回。
(iv) 缓解。对节点运营商的信任是 Lido 协议的后盾。没有办法阻止他们的委托 ETH 被削减。缓解措施来自于这样一个事实,即节点运营商集合是由位于不同辖区的不同实体和不同的团队成员组成的。在不同的协议参与者之间进行串通将是一个协调难题,而 Lido 并不具备这种能力。此外,有了 Lido v2,DAO 可以改变不同节点运营商在游戏中所需的资金量。此外,由于具有更深的流动性和更低的波动性,规模较大的 LST 更不易受到此类价格操纵攻击的影响。最后, Lido 协议中还有一种名为 "掩体模式 "的断路机制,可在大规模砍价事件中处理提现。这可以防止银行挤兑,因为在重置之前不会处理提款,从而准确地减少所有持有地址中的 stETH 数量。因此,损失将在持有者之间平均分摊,任何内部人员或老练的行为者都无法优先提款。
(v) 严重性。鉴于此次攻击的严重性和巨大的下游影响(尤其是在 DeFi 中),它无疑是 Lido 自身面临的最大风险之一。我之所以只将其评为中等,是因为就对以太坊协议的影响而言,破坏似乎得到了很好的控制。DeFi 会受到很大的影响,验证器集也会有很大的变化,还会有很多噪音,但一旦尘埃落定,共识层就会继续运行。我们还受益于这样一个事实,即这种类型的攻击很难协调。节点操作员拥有宝贵的声誉,并能从参与现有网络中获得不菲的回报——而这两者都会因为参与这种攻击而毁于一旦。此外,目前还不清楚是否有足够的流动性使做空代币有足够的利润来激励这种极端行为。任何这种规模的空头头寸都会在链上或集中式交易所引起注意,这可能会在抨击开始之前向社区发出警告。
2. MEV 的窃取和混淆。
(i) 策略。节点运营者可以与区块构建者串通,混淆其在插槽中获得的 MEV 数量。通过不使用公开的 MEV-boost 拍卖,构建者可以直接向节点运营商付款,而不是将执行层奖励转给 Lido。这种攻击并非丽都独有。在有抵押、无权限的情况下,情况可能更糟,因为单块 MEV 可能会超过债券的价值——请参阅 "社区风险分析与债券 "深入了解。
(ii) 短期。一些节点运营商可能会通过与建设者勾结来获得不相称的回报。由于区块奖励差异很大,很难立即发现。
(iii) 长期。串通的节点操作员的奖励会明显低于其他节点操作员。尽管节点操作员假装使用 mev-boost,但其表现不佳的情况可能会被发现。
(iv) 缓解。Lido 已制定了区块奖励政策,其中概述了一套用于检测区块提议者预期奖励偏差的指标。
(v) 严重性。鉴于这种攻击很容易被发现,而且对 Lido 和以太坊造成的破坏相对较小,因此其严重性似乎较低。此外,还不清楚为什么构建者会选择参与这种带外协议。如果他们已经是顶级建设者,那么他们就可以参加正常的 mev-boost 拍卖,通过高于其他建设者出价的策略性出价来收取利润。如果它们不是顶级建设商,那么侧信道出价就不太可能超过节点运营商通过 mev-boost 所能获得的价格。如果建设者与节点运营商垂直整合,他们可能会在公开拍卖中略有延迟优势,因此这可能会为侧信道和混淆 MEV 提供少量激励。
<strong style="color: rgb(0, 0, 0);">LDO 保持器攻击
现在我们来看看协议的真正核心——LDO 持有者。治理层拥有 Lido 的 "根 "权限,可以通过代币投票更新现有合约。此外,LDO 持有者是协议中最集中的群体。10 亿 LDO 代币的固定供应量最初分配如下:
- DAO 库房 - 36.32%
- 投资者 - 22.18%
- 验证者和签名持有者 - 6.5%
- 最初的丽都开发者 - 20%
- 创始人和未来员工 - 15%
我们将 LDO 持有者攻击分为 "显性 "和 "隐性 "两种。显性攻击非常简单,归结起来就是 DAO 控制了系统中的所有智能合约*和*节点操作员集。DAO 可以任意铸造 StETH、花费国库、覆盖提款合约并循环使用节点操作员,从而以 "地毯式 "的方式有效地破坏 Lido 协议。值得明确指出的是,这种风险是存在的,但这些攻击是如此公开,以至于伴随着巨大的声誉、法律和金融风险。隐性攻击则更为隐蔽。
<strong style="color: rgb(0, 0, 0);">显性攻击
我们概述了两种攻击。第一种是简单地摧毁 Lido,试图获得短期经济收益。第二种是直接攻击以太坊共识层,胁迫现有节点操作员采取特定的恶意行为,或迫使他们退出,换上符合要求的替代者。
1. 铸造无限 stETH 和更改退出合同。
(i) 策略。通过铸造 stETH,LDO 持有者可以将新的 stETH 抛向市场,换取 ETH 和任何其他具有流动性的资产。同时,LDO 持有者可以覆盖提币合约,关闭赎回,将目前存入 Lido 的所有 ETH 据为己有。
(ii) 短期。随着新铸币的 stETH 被抛向市场,stETH 的价格归零。当前的任何提现都会被转给恶意方。
(iii) 长期。节点运营商需要考虑如何处理仍在共识层中的委托 ETH。提币凭证已经设置为 Lido 合约(已被覆盖)。他们可以与 LDO 持有者串通,拆分 ETH 并退出协议,但这需要在极高的法律风险下进行另一层协调。请注意,如果协议中包含 EIP-7002,退出合约本身就可以触发退出。或者,如果他们反对 DAO 采取的行动,他们可以故意让所有共识层 ETH 被砍掉。由于节点操作员只控制验证者签名密钥,因此他们无法更新退出凭证,但他们可以更改其区块的费用接收者,以接收随后提出的任何区块的执行层奖励。
(iv) 缓解。双重治理是彻底解决这一问题的方法。这种攻击会在投票阶段吸引大量关注,stETH 持有者会被激励投票反对这种更改,以避免其 stETH 贬值。
(v) 严重性。中等:5.1/10。这是末日级别的攻击。我将其评级定为 5.1,是因为双重治理尚未实施。从今天起,LDO 持有者和节点运营商可以串通一气,窃取 Lido 中所有的委托 ETH。
2. 胁迫恶意节点操作员行为,审查或重构以太坊。
(i) 策略。假设 LDO 持有者受到政府的压力,要求审查某些交易。他们可以强制要求现有节点运营者开始审查或循环使用符合要求的替代者。另外,LDO 持有者也可以引导节点操作员执行重新登录攻击或操纵 randao,为 DAO 赚取额外奖励。值得注意的是,如果现有的节点操作员不遵守 DAO 要求的策略,这种攻击的执行速度就会变得异常缓慢。由于退出队列的存在,循环出大量的赌注是非常耗时的,这就为 stETH 赎回留出了充足的时间。
(ii) 短期。这种攻击明显违反了以太坊的核心原则。我们希望 stETH 持有者了解这对他们委托给 Lido 的 ETH 所带来的风险,并退出(或在双重治理上线后否决)。在 "弱审查 "的情况下,受监管的交易只需经历较慢的收录时间,链不会分裂。
(iii) 长期。理想情况下,随着 ETH 流出 Lido,该链将保持其抗审查能力,Lido 将控制较少的区块和证明。在最糟糕的情况下,Lido 节点操作员可能会导致链分裂,审查验证者会扩展一个单独的分叉,试图发起 "强审查 "攻击。这种严重程度的攻击(类似于 reorg 攻击和 randao 操纵)符合社会削减的讨论条件(即使是可信的社会削减威胁也会激励所有 stETH 持有者赎回,以避免其代币贬值)。
(iv) 缓解。由于这种攻击将涉及 LDO 持有者胁迫现有节点操作员或替换他们,因此需要时间。现有的验证器集已将 ETH 委托给他们,因此无法立即迫使他们退出验证器集(EIP-7002 允许这样做,但退出仍会受到队列机制的严重限制)。我们希望 stETH 持有者能够理解这种攻击会在多大程度上危及他们的 ETH 担保品,并退出(或在双重治理上线后否决)。
(v) 严重性。中:4.7/10。鉴于 LDO 代币分布如此集中,这次攻击至少属于中等程度。我们确实可以利用提现和双重治理来制衡治理力量。
隐性攻击;~最重要、最微妙,但最不容易理解~。
这与其说是攻击,不如说是 "千刀万剐",因此很难识别和缓解;我们把最好的留到了最后。
1. 利用软实力,削弱社会规范。
(i) 策略。LDO 持有者通过管理协调层的大量 ETH,在社区中拥有 "软实力"。这可能表现在不同方面,如对协议升级有重大影响、控制核心开发团队的收入流,以及将社会规范转变为对 LDO 持有者作为 "伪治理者 "管理很大比例的以太坊份额更加放心。
(ii) 短期。共识核心开发团队已经是 Lido 的节点运营商。这种收入流作为公益基础设施的一种更可持续的融资模式,是很有价值的,但它也为核心开发人员带来了利益冲突,因为他们现在对 LDO 持有者更加唯命是从。
(iii) 长期。这可能是整个 Lido 辩论中最具不确定性和争议性的部分。虽然丽都正朝着治理最小化和双重治理的方向发展,但始终需要 LDO 持有者来管理节点操作集,以确保 StETH 的可替代性(摊销风险)。此外,LDO 的供应量是固定的,而且最初的分配集中在少数个人和风险投资公司手中。这一事实的下游影响有待商榷。
(iv) 缓解。缓解是困难的,因为很难确定社会层蠕变。真正令人担忧的是社会规范的缓慢变化和 stETH 持有者冷漠态度的加剧。由于最近的争论如此热门,任何恶意的 LDO 投票都可能导致 ETH 大量外流。但是,如果 5 年后,大家都习惯了 Lido 控制大部分股权,LDO 持有者才会施加更多影响,那么 STETH 持有者群体中可能会出现过多的冷漠(或转换成本过高),从而采取协调行动反对治理。
(v) 严重性。中等+:6.3/10。这一点超难评价,但我相信它是大多数人对 Lido 关注的核心。随着治理最小化、双重治理以及通过 v2 升级来增加节点操作集的承诺,丽都的路线图似乎旨在削弱 LDO 持有者的权力。
放大
到目前为止,我们只探讨了攻击的机制及其各自的缓解措施。从整体上看 Lido 及其与以太坊的关系,我想在上述分析的基础上分享我的放大观点。免责声明——这只是我的个人观点,绝不代表 EF、EF 研究、Lido、本文审稿人或任何其他方的观点。我目前总共持有 10 个 stETH 和 0 个 LDO 代币。
个人收获
Lido 生态系统参与者可以对以太坊发起明确的攻击,但似乎无法对系统造成永久性破坏。如果有的话,上述攻击大多会损害其他丽都生态系统参与者的利益,并使参与者面临巨大的法律、声誉和财务风险。无限制地铸造 stETH 和恶意升级提币合约会导致 Lido 自取灭亡;对以太坊的强烈审查或重新提币攻击显然是社交砍杀的候选对象。
软实力是一个合理的担忧,但在风险和缓解方面最难评估。这似乎是对 Lido 持不同观点的根源;争论往往归结为 30 多个节点运营商和 LDO 持有者/管理参与者之间的区别。该领域的其他组织(显然包括外频基金)也在发挥软实力,各方都应力求透明,并相互问责(否则,"匿名 + 阴谋一致 "的异议者就会来找你:-)。
Lido 的双重治理、僵化、质押路由器和治理最小化路线图表明,团队深刻理解自己在生态系统中的地位。他们参与度高、专业性强,并认真对待多方面的改进(参见他们的自我评估记分卡)。说他们纯粹是在 "恶意 "行事,或者没有合法地努力为以太坊的去中心化做出贡献,都是不真实的。
与任何雄心勃勃的路线图一样,仍有大量工作要做。在协议最终成型之前,Lido 协议更容易受到上述攻击。我们应该继续与 Lido 合作,让他们对自己提出的愿景负责。
LDO 代币分配和投票行为非常重要,但研究不足。LDO 代币持有者在协议中拥有很大的权力,尤其是在建立制衡机制的过程中。我们应该努力增进对代币控制者、代币归属时间以及与各种账户相关的投票活动的了解,以确保 DAO 的透明度和问责制。
应大力考虑对 L1 进行大的改动,以改善分权和 LST 竞争。在理想情况下,各池之间的股权分配会更加均衡,用户也会有很多不错的选择。围绕 ETH 赌注供应(见 Anders 的大型主题)和更广泛的验证器经济学的大局讨论也是及时和重要的。
与此同时,反 Lido 的言论,特别是 "LDO 持有者控制了以太坊共识"、"Lido 让以太坊成为了一条财团链 "和 "Lido 是一种 1/3 股权的攻击 "等说法,既无益也不准确。这些言论造成了善与恶的错误二分法,而实际情况却更加微妙。这些说法似乎更关注 Lido 控制 >1/3 股权的 "感觉 "或 "视觉效果",而不是 Lido 如何对以太坊造成永久性破坏的具体细节。
下图加倍体现了这一理念,即探索许多简化二分法两极之间的 "灰色地带"。
结束语——“简单的农场生活”
Lou(又名 LDO 持有人)、Nancy(又名节点操作员)和 Stephen(又名 stETH 持有人)在农场里和睦相处。他们共同拥有一头奶牛(又名 Lido)。这头牛预计能活很多年(希望能活几十年),并以不同的方式为农场居民提供食物。Nancy 花在奶牛身上的时间最多,她要确保奶牛干净、快乐;Lou 决定什么时候带奶牛去看兽医;Stephen 每天给奶牛喂食、挤奶。每一位农场主都从奶牛的持续健康中获益良多,但他们也都拥有可以杀死奶牛的武器。在短期内,杀死奶牛可以立即得到回报,而其他农场居民则要为此付出代价,但这一不可逆转的行动会破坏让奶牛存活下去的长期回报。这本身就是不杀这头牛的强烈动机。展望未来,我们的目标应该是降低每种武器的致命性(治理升级/检查和平衡),使奶牛更能抵御攻击(僵化),并允许更多人加入农场(Lido V2 质押路由器)。此外,我们应该尽我们所能鼓励邻近的农场培育和壮大他们的奶牛,而不是(不靠谱地)威胁要杀死已经长大的奶牛。
感谢阅读 :-)
