2025年5月10日凌晨,预言机服务商 Chorus One 披露 Lido 预言机的一个热钱包遭黑客入侵,导致 1.46 枚 ETH 被盗。这一事件迅速引发社区关注,但安全审计显示,该事件影响有限,涉事钱包设计本就仅用于轻量级运营。
预言机遭受攻击听起来确实很糟糕,但 Lido 的架构设计、利益相关方价值观以及以安全为导向的贡献者文化,确保了此类事件的影响范围极小。即便预言机被完全攻破,也不会造成灾难性后果。那么,Lido 究竟有何独特之处?
深思熟虑的设计与多层防护机制
Lido 的预言机主要负责将共识层信息传递至执行层,并汇报协议动态。它们并不直接掌控用户资金,因此单一故障点只会造成小麻烦,即便仲裁程序(quorum)被攻破也不会导致灾难性后果。
预言机可能尝试的恶意行为有哪些?
- 提交恶意报告:但会被诚实的预言机忽略;
- 耗尽特定地址的 ETH 余额:该地址仅用于运营交易,未存放质押者资金。
预言机的核心职责是什么?
Lido 的预言机是由 9 个独立参与者组成的分布式机制(需 5/9 达成共识),主要职能包括:
- 代币通胀奖励发放(rebase);
- 提款流程处理;
- 验证节点退出及性能监控,供社区安全模块(CSM)参考。
预言机会向协议提交状态报告,用于计算每日奖励或惩罚、更新 stETH 余额、处理提款请求等。值得注意的是,Lido 预言机与传统的「多签」机制不同:它们无法访问质押者资金,也不能控制合约升级或管理成员资格。这些权限由 Lido DAO 通过投票维护。
预言机的功能极为有限,仅能执行以下操作:
- 提交遵循确定性算法的报告;
- 在特定情况下执行交易以落实报告结果(如每日 rebase 操作)。
最坏情况下的应对机制
如果 9 个预言机中有 5 个被攻破,最坏情况下它们可能合谋提交恶意报告。但任何报告都必须通过链上强制执行的合理性检查。若报告违反检查,其处理时间将延长甚至无法「结算」,因为数值必须符合特定时间段内的允许变化范围。
这可能导致 stETH 的 rebase 操作延迟生效,对持有者影响微乎其微,除非有人在 DeFi 中以杠杆方式使用 stETH。极端情况下,恶意预言机可能利用执行层 stETH 更新延迟谋利,例如在发生大规模罚没时提前抛售 stETH。但用户通过 Lido 直接发起的提款操作不受影响,协议的「应急模式」(bunker mode)将确保提款流程公平执行。
即时且彻底的透明性
Lido 生态系统的所有参与者(贡献者、节点运营方、预言机运营方等)始终将透明度与善意置于首位,优先保障质押者权益与生态系统健康。无论是发布详尽的事后分析报告、补偿因基础设施停机造成的损失,还是主动退出验证节点,这些行动都体现了对透明度的极致追求。
持续迭代与技术前沿探索
Lido 始终致力于通过技术创新提升预言机机制的安全性与去信任化水平。团队早在初期阶段便投入超过 20 万美元专项资金,支持通过零知识证明(ZK)技术实现共识层数据的无需信任验证。
这些努力促成了由 SuccinctLabs 团队研发的 SP1 零知识预言机「双重校验」机制,预计将于 2025 年内正式上线。该机制通过可验证的共识层数据,为负向 rebase 操作提供额外的安全验证层。
目前零知识技术仍处于发展阶段,相关的零知识虚拟机(zkVM)需要经历实战检验,且存在运算速度慢、计算成本高的局限性,尚无法完全取代可信预言机。但从长远看,这类解决方案有望成为现有预言机的信任最小化替代方案。
常见问题
问:Lido 预言机被盗事件对用户资金有影响吗?
答:几乎没有影响。涉事钱包仅用于轻量级运营,未存放用户资金,且 Lido 的多层防护机制确保了系统安全性。
问:预言机在 Lido 协议中扮演什么角色?
答:预言机负责将共识层信息传递至执行层,处理奖励发放、提款流程和节点监控等任务,但不直接控制资金或合约升级。
问:如果多个预言机被攻破,最坏结果是什么?
答:最坏情况下可能导致 stETH 更新延迟,但通过链上合理性检查和应急模式,用户资金和提款操作仍能得到保障。
问:Lido 如何提升预言机安全性?
答:通过去中心化架构、职责分离机制、零知识证明技术探索以及持续迭代,不断降低潜在风险。
问:零知识证明技术在预言机中的应用前景如何?
答:目前仍处于发展初期,存在成本和技术限制,但长期有望实现信任最小化,提升系统安全边界。
👉 探索更多安全策略
预言机技术复杂且在 DeFi 领域的应用场景各异。在 Lido 协议中,预言机作为核心组件经过精心设计,通过有效的去中心化架构、职责分离机制以及多层校验体系,显著降低了潜在风险的影响范围。这一事件不仅展现了 Lido 的安全韧性,也为行业提供了宝贵的安全机制设计经验。