Рівень 2, забезпечений безпекою Ethereum, вже став не відповідати своїй назві

Оригінальний автор: Ishita

Укладач: White55, Mars Finance

Розвиток Ethereum за останні десять років обертався навколо простої обіцянки: розширити мережу без жертвування децентралізацією. А відповідно до його дорожньої карти, відповідь полягає в майбутньому з основою на Rollup. У цій архітектурі мережі другого рівня (L2 або «Rollups») виконують транзакції поза ланцюгом, що забезпечує нижчі витрати та вищу пропускну спроможність, при цьому залишаючись під основним рівнем безпеки Ethereum (Layer 1).

Майже всі основні проекти Rollup, включаючи Arbitrum, Optimism, Base, zkSync та Scroll, позиціонують себе з гаслом «захищеність від Ethereum». Це гасло є потужним і є центральною частиною їхньої маркетингової наративи, але чи відповідає це дійсності? Глибше вивчаючи фактичний спосіб роботи цих Rollup і рух активів у них, ця заява стає неясною.

Ця стаття проаналізує розрив між гаслом та реальністю, починаючи з мосту (місце, де знаходяться кошти користувачів), потім переходячи до сортувальника (ролі, відповідальної за сортування угод), і, нарешті, до управління (творців правил), детально обговорюючи кожен аспект.

Реальність Rollup Bridge

Rollup стверджує, що «забезпечується безпека Ethereum», але це твердження приховує спосіб, яким користувачі насправді взаємодіють з цими системами.

Щоб використовувати Rollup, незалежно від того, чи для DeFi, платежів або додатків, спочатку потрібно перенести активи на Rollup. Проте Ethereum не має вбудованої функції для прямого введення або виведення – ви не можете просто «переслати» ETH на Rollup. Для цього потрібен міст (Bridge). Міст є входом і виходом між Ethereum та Rollup і визначає рівень безпеки, який користувачі фактично відчувають.

Принцип роботи моста

депозит

Коли ви вносите ETH у rollup, ви насправді надсилаєте його до контракту мосту (Bridge Contract) на Ethereum. Цей контракт блокує ваш ETH і вказує rollup створити таку ж кількість ETH у вашому L2 гаманці. Наприклад, якщо ви внесете 1 ETH, контракт мосту безпечно зберігатиме цей 1 ETH на Ethereum, а ваш обліковий запис rollup також відобразить 1 ETH. Оскільки ETH заблоковано на Ethereum, ця внесена сума реалізує мінімізацію довіри.

виведення

Виведення значно складніше. Процес виходу протилежний процесу внесення:

Ви знищуєте (або блокуєте) токени на Rollup.

Ви надсилаєте повідомлення до мостового контракту Ethereum: Я знищив токени на L2, будь ласка, звільніть мій заблокований ETH.

Проблема в тому, що Ethereum не може бачити, що відбувається всередині Rollup, і він не помічає обчислення на L2.

Отже, Ethereum звільнить ваші кошти лише у випадку, якщо мости нададуть доказ легальності виведення коштів. Цей доказ може включати:

Докази шахрайства (Fraud Proofs, оптимістичний підхід): за замовчуванням вважається, що транзакція є законною, якщо її не оскаржено в межах вікна оскарження.

Докази дійсності (Validity Proofs, нульові знання): за допомогою криптографічних доказів заздалегідь демонструються всі угоди, що відповідають правилам, Ethereum може миттєво довіряти результату.

Багатопідпис або комітети (Multisigs or Committees): залежать від довірених осіб для сертифікації.

Міст забезпечує ключовий доступ користувачів до Rollup. Його можна порівняти з вікном, яке веде до будинку. Навіть якщо вікно (Bridge) зламане, будинок (Rollup) все ще залишиться стояти. Але якщо вікно розбите, ви більше не зможете безпечно входити і виходити. Аналогічно, збій мосту відключить доступ користувачів, навіть якщо основний механізм Rollup продовжує працювати.

Отже, шар мосту є справжньою перспективою безпеки Rollup. Чи дійсно активи «захищаються Ethereum», залежить від використаного вами мосту та його моделі довіри, а не від самого Rollup.

Місткові моделі та їхні припущення

Офіційні мости (Canonical Bridges) — це «офіційні мости для кожного Rollup», які безпосередньо пов'язані з Ethereum. Коли користувачі блокують активи тут, валідатори Ethereum гарантують, що навіть якщо L2 перестане працювати, користувачі зможуть зрештою зняти свої активи назад на Layer 1. Це єдиний спосіб моста, який безпосередньо успадковує безпекові властивості Ethereum.

Зовнішні мости (External Bridges), такі як Wormhole, LayerZero та Axelar, оптимізують досвід користувачів за допомогою швидкого перетворення між ланцюгами, але покладаються на свої власні комітети перевірки або механізми багатопідпису. Ці мости не підлягають примусовому виконанню консенсусу Ethereum. Якщо ці поза ланцюгові оператори зазнають атаки зловмисників або змови, навіть якщо Ethereum працює добре, користувачі все ще можуть втратити кошти.

Нативна емісія (Native Issuance) означає токени, які безпосередньо випускаються на Rollup, наприклад, USDC на Base або OP на Optimism. Ці активи ніколи не були переведені через офіційний міст і не можуть бути викуплені на Layer 1. Їхня безпека походить з управління та інфраструктури Rollup, а не з Ethereum.

Фактичний розподіл активів Rollup

Станом на 29 серпня 2025 року, Ethereum Rollup захистив приблизно 43,96 мільярда доларів США активів, які розподілені наступним чином:

Зовнішній міст: 16,95 мільярда доларів (39%) — найбільша частка

Офіційний міст: 14,81 мільярда доларів (34%) — активи, забезпечені Ethereum

Первинне випуск: 12,2 мільярда доларів (27%) — Rollup первинні активи

Аналіз історичних тенденцій

Оглядаючи 2019-2022 роки, офіційний міст був основним рушійним фактором впровадження Rollup. Практично весь ранній ріст відбувався через офіційний міст, зберігаючи Ethereum в якості ядра.

Однак, з кінця 2023 року ситуація почала змінюватися:

Офіційний міст продовжує зростати, але частка ринку починає зменшуватися, досягаючи піку в 2024 році.

Природне випуск поступово розширюється, особливо в 2024–2025 роках.

Зовнішнє мости різко зростатимуть з пізнього 2023 року, перевершуючи офіційні мости на початку 2025 року, що стане ознакою втрати більшості активів Rollup для Ethereum.

Сьогодні дві третини активів Rollup (зовнішні + рідні) вийшли з прямої безпеки Ethereum.

Сегментація екосистеми Rollup

Ринок має дуже високу концентрацію: шість найбільших Rollup становлять 93,3% від загального заблокованого обсягу (TVL). Розподіл активів у різних екосистемах виглядає наступним чином:

Офіційний міст: 32,0%

Первинне розподілення: 28.8%

Зовнішній міст: 39,2%

Аналіз загальної моделі кругової діаграми

Зовнішні мости домінують: такі як Arbitrum та Unichain, користувачі прагнуть швидкого виходу та ліквідності, надаючи перевагу стороннім мостам.

Офіційний міст домінує: такі як Linea (а також менш оптимальний OP Mainnet), більше застави з L1 джерел через офіційний міст.

Первинне випуск домінує: такі як zkSync Era та Base, безпосередньо на L2 випускають активи (наприклад, рідний USDC на Base) та надходять через прямий вхід.

Ключові моменти: більшість активів великих Rollup вже вийшли за межі прямого забезпечення безпеки Ethereum. Фактична безпека, яку отримують користувачі, залежить від механізму довіри, що стоїть за кожною моделлю мосту, а не від самого Rollup.

Що ще за межами моста: які ризики існують?

Модель мосту визначає належність активів, але навіть якщо всі активи проходять через офіційний міст, користувачі все ще стикаються з іншими проблемами довіри та безпеки. Наступні три сфери є особливо важливими: механізм сортування транзакцій, структура управління та вплив композиційності на досвід користувачів.

1 Сортировщик: централізована контрольна точка

Сортувальник відповідає за визначення порядку транзакцій та способу їх упаковки. Наразі більшість Rollup використовують централізовані сортувальники, таке рішення є ефективним та прибутковим, але також несе в собі такі ризики:

Перевірка транзакцій: сортувальник може відмовити в певних транзакціях, щоб здійснити перевірку.

Заборона на виведення: сортер визначає, коли масово надсилати операції на вихід до Ethereum, тому виведення можна безкінечно забороняти.

Повна офлайн-робота: збій сортувальника призведе до призупинення активності Rollup, поки він не відновить свою роботу. (Наприклад, Arbitrum мав 78 хвилин простою)

Ефіріум надає механізм «примусового включення» (Force Inclusion), який дозволяє користувачам безпосередньо подавати транзакції до Layer 1, щоб обійти сортувальник. Проте цей механізм не може гарантувати справедливість, оскільки сортувальник все ще контролює порядок блоків, а це достатньо, щоб зіпсувати користувацький досвід. Наприклад:

Припустимо, що ви намагаєтеся вивести кошти з Aave на L2.

і подали обов'язковий запит на виведення через Ethereum, що означає, що сортувальник не може ігнорувати вашу транзакцію.

Однак, сортувальник може вставити свої власні угоди перед вашими угодами — наприклад, позичивши більше коштів з того ж фонду.

Коли ваша транзакція на виведення коштів буде виконана, в пулі коштів не буде достатньої ліквідності, що призведе до невдачі виведення.

Хоча ваша угода була «включена», але результат був зіпсований.

Крім того, існує реальна проблема з обов'язковим включенням: час очікування може тривати до кількох годин (іноді більше 12 годин), пропускна здатність обмежена, навіть після подачі можуть бути повторно впорядковані. Тому цей механізм більше схожий на повільний запобіжник, а не на гарантію справедливого виконання.

Децентралізовані сортувальники поступово привертають увагу. Наприклад, проекти Espresso та Astria будують мережу спільних сортувальників для підвищення стійкості та взаємодії.

Однією з основних концепцій є «попереднє підтвердження» (Pre-Confirmations): сортировщик або спільна мережа можуть заздалегідь підтвердити, що транзакції будуть включені, навіть якщо вони ще не були остаточно підтверджені в Ethereum. Це може зменшити затримки, спричинені децентралізацією, надаючи користувачам швидші гарантії, при цьому зберігаючи нейтральність.

Проте централізовані сортувальники все ще домінують, оскільки вони прості, прибуткові і більш привабливі для установ — принаймні, поки конкуренція або потреби користувачів не змусить їх змінитися.

2 Управління та ризики стимулювання: корпоративний L2

Важливо, хто є оператором Rollup. Багато провідних Rollup управляються командами, підтримуваними компаніями або венчурними фондами, такими як Base від Coinbase, Arbitrum від Offchain Labs, Optimism від OP Labs.

Основним обов'язком цих команд є відповідальність перед акціонерами та інвесторами, а не соціальним договором Ethereum.

Відповідальність акціонерів → Тиск на прибуток: початкові витрати низькі для залучення користувачів, потім з ростом ліквідності та блокування застосувань витрати починають зростати (типова модель «податку на платформу»). У майбутньому можуть з'явитися вищі витрати для ранжувальників, пріоритетна інтеграція або правила, вигідні для загального бізнесу операторів.

Ефект блокування → Леверидж: зі збільшенням обсягу заморожених активів на десятки мільярдів доларів і накопиченням користувачів, вартість виходу зростає, а оператори можуть змінювати економіку або політику з обмеженим ризиком міграції.

Культурна дисгармонія: Ethereum покладається на відкриті розробницькі зустрічі, різноманітність клієнтів і відкритий управлінський процес (як EIPs). Натомість корпоративні Rollup більше схильні до управління зверху вниз, зазвичай мають адміністративні ключі або багатопідписні права, що дозволяє призупиняти, оновлювати або заморожувати систему — пріоритет надається відповідності або прибутковості, а не нейтральності. З часом ці Rollup можуть більше нагадувати «закриті сади», а не відкриту екосистему Ethereum.

Результатом є те, що розрив між відкритим духом Ethereum та механізмом стимулювання для формування корпоративних Rollup стає все більшим. Цей розрив впливає не лише на управління, але й поширюється на способи взаємодії програм та досвід системи користувачів.

3 Комбінованість та досвід користувача

«Чарівність» Ethereum полягає в атомарній комбінованості: смарт-контракти можуть синхронно читати та записувати в одній транзакції (наприклад: обмінюючи активи через Uniswap, одночасно погашаючи борг Aave та активуючи дії Maker). Однак L2 порушує цю комбінованість:

Асинхронність: повідомлення між Rollup затримується, офіційне виведення коштів може зайняти кілька днів, а сторонні мости збільшують довірчі припущення.

Ізоляція: ліквідність і стан розподілені між різними L2, що послаблює безшовний досвід користувачів DeFi в Ethereum.

Яке рішення?

Нативні rollup-решення Ethereum (спроектовані та керовані відповідно до стандартів Layer-1) можуть забезпечити синхронне читання з L2 до L1, синхронне записування з L1 до L2, а також атомарне записування між rollup, що дозволяє розширити блок-простір і відновити більшу частину комбінованості Layer-1. Якщо цих функцій не буде, досвід користувачів (UX) постійно наближатиметься до зручних рівнів, що не мають безпеки Ethereum.

Майбутнє Rollups

Якщо «безпека Ethereum» має перевершити простий слоган, її основна безпека повинна базуватися на Layer 1, а не залежати від позасистемних комітетів або одноосібних сортувальників. Наступні три дизайнерські концепції демонструють можливість цього тренду:

Нативний Rollup: повністю перемістіть верифікацію на Ethereum

На відміну від вимоги довіри користувачів до незалежної системи доказів шахрайства, не підлягаючої аудиту системи нульових знань (zk prover) або безпечного комітету, Rollup надає трасу транзакцій (Transaction Trace), яку Ethereum може самостійно повторно виконати.

Насправді, це робить виведення коштів та коректність стану правом Layer 1, а не зобов’язанням: якщо Rollup стверджує, що твій баланс дорівнює X, Ethereum може безпосередньо перевірити цю заяву.

Цей дизайн зменшує площу атаки мосту, зменшує потребу в ключах на призупинення і забезпечує відповідність Rollup майбутнім оновленням Ethereum.

Ця компромісна розробка передбачає вищі витрати на Layer 1, але винагорода дуже проста: у разі суперечки рішення приймається Layer 1.

Наразі немає жодного рідного Rollup в лінії.

Роллап на основі валідаторів Ethereum

Сьогодні єдиний сортувальник може повторно сортувати або затримувати транзакції, що достатньо, щоб на практиці зруйнувати механізм «примусового включення».

Завдяки дизайну на основі сортування, нормативний порядок транзакцій визначається консенсусом Layer 1, що ускладнює перевірку та перепорядкування в останній момент.

Примусове включення стає звичайним шляхом, а не повільним запобіжником. Проекти можуть додати «попередні підтвердження» (pre-confirmations), щоб підтримувати плавність користувацького досвіду, водночас дозволяючи Layer 1 стати остаточним суддею з сортування.

Такий дизайн вимагає жертвувати частиною доходів і гнучкості Layer 2, але усуває найбільшу проблему з єдиною точкою контролю в поточній архітектурі.

В даний час основна команда, що займається дослідженнями дизайну Rollup на основі сортування, включає Taiko, Spire та Puffer.

Зберігання ключів Rollup: вирішення ризиків ключів та оновлень

На відміну від незалежної обробки відновлення облікових записів, сеансових ключів та обертання ключів з кожним Rollup і додатком, мінімізований стандарт «зберігання ключів» стандартизував цю логіку та синхронізував її у всіх місцях.

Користувачі можуть у одному місці обертати або відновлювати ключі, зміни будуть поширені на всі Layer 2. Операторам потрібно менше екстрених ключів, адміністраторам потрібно менше "суперправ" (god-mode) перемикачів.

Кінцевим результатом є менша кількість зламаних гаманців, менше термінових оновлень після інцидентів та чіткіше розмежування між безпекою облікових записів і логікою застосунків.

Дизайн зберігання ключів Rollup наразі перебуває лише на теоретичній стадії і ще не запущений.

Отже, ці дизайн-концепції спільно вирішують реальні проблеми, з якими стикаються користувачі: механізм виведення коштів, що залежить від довіри, впорядкування транзакцій, контрольоване єдиною компанією, та вразливі ключі та шляхи оновлення.

Включення верифікації, сортування та безпеки облікових записів у екосистему Ethereum є способом реалізації Rollup «забезпечення безпеки з боку Ethereum», а не лише рекламним слоганом.