基于之前的草稿扩展：https://x.com/VitalikButerin/status/1919263869308191017

以何时安全委员会被允许覆盖无信任（即纯加密或博弈论）组件来描述以太坊滚动安全的三个“阶段”：

• 阶段 0：安全委员会拥有完全控制权。可能有一个证明系统（乐观或零知识）在运行，但安全委员会可以通过简单多数投票推翻它。因此，证明系统是“仅供参考”。
• 阶段 1：安全委员会可以以 75%（至少 6 票中的 8 票）批准进行覆盖。一个阻止法定人数的子集（即 >= 3）必须在主要组织之外。因此，覆盖证明系统的障碍很高，但并非不可逾越。
• 阶段 2：安全委员会只能在可证明的错误情况下采取行动。可证明的错误可能是例如两个冗余的证明系统（例如 OP 和 ZK）相互不一致。如果存在可证明的错误，它只能在提出的答案中选择一个：它不能任意回答。

我们可以用图表来建模，显示“安全委员会在每个阶段的投票份额”：

一个重要的问题是：L2 何时最优地从阶段 0 转移到阶段 1，从阶段 1 转移到阶段 2？

不立即进入阶段 2 的唯一有效理由是你对证明系统没有完全信任——这是一种可以理解的恐惧：代码量很大，如果代码有问题，攻击者可能会窃取所有用户的资产。你对证明系统的信心越强（或者，反之，对安全委员会的信心越弱），你就越想向右移动。

事实证明，我们可以用简化的数学模型来量化这一点。首先，让我们列出假设：

• 每个安全委员会成员有独立的 10% 概率“破坏”
• 我们将活跃性失败（[拒绝签名或密钥无法访问]）和安全性失败（[签署错误的内容或密钥被黑]）视为同样可能。实际上，我们只假设一个“破坏”类别，其中一个“破坏”的安全委员会成员既签署错误的内容又未能签署正确的内容
• 在阶段 0，安全委员会是 4 票中的 7 票，在阶段 1 是 6 票中的 8 票。
• 我们假设一个单一的整体证明系统（与 2 票中的 3 票设计相对，其中安全委员会可以在两者不一致时打破平局）。因此，在阶段 2，安全委员会根本不重要。

在给定这些假设的情况下，考虑到证明系统破坏的特定概率，我们希望最小化 L2 破坏的概率。

我们可以使用二项分布来做到这一点：

• 如果每个安全委员会成员有独立的 10% 概率破坏，那么至少 4 个中的 7 个破坏的概率是 \(\sum_{i=4}^7 {7 \choose i} * 0.1^i * 0.9^{7-i} =0.002728\)。因此，阶段 0 的滚动有固定的 0.2728% 失败概率。
• 阶段 1 的滚动可以失败，如果证明系统失败并且安全委员会获得 >= 3 次失败，因此无法覆盖（概率 \(\sum_{i=3}^8 {8 \choose i} * 0.1^i * 0.9^{8-i} = 0.03809179\) 乘以证明系统失败率），或者如果安全委员会获得 6 次以上的失败并且可以强制自己给出错误答案（固定的 \(\sum_{i=6}^8 {8 \choose i} * 0.1^i * 0.9^{8-i} =0.00002341\) 概率）
• 阶段 2 的滚动破坏的概率仅等于证明系统失败的概率

以下是图形形式：

如所推测，随着证明系统质量的提高，最优阶段从阶段 0 转移到阶段 1，然后从阶段 1 转移到阶段 2。使用阶段 0 质量的证明系统进行阶段 2 是最糟糕的选择。

现在，请注意上述简化模型中的假设非常不完善：

• 实际上，安全委员会成员并不是独立的，并且存在“共同模式故障”：他们可能会合谋，或者都以相同的方式受到胁迫或被黑客攻击等。要求有一个阻止法定人数的子集在主要组织之外是为了缓解这一问题，但这仍然远非完美。
• 证明系统本身可能是多个独立系统的组合（这正是我在https://ethereum-magicians.org/t/a-simple-l2-security-and-finalization-roadmap/23309…中提倡的）。在这种情况下，(i) 证明系统破坏的概率可能非常低，(ii) 即使在阶段 2，安全委员会也很重要，因为它们可以打破平局。

这两个论点都意味着阶段 1 和阶段 2 比图表所示的更具吸引力。如果你认真对待数学，阶段 0 几乎永远没有正当理由：你应该至少直接进入阶段 1。我听到的主要反对论点是：如果发生关键错误，可能很难让 6 个安全委员会成员快速签署以修复它。但有一个简单的解决办法：给予任何单个安全委员会成员延迟提款 1 或 2 周的权限，给其他人足够的时间采取行动。

然而，同时过快跳到阶段 2 是一个错误，特别是如果向阶段 2 的转移工作以牺牲加强基础证明系统的工作为代价。理想情况下，像l2beat这样的数据提供者应该展示证明系统的审计和成熟度指标（理想情况下是证明系统实现的，而不是整个滚动，以便我们可以重用）以及阶段。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。