Vitalik公開月台的天「亡」級專案Morph安全性如何?本文Hash (SHA1):076a1b56e11511337f19b67077798752a070da2f

編號: 鏈源科技PandaLY Security Knowledge No.048

在川普成功當選之後,以太坊也迎來了上漲,而在以太坊鏈上嫁接且剛剛完成主網上線的Layer 2 Morph則備受關注,一方面是其2000萬美元的種子輪融資足夠強大且擁有多頂級交易所、專案方的支持,另一方面也是率先定位消費級L2的概念,憑藉"女性CEO IP"+「潮流的Web3週邊」在如此內捲的Layer 2賽道中突出重圍。

那麼,星光熠熠的Morph專案究竟有哪些亮點呢?從安全方面來看該專案值得持續關注(加倉)嗎?今天就跟著PandaLY一起了解這個項目。

Vitalik公開月台的天「亡」級專案Morph安全性如何?

Morph成立於2022年,定位消費級Layer 2,旨在成為開發者構建和擴展大眾市場應用所需資源的分發中心,其中Morph 採用了ZK 與Optimistic Rollup 的混合技術方案,並配備去中心化排序網絡,為主流用戶提供無限的應用可能性。

今年10月30日正式上網主網,其測試網的數據超過600 萬個錢包地址的註冊、逾1 億筆交易的順利執行、200 多個項目的部署,以及100 多萬社區成員的參與。種子輪的融資機構由Dragonfly Capital 領投,Pantera Capital、Foresight Ventures、The Spartan Group、MEXC Ventures等機構共同投資的1900萬美元,以及Polygon、Manta、Galxe、Sei、Nansen等創辦人共同投資的100萬美元,這些機構和知名的個人為Morph提供了強大的背書。

Morph在X的知名追蹤者包括The Block CEO Larry Cermak、Nansen CEO Alex Svanevik、LayerZero CEO Luca Netz、Gitcoin創辦人Scott Moore等,為社群媒體獲得了一定的背書支持,而且擁有4000萬用戶的Bitget交易所在錢包與用戶資源方面都給予了Morph支持,讓Morph在初期便獲得了龐大的流量反哺。

Morph主網上線後,Morph共有54個生態接入,其中不乏一些我們熟知的項目,包括推出了“Morph Zoo”、“Morph生態基金”、“建設者支持計劃”和“大使計劃”等多個幫助自身持續發展的孵化活動。且在今年大熱的Token2049活動中請到了Vitalik,並持續舉辦了多場線下活動,快速累積到了用戶。

Vitalik公開月台的天「亡」級專案Morph安全性如何?

Morph具備EVM 相容優勢,能夠吸引以太坊開發者無縫入駐,而且在Morph 運作機制中,去中心化的序列器網路允許多個節點(排序器)參與交易的打包和排序,而不是單一節點控制,這就讓Morph在Layer 2紅海中,找到了自己的創新點,逐步鞏固了自身的市場地位,成為Layer 2領域中一顆耀眼的新星。

Morph創新出了RVP(響應式有效性證明)機制,類似於你在大廠做一名文案,原本需要5級審核才能確定內容的最終版本,但現在只需要一個專門審查的主編審核就可以了,大大提升效率,相較於工人按件計費的PoW機制和董事會集權的PoS機制,RVP機制真正做到了降本增效,為打工人謀福利,對於主打消費級Layer 2的Morph來說和其他Layer 2快速做到了差異化,但它究竟只是一個「概念噱頭」還是普惠大眾的「創新理念」?需要時間驗證,畢竟它才剛上線主網。

Vitalik公開月台的天「亡」級專案Morph安全性如何?

主網上線後,Morph 將會再次邁出重要一步,實現L2 關鍵組件的完全去中心化,並將考慮生態豐富程度,在合適時機推出Layer 3,以實現更高級別的擴展解決方案,朝著「消費級L2」願景再次廣為前進。

目前的Layer 2格局更像是處於三國時期,三分天下之前沒有人知道誰能挺到最後,代碼和用戶便是千軍萬馬,如果有一天徵兵速度減慢了,那就要注重安全問題了。

安全Tips:

從安全角度來看,Morph目前在亞洲地區宣傳更多,所背靠的資源較強,但歐美地區的宣傳聲量較小,且沒有經過安全審計,仍有一定的風險,從官方的Github代碼庫來看,目前Morph已經從0.2.0更新到了0.4.0版本,並在9.2日發布審計大賽,獎勵攻擊180,000USDC,經過該審計大賽,發布了v0.4.0版本的Morph修復了漏洞。

其中一個漏洞為修復誤導性日誌:

這個漏洞指的是識別並糾正系統或應用程式中不準確、模糊或缺乏上下文的日誌訊息,以確保日誌能夠真實、清晰地反映系統狀態和事件。具體措施包括定期審查現有日誌、改進日誌記錄機制、統一日誌格式和等級管理、使用日誌範本和自動化工具,以及培訓團隊成員遵循日誌編寫規格。透過修復誤導性日誌,可以提高問題診斷效率,增強系統監控和安全性,優化開發與維運流程,減少溝通誤解,進而提升系統的可靠性、可維護性和整體營運效益。

Vitalik公開月台的天「亡」級專案Morph安全性如何?

還有一個審計內容為Challenge state with batch header,此審計內容有:

狀態挑戰(State Challenge)

  • 在以太坊Layer 2的Rollup 系統中,所有交易都先在第二層鏈上執行,最後將其狀態提交到主鏈(以太坊主鏈)。狀態挑戰是指驗證這些狀態是否正確,並且是否有有效的機制來解決狀態不一致或詐欺行為。

  • 例如在Optimistic Rollup 中,提交狀態時,系統允許一個挑戰期,在此期間,如果有其他使用者認為狀態更新不正確,他們可以提出挑戰。這一部分的審計工作會檢查是否有機制來正確處理這些挑戰,確保無效的狀態更新不會被最終確認。

批頭(Batch Header)

  • Batch Header 在二層鏈中通常指的是包含多個交易或狀態更新的批次的元數據,類似於批次的元數據。即便沒有批次處理,二層鏈的狀態仍會以批次的形式提交到主鏈。這些批次的元資料(包括時間戳記、交易數量、根雜湊等)必須有效記錄和驗證。

  • 稽核會檢查批頭資訊的完整性和準確性,確保它們能夠正確地指向實際的狀態更新,並防止資料竄改。

狀態同步和一致性

  • 在二層鏈的Rollup 模型中,挑戰狀態的過程也涉及如何同步二層鍊和主鏈的狀態,確保兩個鏈的狀態保持一致。審計時需要檢查是否有漏洞,導致不一致的狀態被接受或提交。

  • 例如在ZK-Rollup 中,狀態更新的驗證是透過零知識證明(ZKP)進行的,這也需要透過審計檢查其正確性。

防止惡意行為和欺詐

  • 審計還需要檢查二層鏈系統是否提供了充分的防護機制,避免惡意使用者透過不正確的狀態提交或篡改批頭資料來進行詐欺。特別是在Optimistic Rollup 中,惡意挑戰和虛假狀態提交的情況需要特別注意。

經過該審計大賽後,對GAS進行了最佳化並對漏洞進行了查補。對該專案安全有興趣的朋友可以繼續查看Morph的官方GitHub。

安全為Web3計畫的立身之本,在Web2與Web3交融的加密貨幣消費時代背景下,能否持續迭代是一個專案成功的關鍵,而在參與Morph的生態過程中,鏈源科技安全團隊建議一定要注意自身的錢包安全,授權過多的錢包權限或專案跑路都有可能導致資產大量流失,需要定期檢查授權以及專案進度。