L2 网络安全性的三个阶段：从治理份额角度分析

以太坊 rollup 的安全性可以分为三个阶段，主要取决于安全委员会对无信任机制的控制程度：

1. 阶段 0：安全委员会拥有全面控制权。即使存在证明系统，安全委员会也可以通过简单多数表决推翻它。

2. 阶段 1：需要 75% 的安全委员会成员批准才能覆盖运行系统。要求在主要组织外有一定数量的成员作为阻止子集。

3. 阶段 2：安全委员会仅能在可证明的错误情况下采取行动，如两个冗余证明系统相互矛盾时。

这三个阶段反映了安全委员会在决策中所占的"投票份额"比例。随着阶段的推进，安全委员会的权力逐渐减少，而无信任机制的作用逐渐增强。

关键问题在于如何确定从一个阶段过渡到下一个阶段的最佳时机。不立即进入阶段 2 的主要原因是对证明系统的信任度不够。证明系统由复杂的代码组成，潜在的漏洞可能导致用户资产被盗。对证明系统的信心越强，或对安全委员会的信心越弱，就越倾向于向更高阶段发展。

通过简化的数学模型，我们可以量化这一过程。假设每个安全委员会成员有 10% 的独立故障概率，活跃性故障和安全性故障概率相等。在不同阶段，安全委员会的决策机制也有所不同。

根据这些假设，我们可以计算出在不同阶段下，系统崩溃的概率。结果显示，随着证明系统质量的提高，最佳阶段从 0 逐渐向 1 再到 2 转移。使用低质量证明系统直接进入阶段 2 是最糟糕的选择。

然而，这个简化模型也有局限性：

1. 现实中，安全委员会成员并非完全独立，可能存在共同模式故障。
2. 证明系统本身可能由多个独立系统组成，降低了崩溃概率。

考虑到这些因素，阶段 1 和阶段 2 可能比模型预测的更具吸引力。

从数学角度看，阶段 1 的存在似乎难以证明其合理性，应该直接从阶段 0 跳到阶段 2。但反对者认为，在紧急情况下可能难以迅速获得足够的安全委员会成员签名。一个可能的解决方案是赋予任何一名委员会成员短期延迟提款的权限，以便其他成员有时间采取行动。

同时，过早进入阶段 2 也可能是错误的，尤其是如果这样做会影响底层证明系统的强化工作。理想情况下，数据提供商应该展示证明系统的审计和成熟度指标，并同时显示当前所处的阶段。这将有助于用户和开发者更好地评估 L2 网络的安全性状况。