原文作者：@IsdrsP，Lido 验证节点主管

原文编译：Nicky，Foresight News

5 月 10 日凌晨预言机服务商 Chorus One 披露，Lido 预言机的一热钱包遭黑客入侵导致 1.46 枚 ETH 被盗。但据安全审计显示，这一孤立事件影响有限，涉事钱包设计本就仅作轻量级运营用途。

预言机遭受攻击听起来确实很糟糕。然而，Lido 的架构设计、利益相关方的价值理念，以及以安全为导向的贡献者文化，意味着此类事件的影响极为有限—即便预言机被完全攻破，也不会造成灾难性后果。

那么，Lido 究竟有何独特之处？

深思熟虑的设计与层层防护机制

Lido 的预言机负责将共识层的信息传递至执行层，并汇报协议动态。它们并不掌控用户资金。单一故障预言机只会造成小麻烦，即便仲裁程序（quorum）被攻破也不会造成灾难性后果。

单个被攻破的预言机可能会尝试哪些恶意行为？

A) 提交恶意报告（但会被诚实的预言机忽略）；

B) 耗尽该特定预言机地址的 ETH 余额（该地址仅用于运营交易，且未存放质押者的资金）。

预言机究竟承担什么职责？

Lido 的预言机本质上是由 9 个独立参与者组成的分布式机制（需 5/9 达成共识），主要负责协议状态报告，当前核心职能包括：

• 代币通胀奖励发放（rebase）

• 提款流程处理

• 验证节点退出及性能监控，以供 CSM（Community Security Module）参考

这些预言机会向协议提交其观察到的状态「报告」。这些报告用于计算每日累计的奖励或惩罚、更新 stETH 余额、处理并最终确认提款请求、计算验证者退出申请以及衡量验证者的表现。

从本质上来说，Lido 预言机与人们通常理解的「多签」有所不同。预言机既无法访问质押者和协议的资金，也不能控制任何协议合约的升级，更无法对自身进行升级或管理成员资格。相反，Lido DAO 通过投票来维护预言机列表。

预言机的功能极为有限—仅能执行以下操作：提交报告，这些报告严格遵循为不同协议目标设计的确定性、经过审计且开源的算法；在特定情况下执行交易以落实报告结果（例如协议的每日 rebase 操作）。

如果 9 个预言机中有 5 个被攻破，最坏的情况会怎样？在这种情况下，被攻破的预言机可能会合谋提交恶意报告，但任何报告都必须通过链上强制执行的协议合理性检查。

若报告违反这些合理性检查，其处理时间将会延长（甚至可能永远无法）「结算」，因为报告中的数值必须符合特定时间段（数天或数周）内允许的数值变化范围。

在最坏的情况下，这可能意味着类似 stETH 的 rebase（无论是正向还是负向）需要更长时间才能生效，这会对 stETH 持有者造成影响，但对大多数持有者的影响微乎其微，除非有人在 DeFi 中以杠杆方式使用 stETH。

也存在其他可能性：若恶意预言机及其同谋掌握某些信息，或是具备在共识层实施大额惩罚（如大规模罚没）的能力，就可能利用执行层 stETH 更新延迟来谋取经济利益。例如，若发生大规模罚没，某些人可能会在负向 rebase 生效前，通过去中心化交易平台（DEX）抛售部分 stETH。不过，这不会影响用户通过 Lido 直接发起的提款操作，因为协议的「应急模式」（bunker mode）将会启动，确保提款流程公平执行。

即时且彻底的透明性

从始至终，Lido 生态系统的所有参与者—无论是贡献者、节点运营方，还是预言机运营方等，始终将透明度与善意置于首位，优先保障质押者权益与整个生态系统的健康发展。无论是主动发布详尽的事后分析报告、补偿因基础设施停机造成的质押损失，还是出于预防性考量主动退出验证节点，亦或是迅速发布全面的事故报告，这些参与者始终将透明度视为重中之重。

持续迭代升级

Lido 始终站在技术研发前沿，致力于运用零知识证明（ZK）技术提升预言机机制的安全性与去信任化水平。早在初期阶段，团队便投入逾 20 万美元专项资金，支持通过零知识证明技术实现共识层数据的无需信任验证。

这些关于技术的探索最终促成了由 SuccinctLabs 团队研发的 SP1 零知识预言机「双重校验」机制将于年内的正式上线。该机制通过可验证的共识层数据，为潜在的负向 rebase 操作提供额外的安全验证层。

目前这类零知识技术仍处于发展阶段，相关的零知识虚拟机（zkVM）不仅需要经历实战检验，同时也存在运算速度较慢、计算成本较高的局限性，尚无法完全取代可信预言机。但从长远来看，这类解决方案有望成为现有预言机的信任最小化替代方案。

预言机技术十分复杂且在 DeFi 领域的应用场景各异。在 Lido 协议中，预言机作为核心组件经过精心设计，通过有效的去中心化架构、职责分离机制以及多层校验体系，显著降低了潜在风险的影响范围。