Mới đây, mạng Stellar hỗ trợ blockchain đã offline, ngừng xác nhận giao dịch trong hơn một giờ.
Mặc dù không có khoản tiền nào bị mất nhưng vấn đề lớn của Stellar hiện đã được công khai mạnh mẽ: dự án không phi tập trung, ít nhất là không đạt được mức dự kiến vào thời điểm này. Đáng chú ý là, “kịch bản offline” đã được các nhà nghiên cứu dự đoán vào đầu tháng trước.
Giới thiệu ngắn gọn về Stellar và mạng lưới của nó
Stellar là một nền tảng chuyển tiền. Nó được ra mắt vào năm 2014 bởi Jed McCaleb, người sáng lập Mt. Gox và đồng sáng lập Ripple, và cựu luật sư Joyce Kim. Tài sản của Stellar là lumen (XLM), hiện là loại tiền điện tử lớn thứ 9 theo vốn hóa thị trường.
Ngược lại, mạng Stellar được thiết kế như một mạng ngang hàng phi tập trung của các nút hợp lệ. Phần mềm Stellar Core được sử dụng bởi các nút để xác nhận giao dịch.
Để đạt được sự đồng thuận toàn cầu với các nút khác, Stellar Core chạy Giao thức đồng thuận Stellar (SCP). Theo whitepaper SCP, nó có “các yêu cầu tài chính và điện toán khiêm tốn” so với các chương trình phi tập trung phổ biến hơn của proof-of-work (PoW) và proof-of-stake (PoS).
Nói cách khác, thay vì sử dụng toàn bộ mạng để xác thực giao dịch như Bitcoin, Stellar dựa vào các quorum slice – tập hợp các nút mà mỗi nút cần xác thực chọn để đồng ý. Hệ thống này được cho là cho phép Stellar giải phóng mạng và lưu trữ tới 1.000 hoạt động mỗi giây, lớn hơn nhiều so với tốc độ khiêm tốn của Bitcoin (tối đa 7 giao dịch mỗi giây) và Ethereum (tối đa 15 giao dịch mỗi giây).
Tất cả quorum slice tạo nên các nút xác nhận hợp lệ tạo thành một mạng toàn cầu, trong đó phương thức bỏ phiếu được sử dụng để đảm bảo sự đồng thuận về các giao dịch được ghi vào sổ cái. Theo Stellar, quá trình này xảy ra trong khoảng 2-5 giây.
Vậy tại sao mạng Stellar lại offline?
Quỹ phát triển Stellar (SDF) – một tổ chức phi lợi nhuận cam kết phát triển và áp dụng Stellar – tin rằng mạng lưới đã sụp đổ vì “các nút mới đã nhận nhiều trách nhiệm đồng thuận quá sớm”. Thay vào đó, Nicolas Barry, giám đốc công nghệ của Stellar, nói một cách dễ hiểu “nguyên nhân là do phi tập trung hóa quá nhanh.”
Cụ thể hơn, việc ngừng hoạt động dường như liên quan trực tiếp đến các tuyên bố trước đó rằng mạng Stellar quá tập trung hóa. Tháng trước, ba nhà nghiên cứu của Viện Khoa học và Công nghệ tiên tiến Hàn Quốc (KAIST) đã xuất bản một bài báo có tựa đề “Stellar có an toàn như bạn nghĩ không?”, bài báo đã kết luận quá trình phân tích mạng Stellar chứng minh rằng nó có tính tập trung đáng kể.
Cụ thể là các nhà nghiên cứu nhấn mạnh rằng toàn bộ mạng Stellar dựa trên một số lượng nút hạn chế, chủ yếu là các nút do chính SDF kiểm soát:
Nghiên cứu chỉ ra: “Tất cả các nút trong Stellar không thể chạy giao thức đồng thuận Stellar nếu chỉ có hai nút bị lỗi. Vấn đề tồi tệ hơn là, hai nút này được điều hành và kiểm soát bởi một tổ chức duy nhất, nền tảng Stellar”.
Cuối tháng đó, David Mazières, nhà khoa học trưởng tại SDF và là giáo sư khoa học máy tính tại Đại học Stanford, đã viết một câu trả lời. Trong đó, ông xác nhận rằng cấu hình của Federated Byzantine Agreement (FBA) của Stellar, là một mô hình đồng thuận dựa trên các quorum slice, được tập trung hóa cao, và nói rằng các nhà phát triển Stellar đang trong quá trình cải thiện nó. Mazières tiếp tục:
“Chúng tôi […] rất vui vì mọi người đã chú ý đến thực tế này. Mọi thứ đã được cải thiện đáng kể từ cấu hình được phân tích trong bài báo – ví dụ, Quỹ phát triển Stellar (SDF) không còn có khả năng dừng mạng lại và không có hai nút nào có thể ảnh hưởng đến cả giao thức”.
Tuy nhiên, vào ngày 15 tháng 5, lúc 1:14 chiều PST, mạng Stellar đã offline trong 67 phút – theo SDF, trong khi một số báo cáo khác cho rằng “phải đến khoảng gần hai giờ đồng hồ” – sau khi nó không đạt được sự đồng thuận. Trong một phân tích, SDF giải thích rằng mạng bị đóng băng vì có quá nhiều nút mới được thêm vào trong một giá thầu để làm cho nó phi tập trung hơn:
“Chúng tôi thấy rằng Stellar “quá tập trung hóa” và bằng cách nào đó, sự thất bại với các nút của SDF đã khiến toàn bộ mạng bị sập. Trớ trêu thay, điều này là sự thật. Stellar đã thêm nhiều nút mới gần đây. Một số nút mới đã nhận quá nhiều trách nhiệm đồng thuận”.
Cụ thể, một nút của Keybase – một startup blockchain mà SDF đã đầu tư – đã offline để bảo trì. Vào thời điểm đó, các nút khác được báo cáo là “yếu hoặc sập hoàn toàn”, đó là lý do tại sao Stellar dừng lại.
Hơn nữa, SDF tuyên bố rằng việc dừng mạng trên thực tế là một kịch bản thích hợp hơn cho Stellar khi hoạt động ở trạng thái bị lỗi, vì mạng này chứa các tổ chức tài chính được cho là đã chọn vì họ “thích thời gian chết hơn dữ liệu không nhất quán”. Đó là lý do tại sao giao thức Stellar không thất bại, nhưng thực sự nó đã làm việc như dự định – tổ chức phi lợi nhuận lập luận.
“Là một lựa chọn thiết kế cơ bản, Stellar thích sự nhất quán và khả năng phục hồi phân vùng hơn duy trì sự sống”- theo tuyên bố. “Điều này khác với các blockchain khác, trong đó ‘chuỗi phải đi lên’ cho dù giá của các soft fork có như thế nào”.
Ngoài ra, SDF đã nhấn mạnh rằng không có khoản tiền nào bị mất do sự cố và mạng hiện tại đang ổn định.
KAIST cảnh báo rằng vấn đề cơ bản chưa được giải quyết
Theo Yongdae Kim, một trong những nhà nghiên cứu của KAIST, tác giả của nghiên cứu tháng 4 về mạng Stellar, sự sụp đổ đã xảy ra sau khi một số thay đổi được thực hiện đối với cấu trúc của nó.
Cụ thể, ông Kim nói rằng tại thời điểm bài báo được gửi, nếu hai trong số ba nút xác thực SDF không hoạt động, mạng Stellar sẽ sụp đổ.
Sau khi các nhà nghiên cứu báo cáo về lỗ hổng, SDF bị cáo buộc đã cố gắng phi tập trung hóa mạng bằng cách xóa các trình xác nhận SDF khỏi quorum sets. Kết quả là, Stellar trở nên mạnh mẽ chống lại lỗi hai nút, nhưng vẫn dễ bị tấn công bởi lỗi ba nút, theo ông Kim.
Tuy nhiên, ngay trước khi tạm dừng vào ngày 15 tháng 5, mạng đã trở nên không ổn định khi đối mặt với sự cố hai nút một lần nữa – ông Kim nói, nhấn mạnh rằng không có cặp nút nào thuộc sở hữu của SDF, ông cho rằng chúng đã bị xóa vào thời điểm đó. Cuối cùng, cặp nút đó đã offline, dường như đã khiến toàn bộ mạng bị sập.
Theo ông Kim, để giải quyết hậu quả của sự cố mạng và đưa nó trở lại online, SDF đã đưa cả ba trình xác nhận hợp lệ của nó vào các quorum sets, và do đó đã “quay lại bước 1” – nếu hai trong số ba nút xác thực SDF đi xuống, mạng Stellar sẽ sụp đổ.
“Sau khi chúng tôi báo cáo cho họ, họ đã điều chỉnh thủ công các bộ xác nhận trong một thời gian dài”, ông Kim giải thích. Tuy nhiên, ông cho biết thực tế là sự cố mạng đã xảy ra vào một thời điểm sau đó, cho thấy thiết kế này gây khó khăn cho việc duy trì cấu trúc mạng mạnh mẽ chống lại sự cố tầng.
Khi nói về các lý do cơ bản tại sao mạng dễ bị sự cố tầng, ông Kim mô tả cách các node host phải chọn quorum sets của chúng một cách thủ công, việc này rất khó, do sự phức tạp của thiết kế mạng. Hơn nữa, nhà nghiên cứu của KAIST nhấn mạnh rằng không phải tất cả các nút đều mạnh mẽ như nhau. “SDF mạnh mẽ hơn, nhưng chúng có thể là một mục tiêu bị nhắm tới”.
Phản ứng của cộng đồng
Phản ứng chung của cộng đồng là Stellar chủ yếu tập trung, mặc dù SDF tích cực đưa ra ý kiến ngược lại. Emin Gün Sirer, đồng giám đốc của IC3, đã tweet:
“Nếu toàn bộ mạng của bạn đang bị sập vì một thực thể duy nhất gặp sự cố, vậy chính xác thì hệ thống của bạn được phi tập trung hóa như thế nào? – hoàn toàn không hề phi tập trung gì cả.” — Emin Gün Sirer (@el33th4xor)
Đáp lại, Kyle McCollom, quản lý sản phẩm tại SDF, lập luận rằng một số nút không khả dụng, trong khi nút của Keybase được gỡ xuống để bảo trì đã khiến mạng khởi đầu giai đoạn mới:
“Một số nút không khả dụng (“Trong vài tuần qua, nhiều lần các trình xác nhận bị định cấu hình sai đã cản trở sự đồng thuận.”) Và việc ngưng hoạt động nút của Keybase đã khiến mạng sang một giai đoạn mới”. — Kyle McCollom (@kylemccollom)
Tương tự, một người dùng đã đăng trên subreddit ban đầu của Stellar với ngụ ý rằng mạng không thể đạt được sự đồng thuận vì các nút SDF bị ngừng hoạt động, đã bị McCalleb phủ nhận trong phần bình luận: Đồng sáng lập của Stellar đã viết rằng “các nút SDF và trên thực tế là phần lớn các trình xác nhận trong mạng vẫn hoạt động, nhưng không thể đóng sổ cái một cách an toàn vì chúng không thấy đủ nút trong các quorum.
Khi được hỏi liệu mạng Stellar có thể được gọi là mạng phi tập trung sau sự cố hay không, Hartej Sawhney, chuyên gia về blockchain và đồng sáng lập của Hosho, đã trả lời một cách tiêu cực, nhưng cũng làm rõ rằng ngày nay không có dự án nào được phi tập trung hóa. “Có vẻ như vấn đề không phải ở việc tập trung hóa, mà là trách nhiệm đồng thuận của các nút mới”, ông nói.
“Tại thời điểm này, Stellar chắc chắn là một mạng tập trung, đặc biệt là về khía cạnh thực tế, như đã được chứng minh trong một nghiên cứu được thực hiện tại KAIST”, Eyal Shani, một nhà nghiên cứu blockchain tại Aykesubir, đã đồng ý như vậy. “Tuy nhiên, điều này không có gì đáng ngạc nhiên vì ngay cả mạng Bitcoin cũng có thể được nhiều người coi là tập trung hóa”.
Phản ứng của thị trường
Giá XLM đang là một đường nằm ngang trên biểu đồ vài ngày qua, trong khi thị trường tiếp tục phục hồi với một sự điều chỉnh lớn xảy ra vào đầu tuần này.
Hơn nữa, vào ngày 16 tháng 5, ngay sau khi báo cáo lỗi mạng, XLM đã tăng trưởng 15%, cho thấy tin tức đã không ảnh hưởng đến giá trị tài sản.
Stellar sẽ khắc phục điều này như thế nào?
SDF đã sơ khảo một số cách để làm cho mạng phi tập trung hơn và ổn định hơn cùng một lúc, như là một phần của quản lý hệ quả.
Đầu tiên, họ có mục đích giới thiệu tốt hơn cho các trình xác nhận mới bằng cách cung cấp cho người dùng các tiêu chuẩn và nhà khám phá được công bố để giúp họ tạo ra các quorum sets tốt – có lẽ là SDF sẽ tư vấn các nút nào nên được đưa vào các quorum slice của họ để tránh các sự cố tương tự.
SDF cũng hy vọng sẽ đạt được các tiêu chuẩn hoạt động tốt hơn. “Chúng tôi sẽ tăng cường phối hợp vận hành để lịch trình bảo trì được công khai”, tổ chức đã viết trong bài đăng trên blog. “Chúng tôi cũng sẽ giúp các nhà khai thác giữ được các nút và các lựa chọn quorum của họ được cập nhật”.
Ngoài ra, SDF cũng đặt mục tiêu cải thiện việc giám sát và cảnh báo tốt hơn để cảnh báo các node host về việc thiếu các nút quan trọng nào trong mạng, cũng như sắp xếp các thông báo bot-created trong kênh trình xác nhận công khai bất cứ khi nào một nút offline. Giao tiếp được cải thiện cũng sẽ đảm bảo rằng mạng có thể được đưa trở lại online nhanh hơn nhiều, tổ chức phi lợi nhuận cho biết.
Ông Kim nghĩ rằng không có đề xuất của SDF nào trực tiếp giải quyết vấn đề thất bại tầng, điều này có khả năng dẫn đến các sự cố tiếp theo. “Nói chung, đây là những cách giảm nhẹ tốt. Tuy nhiên, về cơ bản, nó không giải quyết được vấn đề của Stellar. Nếu không có sự thay đổi về thiết kế, sẽ rất khó để cải thiện khả năng sống sót của Stellar”.
Xem xét việc SDF dường như ưu tiên tính nhất quán và khả năng phục hồi phân vùng hơn khả năng sống còn của mạng, việc Stellar chuyển từ sự an toàn của các nút SDF đáng tin cậy sang các kịch bản phi tập trung hơn có thể dẫn đến sụp đổ trong hệ thống mới, Shani của Aykesubir nói. “Cho đến khi họ có đủ các trình xác nhận quan trọng (tức là khởi động và chạy giao thức), chúng ta có thể sẽ thấy nhiều sự tạm dừng như thế này hơn trong tương lai gần”.
Tuy nhiên, SDF vẫn lạc quan, coi việc ngừng hoạt động gần đây là một sự nghiêm trọng, “Stellar đã đáp ứng về mặt an toàn của người dùng nhưng thất bại về thời gian hoạt động”.
Câu trả lời sẽ được đưa ra theo thời gian, nếu tổ chức phi lợi nhuận này cố gắng củng cố mạng lưới của mình để ngăn chặn những lần offline tiếp theo, nhưng hiện tại, Stellar đang thuộc hàng ngũ các dự án tiền điện tử lớn bị chỉ trích vì thiếu sự phi tập trung hóa.
