ZKsync 治理工具:安全提案验证,通过一款功能强大的命令行工具(CLI),在批准前验证提案、解码交易并防止前端伪造,确保 ZKsync 治理的安全性。
引言
对于区块链治理机构和多签委员会而言,验证交易数据并非可选项,而是绝对必要的环节。在批准协议升级或转移大额资金时,仅依赖前端界面可能存在严重误导风险。
正如 Bybit 被攻击事件所示,即便是知名钱包的用户界面也可能被篡改,从而展示虚假信息。若缺乏独立验证,签名者可能会无意中授权与自己理解完全不同的交易。交易验证正是一种关键保障机制:它能确保原始交易细节(如地址、调用数据、金额、提案 ID)与预期完全一致。
其他近期攻击事件(例如 Radiant Capital 遭遇的 5000 万美元黑客攻击)也表明,若未对交易背后的数据进行二次核验,后果可能是灾难性的。在治理场景中——提案可能涉及合约升级或国库资金转移——风险尤其巨大。因此,可靠的验证工具和实践对于保护协议及用户资产至关重要。
ZKsync 升级验证工具概览
为应对上述风险,Cyfrin 推出了 ZKsync 升级验证工具——一款专为安全治理交易设计的命令行实用程序。该工具对 ZKsync 治理生态系统的参与者(尤其是安全委员会成员和守护者)而言不可或缺。它通过以下三项核心功能,简化了治理提案与升级的验证和理解过程:
从交易哈希中提取并显示提案 ID(get-zk-id)
解码并列出提案的详细操作(目标地址、金额、调用数据),包括任何桥接到以太坊的交易(get-upgrades)
计算以太坊升级提案的 Keccak256 哈希值,用于验证目的(get-eth-id)
该工具使用户能够将提案详情与 Tally(ZKsync 所使用的治理平台)等治理界面上显示的信息进行比对,准确理解提案对协议的实际影响,并在批准或签名前确认以太坊侧的提案 ID。无论您是在确认提案内容与其描述是否一致,还是在跨 ZKsync 与以太坊验证其完整性,此工具都能显著简化整个流程。
为何该工具如此有用?
在 ZKsync 的治理流程中,验证提案和升级对于维护协议的安全性与完整性至关重要。本工具满足了以下几项关键需求:
提案 ID 验证:get-zk-id 子命令可从 ZKsync 交易哈希中提取提案 ID,并同时以十六进制和十进制格式显示。用户可据此确认该 ID 与治理平台上显示的内容一致,确保投票前的透明度与准确性。
理解提案操作:通过 get-upgrades,用户可解码提案的输入数据,查看完整的目标地址列表、金额及调用数据。若提案包含对 ETH 桥的调用(例如 sendToL1),该工具还会进一步解码所提议的以太坊交易,清晰呈现提案的实际影响——这对于评估其有效性与意图至关重要。
以太坊提案 ID 确认:get-eth-id 可计算嵌入在 ZKsync 提案中的以太坊升级提案的 Keccak256 哈希值。该哈希即为以太坊侧的提案 ID,使用户能在投票后验证其是否符合预期,从而降低批准非预期操作的风险。
这些功能使该工具成为所有参与 ZKsync 治理人员的必备利器,确保提案在执行前经过全面审查。
如何使用 ZKsync 升级验证工具
ZKsync 升级验证工具是一款命令行应用程序,通过子命令、交易哈希和 RPC URL(用于连接 ZKsync 网络)进行操作。其使用方式简单直观,仅需少量输入参数。治理者地址(governor address)为可选项,若未提供则默认使用预设值。以下是各子命令的使用示例:
1.获取 ZKsync 提案 ID
要从交易中提取提案 ID:
zkgov-check get-zk-id <tx-hash> --rpc-url $ZKSYNC_RPC_URL
输出:提案 ID 的十六进制和十进制,例如 0xe06945bf... 和 101504078...
2.列出提案的操作和以太坊交易
解码提案的操作:
zkgov-check get-upgrades <tx-hash> --rpc-url $ZKSYNC_RPC_URL
输出:详尽的目标、数值和调用数据列表,如果调用 sendToL1,还包括任何以太坊交易。
zkgov-check get-upgrades <tx-hash> --rpc-url $ZKSYNC_RPC_URL --decode
--decode 选项允许我们解释用于在以太坊上执行的 calldata。这使得以人类可读的格式查看被调用的函数及其参数值成为可能。
3.计算以太坊提案 ID
要从交易哈希生成以太坊端的提案 ID:
zkgov-check get-eth-id <tx-hash> --rpc-url $ZKSYNC_RPC_URL
基于包含执行者、盐值和调用集合的 JSON 文件生成以太坊端提案 ID:
zkgov-check get-eth-id --from-file <file-path>
输出:提案中每个以太坊交易的 Keccak256 哈希。
快速入门
ZKsync 升级验证工具有两种实现方式:一种是使用 Bash 构建的,另一种是使用 Rust 构建的。你可以选择任意一种你喜欢的技术栈:
• Bash 实现
• Rust 实现
在本文中,我们将使用 Rust 版本。
curl --proto '=https' --tlsv1.2 -LsSf https://github.com/cyfrin/zksync-upgrade-verification-rs/releases/latest/download/zkgov-check-installer.sh | sh
git clone https://github.com/Cyfrin/zksync-upgrade-verification cd zksync-upgrade-verification
2.Build the binary:
cargo build --release
3.Add the binary to the path:
sudo mv target/release/zkgov-check /usr/local/bin/
4.Verify that the tool was installed:
zkgov-check --helpZkSync Governance ToolUsage: zkgov-check [OPTIONS] <COMMAND>Commands: get-zk-id get-upgrades get-eth-id help Print this message or the help of the given subcommand(s)Options: --rpc-url <RPC_URL> --governor <GOVERNOR> [default: 0x76705327e682F2d96943280D99464Ab61219e34f] --decode -h, --help Print help -V, --version Print version
完成!
这个工具的简洁性和稳健性使其成为自信应对 ZKsync 去中心化治理流程的有力助手。
结论
随着对区块链治理攻击手段的日益复杂,“不信任,验证”的格言比以往任何时候都更为重要。ZKsync 升级验证工具体现了治理委员会和多签操作员应成为标准做法的严格验证流程。通过验证交易 ID、交叉检查提案数据以及模拟结果,该工具确保批准的操作与原始意图一致——不多一分,不少一分。这降低了繁忙签署人因恶意提案或欺骗性前端伪装而批准非预期交易的风险。Bybit 交易所被黑及类似事件的教训很明确:无论合同或多签多么安全,最薄弱的一环往往是基于未验证信息批准交易的人。通过纳入验证脚本和独立审查,我们增加了一层稳固的安全保障。
原文链接:https://www.cyfrin.io/blog/zksync-governance-tool-secure-proposal-verification
免责声明:本文为c2e Labs的第三方内容,仅供信息分享与传播之目的,版权归原作者或来源方所有,如内容或素材有所争议请和我们取得联系。