Quan điểm: L2 được Ethereum cung cấp bảo mật, nhưng thực tế không còn đúng nữa

Tác giả: Ishita

Biên dịch: TechFlow

Sự phát triển của Ethereum trong mười năm qua xoay quanh một lời hứa đơn giản: mở rộng mạng lưới mà không đánh đổi tính phi tập trung. Theo lộ trình của nó, câu trả lời là một tương lai lấy Rollup làm trung tâm. Trong kiến trúc này, các mạng Layer 2 (L2 hoặc “Rollups”) thực hiện giao dịch ngoài chuỗi, giúp giảm chi phí và tăng thông lượng, đồng thời vẫn nhận được sự bảo đảm an ninh cốt lõi từ Ethereum với vai trò là lớp nền tảng (Layer 1).

Hầu như tất cả các dự án Rollup lớn, bao gồm Arbitrum, Optimism, Base, zkSync và Scroll, đều lấy “được bảo đảm bởi Ethereum” làm cốt lõi thương hiệu. Khẩu hiệu này rất mạnh mẽ, là trung tâm của câu chuyện tiếp thị, nhưng liệu điều này có thực sự đúng? Khi nghiên cứu sâu hơn về cách các Rollup này vận hành thực tế và dòng chảy tài sản bên trong chúng, tuyên bố này trở nên mơ hồ.

Bài viết này sẽ phân tích khoảng cách giữa khẩu hiệu và thực tế, bắt đầu từ cầu nối (nơi tài sản của người dùng nằm), đến bộ sắp xếp giao dịch (người chịu trách nhiệm sắp xếp giao dịch), rồi đến quản trị (người đặt ra quy tắc), lần lượt thảo luận từng khía cạnh.

Thực tế của Rollup Bridge

Rollup tuyên bố “được bảo đảm bởi Ethereum”, nhưng điều này che giấu cách người dùng thực sự tương tác với các hệ thống này.

Để sử dụng Rollup, dù là cho DeFi, thanh toán hay ứng dụng, trước tiên bạn cần chuyển tài sản lên Rollup. Tuy nhiên, Ethereum không có chức năng chuyển trực tiếp vào hoặc ra — bạn không thể đơn giản “gửi” ETH đến Rollup. Điều này đòi hỏi phải có cầu nối (Bridge). Cầu nối là cửa ngõ giữa Ethereum và Rollup, quyết định mức độ an toàn mà người dùng thực sự trải nghiệm.

Cách hoạt động của cầu nối

Nạp tiền

Khi bạn nạp ETH vào rollup, thực chất bạn đang gửi nó đến hợp đồng cầu nối (Bridge Contract) trên Ethereum. Hợp đồng này sẽ khóa ETH của bạn và chỉ thị cho rollup tạo cùng số lượng ETH trong ví L2 của bạn. Ví dụ, nếu bạn nạp 1 ETH, hợp đồng cầu nối sẽ giữ an toàn 1 ETH trên Ethereum, đồng thời tài khoản rollup của bạn cũng hiển thị 1 ETH. Vì ETH bị khóa trên Ethereum, khoản nạp này đạt được mức độ tin cậy tối thiểu.

Rút tiền

Rút tiền thì phức tạp hơn nhiều. Quá trình rút ngược lại với nạp tiền:

1. Bạn tiêu hủy (hoặc khóa) token trên Rollup.

2. Bạn gửi thông báo đến hợp đồng cầu nối trên Ethereum: Tôi đã tiêu hủy token trên L2, hãy giải phóng ETH bị khóa của tôi.

3. Vấn đề là: Ethereum không thể nhìn thấy những gì xảy ra bên trong Rollup, nó không nhận biết được các phép tính trên L2.

Do đó, Ethereum chỉ giải phóng tài sản của bạn khi cầu nối cung cấp bằng chứng hợp lệ cho việc rút tiền. Bằng chứng này có thể bao gồm:

• Bằng chứng gian lận (Fraud Proofs, giải pháp lạc quan): Mặc định giả định giao dịch hợp lệ, trừ khi bị thách thức trong cửa sổ tranh chấp.

• Bằng chứng hợp lệ (Validity Proofs, giải pháp zero-knowledge): Sử dụng bằng chứng mật mã để chứng minh trước rằng mọi giao dịch tuân thủ quy tắc, Ethereum có thể tin tưởng ngay kết quả.

• Đa chữ ký hoặc hội đồng (Multisigs or Committees): Dựa vào các bên đáng tin cậy để xác thực.

Cầu nối là chìa khóa để người dùng truy cập Rollup. Có thể ví nó như cửa sổ để vào nhà. Dù cửa sổ (Bridge) bị hỏng, ngôi nhà (Rollup) vẫn đứng vững. Nhưng nếu cửa sổ vỡ, bạn không thể ra vào an toàn nữa. Tương tự, sự cố cầu nối sẽ cắt đứt quyền truy cập của người dùng, dù cơ chế cốt lõi của Rollup vẫn hoạt động.

Do đó, lớp cầu nối mới là góc nhìn thực sự về an ninh của Rollup. Tài sản có thực sự “được bảo đảm bởi Ethereum” hay không, phụ thuộc vào cầu nối bạn sử dụng và mô hình tin cậy của nó, chứ không phải bản thân Rollup.

Mô hình cầu nối và các giả định

• Cầu nối chính thức (Canonical Bridges) là cầu nối “chính thức” của mỗi Rollup, gắn trực tiếp với Ethereum. Khi người dùng khóa tài sản ở đây, các xác thực viên Ethereum đảm bảo rằng ngay cả khi L2 ngừng hoạt động, người dùng vẫn có thể rút về Layer 1. Đây là cách duy nhất thừa hưởng trực tiếp thuộc tính an ninh của Ethereum.

• Cầu nối bên ngoài (External Bridges) như Wormhole, LayerZero và Axelar tối ưu hóa trải nghiệm người dùng bằng chuyển đổi nhanh giữa các chuỗi, nhưng dựa vào hội đồng xác thực viên hoặc đa chữ ký riêng. Các cầu nối này không bị ràng buộc bởi đồng thuận của Ethereum. Nếu các nhà vận hành ngoài chuỗi này bị hack hoặc thông đồng, dù Ethereum vẫn hoạt động tốt, người dùng vẫn có thể mất tài sản.

• Phát hành gốc (Native Issuance) là token được đúc trực tiếp trên Rollup, ví dụ USDC trên Base hoặc OP trên Optimism. Các tài sản này chưa từng đi qua cầu nối chính thức và không thể đổi lại trên Layer 1. An ninh của chúng đến từ quản trị và hạ tầng của Rollup, không phải từ Ethereum.

Phân bổ thực tế của tài sản Rollup

Tính đến ngày 29 tháng 8 năm 2025, các Rollup của Ethereum bảo vệ tổng cộng khoảng 43.96 billions USD tài sản, phân bổ như sau:

• Cầu nối bên ngoài: 16.95 billions USD (39%) — chiếm tỷ trọng lớn nhất

• Cầu nối chính thức: 14.81 billions USD (34%) — tài sản được Ethereum bảo đảm

• Phát hành gốc: 12.20 billions USD (27%) — tài sản gốc của Rollup

Phân tích xu hướng lịch sử

Nhìn lại giai đoạn 2019-2022, cầu nối chính thức là động lực chính cho việc áp dụng Rollup. Hầu như mọi tăng trưởng ban đầu đều thông qua cầu nối chính thức, giữ Ethereum làm trung tâm.

Tuy nhiên, từ cuối năm 2023, tình hình bắt đầu thay đổi:

• Cầu nối chính thức tiếp tục tăng trưởng nhưng thị phần bắt đầu giảm, đạt đỉnh vào năm 2024.

• Phát hành gốc mở rộng dần, đặc biệt trong giai đoạn 2024–2025.

• Cầu nối bên ngoài tăng trưởng mạnh từ cuối 2023, đến đầu 2025 vượt qua cầu nối chính thức, đánh dấu việc Ethereum mất phần lớn tài sản Rollup.

• Hiện nay, hai phần ba tài sản Rollup (bên ngoài + gốc) đã không còn nằm trong phạm vi bảo đảm trực tiếp của Ethereum.

Phân khúc hệ sinh thái Rollup

Mức độ tập trung thị trường rất cao: sáu Rollup lớn nhất chiếm 93.3% tổng giá trị khóa (TVL). Phân bổ tài sản của từng hệ sinh thái như sau:

• Cầu nối chính thức: 32.0%

• Phát hành gốc: 28.8%

• Cầu nối bên ngoài: 39.2%

Phân tích mô hình tổng thể của biểu đồ tròn

• Cầu nối bên ngoài chiếm ưu thế: Như Arbitrum và Unichain, người dùng ưu tiên rút nhanh và thanh khoản, ưa chuộng cầu nối bên thứ ba.

• Cầu nối chính thức chiếm ưu thế: Như Linea (và OP Mainnet ở vị trí thứ hai), nhiều tài sản thế chấp từ L1 được chuyển qua cầu nối chính thức.

• Phát hành gốc chiếm ưu thế: Như zkSync Era và Base, tài sản được đúc trực tiếp trên L2 (ví dụ USDC gốc trên Base) và chảy vào qua kênh trực tiếp.

Điểm then chốt: Phần lớn tài sản của các Rollup lớn đã vượt ra ngoài phạm vi bảo đảm trực tiếp của Ethereum. Mức độ an toàn thực tế mà người dùng nhận được phụ thuộc vào cơ chế tin cậy đằng sau từng mô hình cầu nối, chứ không phải bản thân Rollup.

Ngoài cầu nối: còn những rủi ro nào?

Mô hình cầu nối quyết định quyền sở hữu tài sản, nhưng ngay cả khi tất cả tài sản đều qua cầu nối chính thức, người dùng vẫn đối mặt với các lỗ hổng tin cậy và an ninh khác. Ba lĩnh vực sau đặc biệt quan trọng: cơ chế sắp xếp giao dịch, cấu trúc quản trị, và tác động của khả năng kết hợp đến trải nghiệm người dùng.

1. Bộ sắp xếp giao dịch: điểm kiểm soát tập trung

Bộ sắp xếp giao dịch quyết định thứ tự và cách đóng gói giao dịch. Hiện tại, hầu hết các Rollup đều sử dụng bộ sắp xếp tập trung, thiết kế này vừa hiệu quả vừa sinh lợi, nhưng cũng mang lại các rủi ro sau:

• Kiểm duyệt giao dịch: Bộ sắp xếp có thể từ chối đưa một số giao dịch vào, thực hiện kiểm duyệt.

• Ngăn chặn rút tiền: Bộ sắp xếp quyết định khi nào gửi các giao dịch rút tiền hàng loạt lên Ethereum, do đó có thể trì hoãn rút tiền vô thời hạn.

• Ngừng hoạt động hoàn toàn: Nếu bộ sắp xếp gặp sự cố, hoạt động của Rollup sẽ tạm dừng cho đến khi nó hoạt động trở lại. (Ví dụ, Arbitrum từng bị ngừng hoạt động 78 phút)

Ethereum cung cấp cơ chế “ép buộc đưa vào” (Force Inclusion), cho phép người dùng gửi giao dịch trực tiếp lên Layer 1 để vượt qua bộ sắp xếp. Tuy nhiên, cơ chế này không đảm bảo công bằng, vì bộ sắp xếp vẫn kiểm soát thứ tự khối, điều này đủ để phá vỡ trải nghiệm người dùng. Ví dụ:

• Giả sử bạn cố gắng rút tiền từ Aave trên L2.

• Bạn gửi yêu cầu rút tiền ép buộc lên Ethereum, nghĩa là bộ sắp xếp không thể bỏ qua giao dịch của bạn.

• Tuy nhiên, bộ sắp xếp có thể chèn giao dịch của mình trước giao dịch của bạn — ví dụ, vay thêm tiền từ cùng một pool.

• Khi giao dịch rút tiền của bạn được thực hiện, pool đã hết thanh khoản, khiến giao dịch thất bại.

• Dù giao dịch của bạn được “đưa vào”, kết quả vẫn bị phá vỡ.

Hơn nữa, ép buộc đưa vào còn có vấn đề thực tế: thời gian chờ có thể kéo dài hàng giờ (đôi khi hơn 12 tiếng), thông lượng hạn chế, ngay cả khi đã gửi vẫn có thể bị sắp xếp lại. Do đó, cơ chế này giống như một van an toàn chậm, chứ không phải đảm bảo thực thi công bằng.

Bộ sắp xếp phi tập trung đang dần được chú ý. Ví dụ, các dự án như Espresso và Astria đang xây dựng mạng lưới bộ sắp xếp chia sẻ để tăng tính linh hoạt và khả năng tương tác.

Một trong những ý tưởng cốt lõi là “xác nhận trước” (Pre-Confirmations): bộ sắp xếp hoặc mạng lưới chia sẻ có thể cam kết trước rằng giao dịch sẽ được đưa vào, dù chưa được xác nhận cuối cùng trên Ethereum. Điều này giúp giảm độ trễ do phi tập trung, mang lại bảo đảm nhanh hơn cho người dùng, đồng thời giữ được tính trung lập.

Dù vậy, bộ sắp xếp tập trung vẫn chiếm ưu thế vì chúng đơn giản, sinh lợi và hấp dẫn các tổ chức — ít nhất là cho đến khi cạnh tranh hoặc nhu cầu người dùng buộc phải thay đổi.

2. Rủi ro quản trị và động lực: L2 mang tính doanh nghiệp

Ai vận hành Rollup là điều rất quan trọng. Nhiều Rollup hàng đầu do các công ty hoặc đội ngũ được quỹ đầu tư mạo hiểm hậu thuẫn vận hành, ví dụ Base của Coinbase, Arbitrum của Offchain Labs, Optimism của OP Labs.

Những đội ngũ này có nghĩa vụ hàng đầu với cổ đông và nhà đầu tư, chứ không phải với hợp đồng xã hội của Ethereum.

• Trách nhiệm cổ đông → áp lực lợi nhuận: Ban đầu phí thấp để thu hút người dùng, sau đó khi thanh khoản và ứng dụng bị khóa, phí bắt đầu tăng (mô hình “thuế nền tảng” điển hình). Tương lai có thể xuất hiện phí bộ sắp xếp cao hơn, tích hợp ưu tiên, hoặc quy tắc có lợi cho hoạt động kinh doanh tổng thể của nhà vận hành.

• Hiệu ứng khóa → đòn bẩy: Khi có hàng tỷ USD TVL và lượng người dùng lớn, chi phí rời đi tăng, nhà vận hành có thể thay đổi kinh tế hoặc chính sách với rủi ro di chuyển hạn chế.

• Khác biệt văn hóa: Ethereum dựa vào các cuộc họp phát triển công khai, đa dạng client và quản trị mở (như EIPs). Trong khi đó, Rollup mang tính doanh nghiệp thiên về quản lý từ trên xuống, thường có khóa quản trị hoặc đa chữ ký, có thể tạm dừng, nâng cấp hoặc đóng băng hệ thống — ưu tiên tuân thủ hoặc lợi nhuận hơn là trung lập. Theo thời gian, các Rollup này có thể giống “vườn có tường rào” hơn là hệ sinh thái mở của Ethereum.

Kết quả là, khoảng cách giữa tinh thần mở của Ethereum và động lực hình thành các Rollup doanh nghiệp ngày càng lớn. Khoảng cách này không chỉ ảnh hưởng đến quản trị mà còn lan sang cách ứng dụng tương tác và trải nghiệm hệ thống của người dùng.

3. Khả năng kết hợp và trải nghiệm người dùng

“Phép màu” của Ethereum nằm ở khả năng kết hợp nguyên tử: hợp đồng thông minh có thể đọc ghi đồng bộ trong một giao dịch (ví dụ: swap tài sản trên Uniswap, đồng thời trả nợ Aave và kích hoạt thao tác Maker). Tuy nhiên, L2 phá vỡ khả năng kết hợp này:

• Tính bất đồng bộ: Tin nhắn xuyên Rollup có độ trễ, rút tiền chính thức có thể mất vài ngày, cầu nối bên thứ ba tăng giả định tin cậy.

• Phân mảnh: Thanh khoản và trạng thái bị phân tán giữa các L2, làm suy yếu trải nghiệm DeFi liền mạch của Ethereum.

Giải pháp là gì?

Rollup gốc của Ethereum (thiết kế và quản trị theo tiêu chuẩn Layer-1) có thể thực hiện đọc đồng bộ L2→L1, ghi đồng bộ L1→L2, cũng như ghi nguyên tử xuyên Rollup, từ đó mở rộng không gian block mà vẫn khôi phục phần lớn khả năng kết hợp của Layer-1. Nếu không có các chức năng này, trải nghiệm người dùng (UX) sẽ ngày càng nghiêng về các lớp tiện lợi không an toàn của Ethereum.

Tương lai của Rollups

Nếu “bảo đảm an ninh Ethereum” muốn vượt qua một khẩu hiệu, cốt lõi an ninh của nó phải dựa vào Layer 1, thay vì dựa vào hội đồng ngoài chuỗi hoặc bộ sắp xếp của một công ty duy nhất. Ba ý tưởng thiết kế sau đây cho thấy xu hướng này:

Rollup gốc: chuyển xác thực hoàn toàn sang Ethereum

• Khác với việc yêu cầu người dùng tin tưởng hệ thống bằng chứng gian lận độc lập, bằng chứng zero-knowledge không thể kiểm toán hoặc hội đồng an ninh, Rollup cung cấp một “dấu vết giao dịch” (Transaction Trace), Ethereum có thể tự mình thực thi lại các giao dịch này.

• Thực tế, điều này biến việc rút tiền và tính đúng đắn của trạng thái thành quyền của Layer 1, không phải lời hứa: nếu Rollup tuyên bố số dư của bạn là X, Ethereum có thể xác minh trực tiếp.

• Thiết kế này thu hẹp bề mặt tấn công của cầu nối, giảm nhu cầu về khóa tạm dừng và giúp Rollup đồng bộ với các nâng cấp tương lai của Ethereum.

• Đổi lại là chi phí cao hơn trên Layer 1, nhưng lợi ích rất rõ ràng: khi có tranh chấp, Layer 1 quyết định.

• Hiện chưa có Rollup gốc nào ra mắt.

Rollup sắp xếp dựa trên xác thực viên Ethereum

• Hiện nay, một bộ sắp xếp duy nhất có thể sắp xếp lại hoặc trì hoãn giao dịch, đủ để phá vỡ cơ chế “ép buộc đưa vào” (force inclusion) trên thực tế.

• Với thiết kế dựa trên sắp xếp, thứ tự chuẩn của giao dịch được quyết định bởi đồng thuận Layer 1, khiến kiểm duyệt và sắp xếp lại phút chót trở nên khó khăn hơn.

• Ép buộc đưa vào trở thành đường đi chính, không phải van an toàn chậm. Dự án có thể bổ sung “xác nhận trước” (pre-confirmations) để giữ trải nghiệm người dùng mượt mà, đồng thời để Layer 1 là trọng tài cuối cùng về thứ tự giao dịch.

• Thiết kế này phải đánh đổi một phần doanh thu và tính linh hoạt của Layer 2, nhưng loại bỏ điểm kiểm soát đơn lẻ lớn nhất trong kiến trúc hiện tại.

• Các đội ngũ đang nghiên cứu thiết kế Rollup dựa trên sắp xếp gồm Taiko, Spire và Puffer.

Rollup lưu trữ khóa: giải quyết rủi ro khóa và nâng cấp

• Khác với việc mỗi Rollup và ứng dụng tự xử lý khôi phục tài khoản, khóa phiên và xoay vòng khóa, Rollup “lưu trữ khóa” tối giản hóa và đồng bộ hóa các logic này ở mọi nơi.

• Người dùng có thể xoay vòng hoặc khôi phục khóa ở một nơi, thay đổi sẽ lan tỏa đến tất cả Layer 2. Nhà vận hành cần ít khóa khẩn cấp hơn, quản trị viên cần ít “quyền năng tối thượng” (god-mode) hơn.

• Kết quả cuối cùng là ít ví bị hack hơn, ít nâng cấp khẩn cấp sau sự cố hơn, và ranh giới rõ ràng hơn giữa an ninh tài khoản và logic ứng dụng.

• Thiết kế Rollup lưu trữ khóa hiện mới chỉ ở giai đoạn lý thuyết, chưa ra mắt.

Tóm lại, các ý tưởng thiết kế này cùng nhau giải quyết các vấn đề thực tế mà người dùng gặp phải: cơ chế rút tiền dựa vào tin cậy, thứ tự giao dịch do một công ty kiểm soát và đường dẫn khóa cùng nâng cấp dễ bị tổn thương.

Đưa xác thực, sắp xếp và an ninh tài khoản vào hệ thống của Ethereum là cách để Rollup thực sự “được bảo đảm bởi Ethereum”, chứ không chỉ là một khẩu hiệu tiếp thị.