تحليل مشكلات أمان بروتوكول عبر السلاسل وقيود LayerZero
لقد حظيت مشكلات أمان بروتوكولات عبر السلاسل باهتمام كبير في السنوات الأخيرة. من خلال النظر إلى أحداث الأمان التي وقعت على مختلف السلاسل خلال العامين الماضيين، فإن المبالغ المفقودة بسبب بروتوكولات عبر السلاسل تحتل المرتبة الأولى، مما يدل على أهميتها وضرورة التعامل معها، حتى أنها تفوقت على حلول توسيع شبكة الإيثريوم. إن قابلية التشغيل البيني بين بروتوكولات عبر السلاسل هي حاجة جوهرية لشبكة Web3، ولكن بسبب عدم قدرة الجمهور على تمييز مستوى أمان هذه البروتوكولات، أصبح تقييم المخاطر أمراً صعباً.
على سبيل المثال، يبدو أن تصميم LayerZero بسيط، لكنه في الحقيقة يحتوي على مشاكل محتملة. يستخدم هذا البروتوكول Relayer لتنفيذ الاتصال بين Chain A وChain B، تحت إشراف Oracle. هذا التصميم يلغي الحاجة إلى توافق السلسلة الثالثة التقليدية والتحقق من عدة عقد، مما يوفر للمستخدمين تجربة "عبر السلاسل السريعة". ومع ذلك، تحتوي هذه البنية المبسطة على مشكلتين رئيسيتين على الأقل:
انخفاض الأمان: تبسيط التحقق من عدة عقد إلى تحقق Oracle واحد يقلل بشكل كبير من عامل الأمان.
فرضيات الثقة غير مستقرة: من غير الواقعي افتراض أن Relayer و Oracle يعملان بشكل مستقل إلى الأبد، ولا يمكن من الناحية الأساسية منعهم من التآمر للقيام بأعمال شريرة.
يعتبر LayerZero كحل "فائق الخفة" عبر السلاسل، حيث يقتصر دوره على نقل الرسائل دون أن يتحمل مسؤولية أمان التطبيقات. حتى لو تم السماح لعدة أطراف بتشغيل Relayer، فإن ذلك لن يحل المشكلة المذكورة بشكل كامل. زيادة عدد Relayers لا تعني اللامركزية، وإنما تزيد فقط من حرية الوصول.
بالإضافة إلى ذلك، قد يؤدي تصميم LayerZero إلى بعض المخاطر المحتملة. على سبيل المثال، إذا سمح مشروع رمز عبر السلاسل بتعديل تكوين عقد LayerZero، فقد يتمكن المهاجمون من الاستبدال بعقد يتحكمون فيه، مما يؤدي إلى تزوير الرسائل. في هذه الحالة، قد تواجه المشاريع التي تستخدم LayerZero مخاطر أمنية كبيرة، بينما سيكون من الصعب على LayerZero نفسها معالجة مثل هذه المشكلات.
من المهم أن نلاحظ أن LayerZero لا يمكنه توفير أمان مشترك للمشاريع البيئية مثل Layer1 أو Layer2. لذلك، من الناحية الفنية، فإنه يشبه أكثر وسيطاً (Middleware) بدلاً من كونه بنية تحتية (Infrastructure). يحتاج المطورون الذين يستخدمون LayerZero SDK/API إلى تحديد استراتيجيات الأمان بأنفسهم، مما يزيد من صعوبة بناء النظام البيئي.
لقد أشار بعض فرق البحث إلى المخاطر الأمنية لـ LayerZero. على سبيل المثال، اكتشف فريق L2BEAT أن الافتراضات حول LayerZero بها مشاكل، حيث أن الاعتقاد بأن مالكي التطبيقات لن يرتكبوا أفعالاً غير أخلاقية هو اعتقاد غير صحيح. بينما اكتشف فريق Nomad ثغرتين رئيسيتين في موصلات LayerZero، والتي قد يتم استغلالها من قبل الأشخاص الداخليين أو أعضاء الفريق المعروفين، مما يؤدي إلى سرقة أموال المستخدمين.
من منظور أوسع، يجب أن تتبع بروتوكولات عبر السلاسل اللامركزية الحقيقية مفهوم "إجماع ساتوشي"، وهو تحقيق عدم الثقة (Trustless) واللامركزية (Decentralized). ومع ذلك، يتطلب LayerZero أن لا يتآمر Relayer وOracle معًا للقيام بأعمال خبيثة، كما يحتاج أيضًا إلى ثقة المستخدمين في المطورين الذين يستخدمون LayerZero لبناء التطبيقات، وهذه المتطلبات تتعارض مع مفهوم اللامركزية.
بشكل عام، على الرغم من أن LayerZero قد حصلت على بعض الاهتمام في السوق، إلا أن تصميمها يعاني من قيود واضحة ومخاطر محتملة. يجب أن يكون بروتوكول عبر السلاسل الحقيقي قادرًا على تحقيق اتصالات عبر السلاسل بشكل آمن وموثوق دون الاعتماد على طرف ثالث موثوق. قد تحتاج تطويرات بروتوكولات عبر السلاسل المستقبلية إلى استكشاف تقنيات أكثر تقدمًا، مثل إثباتات المعرفة الصفرية، لتعزيز الأمان ودرجة اللامركزية.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 15
أعجبني
15
5
مشاركة
تعليق
0/400
rekt_but_resilient
· منذ 5 س
又被资本 يُستغل بغباء.咯
شاهد النسخة الأصليةرد0
GasFeeCrier
· منذ 5 س
أوه، إنه L0 آخر يحب السرعة
شاهد النسخة الأصليةرد0
AllTalkLongTrader
· منذ 6 س
لذلك خسرت حوالي 20 ألف في نصف السنة
شاهد النسخة الأصليةرد0
Web3Educator
· منذ 6 س
رائع! كما أخبر طلابي في معسكر التدريب غالبًا - السرعة دائمًا تأتي بتكاليف خفية في الويب 3
شاهد النسخة الأصليةرد0
DefiSecurityGuard
· منذ 6 س
*sigh* جسر بروتوكول آخر "مبسط"... فقط في انتظار استغلاله بصراحة. لقد رأيت هذا الفيلم من قبل وتحذير: لا ينتهي بشكل جيد. قم ببحثك الخاص ولكن شخصياً سأبقى بعيدًا عن هذه الكارثة الأمنية.
تحليل أمان بروتوكول عبر السلاسل LayerZero: المخاطر المحتملة وتحديات اللامركزية
تحليل مشكلات أمان بروتوكول عبر السلاسل وقيود LayerZero
لقد حظيت مشكلات أمان بروتوكولات عبر السلاسل باهتمام كبير في السنوات الأخيرة. من خلال النظر إلى أحداث الأمان التي وقعت على مختلف السلاسل خلال العامين الماضيين، فإن المبالغ المفقودة بسبب بروتوكولات عبر السلاسل تحتل المرتبة الأولى، مما يدل على أهميتها وضرورة التعامل معها، حتى أنها تفوقت على حلول توسيع شبكة الإيثريوم. إن قابلية التشغيل البيني بين بروتوكولات عبر السلاسل هي حاجة جوهرية لشبكة Web3، ولكن بسبب عدم قدرة الجمهور على تمييز مستوى أمان هذه البروتوكولات، أصبح تقييم المخاطر أمراً صعباً.
على سبيل المثال، يبدو أن تصميم LayerZero بسيط، لكنه في الحقيقة يحتوي على مشاكل محتملة. يستخدم هذا البروتوكول Relayer لتنفيذ الاتصال بين Chain A وChain B، تحت إشراف Oracle. هذا التصميم يلغي الحاجة إلى توافق السلسلة الثالثة التقليدية والتحقق من عدة عقد، مما يوفر للمستخدمين تجربة "عبر السلاسل السريعة". ومع ذلك، تحتوي هذه البنية المبسطة على مشكلتين رئيسيتين على الأقل:
انخفاض الأمان: تبسيط التحقق من عدة عقد إلى تحقق Oracle واحد يقلل بشكل كبير من عامل الأمان.
فرضيات الثقة غير مستقرة: من غير الواقعي افتراض أن Relayer و Oracle يعملان بشكل مستقل إلى الأبد، ولا يمكن من الناحية الأساسية منعهم من التآمر للقيام بأعمال شريرة.
يعتبر LayerZero كحل "فائق الخفة" عبر السلاسل، حيث يقتصر دوره على نقل الرسائل دون أن يتحمل مسؤولية أمان التطبيقات. حتى لو تم السماح لعدة أطراف بتشغيل Relayer، فإن ذلك لن يحل المشكلة المذكورة بشكل كامل. زيادة عدد Relayers لا تعني اللامركزية، وإنما تزيد فقط من حرية الوصول.
بالإضافة إلى ذلك، قد يؤدي تصميم LayerZero إلى بعض المخاطر المحتملة. على سبيل المثال، إذا سمح مشروع رمز عبر السلاسل بتعديل تكوين عقد LayerZero، فقد يتمكن المهاجمون من الاستبدال بعقد يتحكمون فيه، مما يؤدي إلى تزوير الرسائل. في هذه الحالة، قد تواجه المشاريع التي تستخدم LayerZero مخاطر أمنية كبيرة، بينما سيكون من الصعب على LayerZero نفسها معالجة مثل هذه المشكلات.
من المهم أن نلاحظ أن LayerZero لا يمكنه توفير أمان مشترك للمشاريع البيئية مثل Layer1 أو Layer2. لذلك، من الناحية الفنية، فإنه يشبه أكثر وسيطاً (Middleware) بدلاً من كونه بنية تحتية (Infrastructure). يحتاج المطورون الذين يستخدمون LayerZero SDK/API إلى تحديد استراتيجيات الأمان بأنفسهم، مما يزيد من صعوبة بناء النظام البيئي.
لقد أشار بعض فرق البحث إلى المخاطر الأمنية لـ LayerZero. على سبيل المثال، اكتشف فريق L2BEAT أن الافتراضات حول LayerZero بها مشاكل، حيث أن الاعتقاد بأن مالكي التطبيقات لن يرتكبوا أفعالاً غير أخلاقية هو اعتقاد غير صحيح. بينما اكتشف فريق Nomad ثغرتين رئيسيتين في موصلات LayerZero، والتي قد يتم استغلالها من قبل الأشخاص الداخليين أو أعضاء الفريق المعروفين، مما يؤدي إلى سرقة أموال المستخدمين.
من منظور أوسع، يجب أن تتبع بروتوكولات عبر السلاسل اللامركزية الحقيقية مفهوم "إجماع ساتوشي"، وهو تحقيق عدم الثقة (Trustless) واللامركزية (Decentralized). ومع ذلك، يتطلب LayerZero أن لا يتآمر Relayer وOracle معًا للقيام بأعمال خبيثة، كما يحتاج أيضًا إلى ثقة المستخدمين في المطورين الذين يستخدمون LayerZero لبناء التطبيقات، وهذه المتطلبات تتعارض مع مفهوم اللامركزية.
بشكل عام، على الرغم من أن LayerZero قد حصلت على بعض الاهتمام في السوق، إلا أن تصميمها يعاني من قيود واضحة ومخاطر محتملة. يجب أن يكون بروتوكول عبر السلاسل الحقيقي قادرًا على تحقيق اتصالات عبر السلاسل بشكل آمن وموثوق دون الاعتماد على طرف ثالث موثوق. قد تحتاج تطويرات بروتوكولات عبر السلاسل المستقبلية إلى استكشاف تقنيات أكثر تقدمًا، مثل إثباتات المعرفة الصفرية، لتعزيز الأمان ودرجة اللامركزية.