Análisis de los problemas de seguridad del protocolo cross-chain y las limitaciones de LayerZero
Los problemas de seguridad de los protocolos cross-chain han recibido mucha atención en los últimos años. A partir de los eventos de seguridad que han ocurrido en las cadenas en los últimos dos años, las pérdidas causadas por los protocolos cross-chain ocupan el primer lugar, y su importancia y urgencia incluso superan las soluciones de escalado de Ethereum. La interoperabilidad entre los protocolos cross-chain es una necesidad intrínseca de la red Web3, pero debido a la falta de capacidad del público para discernir el nivel de seguridad de estos protocolos, la evaluación de riesgos se vuelve difícil.
Tomando como ejemplo LayerZero, su diseño arquitectónico parece simple, pero en realidad presenta problemas potenciales. Este protocolo utiliza Relayer para ejecutar la comunicación entre Chain A y Chain B, bajo la supervisión de Oracle. Este diseño elimina la necesidad de consenso de una tercera cadena y la validación de múltiples nodos, ofreciendo a los usuarios una experiencia de "rápido cross-chain". Sin embargo, esta arquitectura simplificada presenta al menos dos problemas principales:
Reducción de la seguridad: Simplificar la verificación de múltiples nodos a una única verificación de Oracle reduce drásticamente el coeficiente de seguridad.
Suposición de confianza inestable: suponer que el Relayer y el Oracle operan siempre de manera independiente es poco realista y no puede prevenir fundamentalmente que conspiren para hacer el mal.
LayerZero como una solución "ultraligera" de cross-chain solo se encarga de la transmisión de mensajes y no es responsable de la seguridad de las aplicaciones. Incluso si se permite que múltiples partes operen como Relayer, no se puede resolver completamente el problema mencionado. Aumentar la cantidad de Relayers no equivale a descentralización, sino que simplemente incrementa la libertad de acceso.
Además, el diseño de LayerZero podría dar lugar a algunos riesgos potenciales. Por ejemplo, si un proyecto de token cross-chain permite modificar la configuración de los nodos de LayerZero, un atacante podría reemplazarlos por nodos que controla, lo que le permitiría falsificar mensajes. En este caso, los proyectos que utilizan LayerZero podrían enfrentar enormes riesgos de seguridad, y LayerZero en sí mismo tendría dificultades para resolver este tipo de problemas.
Cabe destacar que LayerZero no puede proporcionar la seguridad compartida para los proyectos ecológicos como lo hacen Layer1 o Layer2. Por lo tanto, estrictamente hablando, es más como un middleware que como una infraestructura. Los desarrolladores que utilizan el SDK/API de LayerZero deben definir sus propias políticas de seguridad, lo que aumenta la dificultad de la construcción ecológica.
Algunos equipos de investigación han señalado las vulnerabilidades de seguridad de LayerZero. Por ejemplo, el equipo de L2BEAT descubrió problemas en las suposiciones de LayerZero, ya que asumir que los propietarios de aplicaciones no actuarán de manera malintencionada es incorrecto. El equipo de Nomad, por su parte, identificó dos vulnerabilidades clave en los retransmisores de LayerZero, que podrían ser explotadas por personal interno o miembros del equipo con identidad conocida, lo que podría llevar al robo de fondos de los usuarios.
Desde una perspectiva más amplia, un verdadero protocolo de intercambio entre cadenas descentralizado debería seguir el núcleo de la "consenso de Satoshi Nakamoto", es decir, lograr la desconfianza (Trustless) y la descentralización (Decentralized). Sin embargo, LayerZero requiere que los Relayer y Oracle no conspiren para hacer el mal, al mismo tiempo que necesita que los usuarios confíen en los desarrolladores que construyen aplicaciones utilizando LayerZero, estos requisitos son contradictorios con la idea de descentralización.
En general, aunque LayerZero ha ganado cierta atención en el mercado, su diseño presenta limitaciones y riesgos potenciales evidentes. Un verdadero protocolo de interoperabilidad de cadena cruzada debería ser capaz de lograr una comunicación segura y confiable entre cadenas sin depender de terceros de confianza. El desarrollo futuro de protocolos de cadena cruzada puede necesitar explorar tecnologías más avanzadas, como las pruebas de conocimiento cero, para mejorar la seguridad y el grado de descentralización.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
15 me gusta
Recompensa
15
5
Compartir
Comentar
0/400
rekt_but_resilient
· 08-06 02:33
Otra vez siendo engañados por el capital.
Ver originalesResponder0
GasFeeCrier
· 08-06 02:21
Ay, otra vez un L0 que tiene prisa.
Ver originalesResponder0
AllTalkLongTrader
· 08-06 02:08
Así que perdí unos 20 mil en medio año.
Ver originalesResponder0
Web3Educator
· 08-06 02:07
¡fascinante! como suelo decirles a mis estudiantes del bootcamp, la velocidad siempre conlleva costos ocultos en web3.
Ver originalesResponder0
DefiSecurityGuard
· 08-06 02:04
*suspiro* otro protocolo de puente "simplificado"... solo esperando ser explotado, para ser honesto. He visto esta película antes y alerta de spoiler: no termina bien. haz tu propia investigación, pero personalmente me mantengo alejado de esta pesadilla de seguridad.
Análisis de seguridad del protocolo cross-chain LayerZero: riesgos potenciales y desafíos de Descentralización
Análisis de los problemas de seguridad del protocolo cross-chain y las limitaciones de LayerZero
Los problemas de seguridad de los protocolos cross-chain han recibido mucha atención en los últimos años. A partir de los eventos de seguridad que han ocurrido en las cadenas en los últimos dos años, las pérdidas causadas por los protocolos cross-chain ocupan el primer lugar, y su importancia y urgencia incluso superan las soluciones de escalado de Ethereum. La interoperabilidad entre los protocolos cross-chain es una necesidad intrínseca de la red Web3, pero debido a la falta de capacidad del público para discernir el nivel de seguridad de estos protocolos, la evaluación de riesgos se vuelve difícil.
Tomando como ejemplo LayerZero, su diseño arquitectónico parece simple, pero en realidad presenta problemas potenciales. Este protocolo utiliza Relayer para ejecutar la comunicación entre Chain A y Chain B, bajo la supervisión de Oracle. Este diseño elimina la necesidad de consenso de una tercera cadena y la validación de múltiples nodos, ofreciendo a los usuarios una experiencia de "rápido cross-chain". Sin embargo, esta arquitectura simplificada presenta al menos dos problemas principales:
Reducción de la seguridad: Simplificar la verificación de múltiples nodos a una única verificación de Oracle reduce drásticamente el coeficiente de seguridad.
Suposición de confianza inestable: suponer que el Relayer y el Oracle operan siempre de manera independiente es poco realista y no puede prevenir fundamentalmente que conspiren para hacer el mal.
LayerZero como una solución "ultraligera" de cross-chain solo se encarga de la transmisión de mensajes y no es responsable de la seguridad de las aplicaciones. Incluso si se permite que múltiples partes operen como Relayer, no se puede resolver completamente el problema mencionado. Aumentar la cantidad de Relayers no equivale a descentralización, sino que simplemente incrementa la libertad de acceso.
Además, el diseño de LayerZero podría dar lugar a algunos riesgos potenciales. Por ejemplo, si un proyecto de token cross-chain permite modificar la configuración de los nodos de LayerZero, un atacante podría reemplazarlos por nodos que controla, lo que le permitiría falsificar mensajes. En este caso, los proyectos que utilizan LayerZero podrían enfrentar enormes riesgos de seguridad, y LayerZero en sí mismo tendría dificultades para resolver este tipo de problemas.
Cabe destacar que LayerZero no puede proporcionar la seguridad compartida para los proyectos ecológicos como lo hacen Layer1 o Layer2. Por lo tanto, estrictamente hablando, es más como un middleware que como una infraestructura. Los desarrolladores que utilizan el SDK/API de LayerZero deben definir sus propias políticas de seguridad, lo que aumenta la dificultad de la construcción ecológica.
Algunos equipos de investigación han señalado las vulnerabilidades de seguridad de LayerZero. Por ejemplo, el equipo de L2BEAT descubrió problemas en las suposiciones de LayerZero, ya que asumir que los propietarios de aplicaciones no actuarán de manera malintencionada es incorrecto. El equipo de Nomad, por su parte, identificó dos vulnerabilidades clave en los retransmisores de LayerZero, que podrían ser explotadas por personal interno o miembros del equipo con identidad conocida, lo que podría llevar al robo de fondos de los usuarios.
Desde una perspectiva más amplia, un verdadero protocolo de intercambio entre cadenas descentralizado debería seguir el núcleo de la "consenso de Satoshi Nakamoto", es decir, lograr la desconfianza (Trustless) y la descentralización (Decentralized). Sin embargo, LayerZero requiere que los Relayer y Oracle no conspiren para hacer el mal, al mismo tiempo que necesita que los usuarios confíen en los desarrolladores que construyen aplicaciones utilizando LayerZero, estos requisitos son contradictorios con la idea de descentralización.
En general, aunque LayerZero ha ganado cierta atención en el mercado, su diseño presenta limitaciones y riesgos potenciales evidentes. Un verdadero protocolo de interoperabilidad de cadena cruzada debería ser capaz de lograr una comunicación segura y confiable entre cadenas sin depender de terceros de confianza. El desarrollo futuro de protocolos de cadena cruzada puede necesitar explorar tecnologías más avanzadas, como las pruebas de conocimiento cero, para mejorar la seguridad y el grado de descentralización.