Analyse des problèmes de sécurité du protocole cross-chain et des limitations de LayerZero
Les problèmes de sécurité des protocoles cross-chain ont suscité ces dernières années beaucoup d'attention. D'après les événements de sécurité survenus sur les chaînes au cours des deux dernières années, les pertes financières causées par les protocoles cross-chain sont les plus élevées, leur importance et leur urgence dépassant même celles des solutions d'extension d'Ethereum. L'interopérabilité entre les protocoles cross-chain est une exigence intrinsèque du réseau Web3, mais le manque de capacités d'identification du niveau de sécurité de ces protocoles par le grand public rend l'évaluation des risques difficile.
Prenons LayerZero comme exemple, son architecture semble simple, mais en réalité, elle présente des problèmes potentiels. Ce protocole utilise un Relayer pour exécuter la communication entre la Chaîne A et la Chaîne B, supervisé par un Oracle. Cette conception évite le consensus traditionnel de la troisième chaîne et la validation par plusieurs nœuds, offrant aux utilisateurs une expérience de "cross-chain" rapide. Cependant, cette architecture simplifiée présente au moins deux problèmes majeurs :
Diminution de la sécurité : Simplifier la validation multi-nœuds en une validation par un seul Oracle réduit considérablement le coefficient de sécurité.
Hypothèse de confiance instable : supposer que le Relayer et l'Oracle fonctionnent toujours de manière indépendante n'est pas réaliste et ne peut pas fondamentalement empêcher leur collusion malveillante.
LayerZero en tant que solution "ultra-légère" de cross-chain ne se charge que de la transmission des messages et n'est pas responsable de la sécurité des applications. Même si plusieurs parties sont autorisées à faire fonctionner le Relayer, cela ne résout pas complètement les problèmes susmentionnés. Augmenter le nombre de Relayer ne signifie pas décentralisation, mais simplement accroître la liberté d'accès.
De plus, la conception de LayerZero pourrait entraîner certains risques potentiels. Par exemple, si un projet de jeton cross-chain permet de modifier la configuration des nœuds LayerZero, un attaquant pourrait remplacer par des nœuds sous son contrôle, falsifiant ainsi des messages. Dans ce cas, les projets utilisant LayerZero pourraient faire face à d'énormes problèmes de sécurité, tandis que LayerZero lui-même aurait du mal à résoudre ce type de problème.
Il est important de noter que LayerZero ne peut pas fournir de sécurité partagée pour les projets écologiques comme le fait Layer1 ou Layer2. Par conséquent, on peut dire qu'il ressemble davantage à un middleware qu'à une infrastructure. Les développeurs utilisant le SDK/API de LayerZero doivent définir eux-mêmes leur stratégie de sécurité, ce qui complique la construction de l'écosystème.
Certaines équipes de recherche ont souligné les problèmes de sécurité de LayerZero. Par exemple, l'équipe L2BEAT a découvert que l'hypothèse de LayerZero selon laquelle les propriétaires d'applications ne seraient pas malveillants est incorrecte. L'équipe Nomad a identifié deux vulnérabilités critiques dans les relais de LayerZero, qui pourraient être exploitées par des personnes internes ou des membres d'équipe d'identité connue, entraînant le vol des fonds des utilisateurs.
D'un point de vue plus large, un véritable protocole de cross-chain décentralisé devrait suivre le principe fondamental du "consensus de Satoshi Nakamoto", à savoir réaliser une décentralisation (Decentralized) et une absence de confiance (Trustless). Cependant, LayerZero exige que le Relayer et l'Oracle ne conspirent pas pour commettre des méfaits, tout en nécessitant la confiance des utilisateurs envers les développeurs qui construisent des applications avec LayerZero, ces exigences étant contraires à l'idée de décentralisation.
Dans l'ensemble, bien que LayerZero ait suscité une certaine attention sur le marché, sa conception présente des limites évidentes et des risques potentiels. Un véritable protocole de cross-chain décentralisé devrait être capable d'assurer une communication cross-chain sécurisée et fiable sans dépendre de tiers de confiance. Le développement futur des protocoles cross-chain pourrait nécessiter l'exploration de technologies plus avancées, telles que les preuves à connaissance nulle, afin d'améliorer la sécurité et le degré de décentralisation.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
15 J'aime
Récompense
15
5
Partager
Commentaire
0/400
rekt_but_resilient
· Il y a 7h
Encore se faire prendre pour des cons par le capital.
Voir l'originalRépondre0
GasFeeCrier
· Il y a 7h
Oh là là, c'est encore un L0 pressé.
Voir l'originalRépondre0
AllTalkLongTrader
· Il y a 7h
Donc j'ai perdu environ 20 000 en six mois.
Voir l'originalRépondre0
Web3Educator
· Il y a 7h
fascinant ! Comme je le dis souvent à mes étudiants du bootcamp - la vitesse entraîne toujours des coûts cachés dans le web3
Voir l'originalRépondre0
DefiSecurityGuard
· Il y a 7h
*sigh* un autre protocole de bridge "simplifié"... juste en attente d'être exploité, pour être honnête. j'ai déjà vu ce film et attention au spoiler : ça ne finit pas bien. faites vos propres recherches mais personnellement, je reste loin de ce cauchemar de sécurité.
Analyse de la sécurité du protocole cross-chain LayerZero : risques potentiels et défis de la Décentralisation
Analyse des problèmes de sécurité du protocole cross-chain et des limitations de LayerZero
Les problèmes de sécurité des protocoles cross-chain ont suscité ces dernières années beaucoup d'attention. D'après les événements de sécurité survenus sur les chaînes au cours des deux dernières années, les pertes financières causées par les protocoles cross-chain sont les plus élevées, leur importance et leur urgence dépassant même celles des solutions d'extension d'Ethereum. L'interopérabilité entre les protocoles cross-chain est une exigence intrinsèque du réseau Web3, mais le manque de capacités d'identification du niveau de sécurité de ces protocoles par le grand public rend l'évaluation des risques difficile.
Prenons LayerZero comme exemple, son architecture semble simple, mais en réalité, elle présente des problèmes potentiels. Ce protocole utilise un Relayer pour exécuter la communication entre la Chaîne A et la Chaîne B, supervisé par un Oracle. Cette conception évite le consensus traditionnel de la troisième chaîne et la validation par plusieurs nœuds, offrant aux utilisateurs une expérience de "cross-chain" rapide. Cependant, cette architecture simplifiée présente au moins deux problèmes majeurs :
Diminution de la sécurité : Simplifier la validation multi-nœuds en une validation par un seul Oracle réduit considérablement le coefficient de sécurité.
Hypothèse de confiance instable : supposer que le Relayer et l'Oracle fonctionnent toujours de manière indépendante n'est pas réaliste et ne peut pas fondamentalement empêcher leur collusion malveillante.
LayerZero en tant que solution "ultra-légère" de cross-chain ne se charge que de la transmission des messages et n'est pas responsable de la sécurité des applications. Même si plusieurs parties sont autorisées à faire fonctionner le Relayer, cela ne résout pas complètement les problèmes susmentionnés. Augmenter le nombre de Relayer ne signifie pas décentralisation, mais simplement accroître la liberté d'accès.
De plus, la conception de LayerZero pourrait entraîner certains risques potentiels. Par exemple, si un projet de jeton cross-chain permet de modifier la configuration des nœuds LayerZero, un attaquant pourrait remplacer par des nœuds sous son contrôle, falsifiant ainsi des messages. Dans ce cas, les projets utilisant LayerZero pourraient faire face à d'énormes problèmes de sécurité, tandis que LayerZero lui-même aurait du mal à résoudre ce type de problème.
Il est important de noter que LayerZero ne peut pas fournir de sécurité partagée pour les projets écologiques comme le fait Layer1 ou Layer2. Par conséquent, on peut dire qu'il ressemble davantage à un middleware qu'à une infrastructure. Les développeurs utilisant le SDK/API de LayerZero doivent définir eux-mêmes leur stratégie de sécurité, ce qui complique la construction de l'écosystème.
Certaines équipes de recherche ont souligné les problèmes de sécurité de LayerZero. Par exemple, l'équipe L2BEAT a découvert que l'hypothèse de LayerZero selon laquelle les propriétaires d'applications ne seraient pas malveillants est incorrecte. L'équipe Nomad a identifié deux vulnérabilités critiques dans les relais de LayerZero, qui pourraient être exploitées par des personnes internes ou des membres d'équipe d'identité connue, entraînant le vol des fonds des utilisateurs.
D'un point de vue plus large, un véritable protocole de cross-chain décentralisé devrait suivre le principe fondamental du "consensus de Satoshi Nakamoto", à savoir réaliser une décentralisation (Decentralized) et une absence de confiance (Trustless). Cependant, LayerZero exige que le Relayer et l'Oracle ne conspirent pas pour commettre des méfaits, tout en nécessitant la confiance des utilisateurs envers les développeurs qui construisent des applications avec LayerZero, ces exigences étant contraires à l'idée de décentralisation.
Dans l'ensemble, bien que LayerZero ait suscité une certaine attention sur le marché, sa conception présente des limites évidentes et des risques potentiels. Un véritable protocole de cross-chain décentralisé devrait être capable d'assurer une communication cross-chain sécurisée et fiable sans dépendre de tiers de confiance. Le développement futur des protocoles cross-chain pourrait nécessiter l'exploration de technologies plus avancées, telles que les preuves à connaissance nulle, afin d'améliorer la sécurité et le degré de décentralisation.