Analisis Masalah Keamanan Protokol Cross-Chain dan Keterbatasan LayerZero
Masalah keamanan protokol cross-chain telah menjadi perhatian besar dalam beberapa tahun terakhir. Melihat dari peristiwa keamanan yang terjadi di berbagai rantai selama dua tahun terakhir, jumlah kerugian yang disebabkan oleh protokol cross-chain menduduki peringkat teratas, dan pentingnya serta urgensinya bahkan melebihi solusi penskalaan Ethereum. Interoperabilitas antara protokol cross-chain adalah kebutuhan mendasar dari jaringan Web3, tetapi karena kurangnya kemampuan masyarakat untuk mengidentifikasi tingkat keamanan protokol ini, penilaian risiko menjadi sulit.
Sebagai contoh LayerZero, desain arsitekturnya tampak sederhana, namun sebenarnya terdapat masalah potensial. Protokol ini menggunakan Relayer untuk melakukan komunikasi antara Chain A dan Chain B, yang diawasi oleh Oracle. Desain ini menghilangkan konsensus rantai ketiga tradisional dan verifikasi multi-node, memberikan pengguna pengalaman "cepat cross-chain". Namun, arsitektur yang disederhanakan ini setidaknya memiliki dua masalah utama:
Penurunan keamanan: Menyederhanakan verifikasi multi-node menjadi verifikasi Oracle tunggal, secara signifikan mengurangi faktor keamanan.
Asumsi kepercayaan tidak stabil: Mengasumsikan bahwa Relayer dan Oracle selalu beroperasi secara independen adalah tidak realistis dan tidak dapat mencegah mereka berkolusi untuk berbuat jahat.
LayerZero sebagai solusi "super ringan" cross-chain hanya bertanggung jawab untuk pengiriman pesan dan tidak bertanggung jawab atas keamanan aplikasi. Meskipun mengizinkan banyak pihak untuk menjalankan Relayer, hal ini tidak sepenuhnya menyelesaikan masalah di atas. Menambah jumlah Relayer tidak sama dengan desentralisasi, melainkan hanya meningkatkan kebebasan akses.
Selain itu, desain LayerZero dapat menyebabkan beberapa risiko potensial. Misalnya, jika proyek token lintas-rantai tertentu memungkinkan modifikasi pengaturan node LayerZero, penyerang mungkin dapat mengganti dengan node yang mereka kendalikan, sehingga memalsukan pesan. Dalam kasus ini, proyek yang menggunakan LayerZero mungkin menghadapi risiko keamanan yang signifikan, sementara LayerZero sendiri sulit untuk menyelesaikan masalah semacam itu.
Perlu dicatat bahwa LayerZero tidak dapat memberikan keamanan bersama untuk proyek ekosistem seperti Layer1 atau Layer2. Oleh karena itu, secara ketat, ini lebih mirip dengan middleware daripada infrastruktur. Pengembang yang menggunakan SDK/API LayerZero perlu mendefinisikan kebijakan keamanan mereka sendiri, yang meningkatkan kesulitan dalam membangun ekosistem.
Beberapa tim penelitian telah mengidentifikasi risiko keamanan LayerZero. Misalnya, tim L2BEAT menemukan bahwa asumsi LayerZero bermasalah, yaitu menganggap bahwa pemilik aplikasi tidak akan berbuat jahat adalah tidak benar. Tim Nomad menemukan dua kerentanan kunci pada relayer LayerZero, yang dapat dieksploitasi oleh orang dalam atau anggota tim yang dikenal, yang dapat mengakibatkan pencurian dana pengguna.
Dari sudut pandang yang lebih luas, protokol cross-chain yang benar-benar terdesentralisasi harus mengikuti inti dari "Konsensus Satoshi Nakamoto", yaitu mencapai ketidakpercayaan (Trustless) dan terdesentralisasi (Decentralized). Namun, LayerZero mengharuskan Relayer dan Oracle tidak berkolusi untuk berbuat jahat, dan juga membutuhkan pengguna untuk mempercayai pengembang yang membangun aplikasi menggunakan LayerZero, yang bertentangan dengan konsep desentralisasi.
Secara keseluruhan, meskipun LayerZero telah mendapatkan perhatian tertentu di pasar, desainnya memiliki keterbatasan yang jelas dan risiko potensial. Protokol cross-chain yang benar-benar terdesentralisasi seharusnya dapat mewujudkan komunikasi cross-chain yang aman dan dapat diandalkan tanpa bergantung pada pihak ketiga yang tepercaya. Pengembangan protokol cross-chain di masa depan mungkin perlu mengeksplorasi teknologi yang lebih maju, seperti bukti nol pengetahuan, untuk meningkatkan tingkat keamanan dan desentralisasi.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
15 Suka
Hadiah
15
5
Bagikan
Komentar
0/400
rekt_but_resilient
· 3jam yang lalu
Kembali saja dianggap bodoh oleh modal.
Lihat AsliBalas0
GasFeeCrier
· 3jam yang lalu
Aduh, ini lagi orang L0 yang terburu-buru.
Lihat AsliBalas0
AllTalkLongTrader
· 3jam yang lalu
Jadi dalam enam bulan kehilangan hampir 20 ribu.
Lihat AsliBalas0
Web3Educator
· 3jam yang lalu
menarik! seperti yang sering saya katakan kepada siswa bootcamp saya - kecepatan selalu datang dengan biaya tersembunyi di web3
Lihat AsliBalas0
DefiSecurityGuard
· 3jam yang lalu
*sigh* lagi "protokol" bridge yang "disederhanakan"... hanya menunggu untuk dieksploitasi jujur saja. sudah melihat film ini sebelumnya dan spoiler alert: tidak berakhir dengan baik. dyor tetapi secara pribadi menjauh dari mimpi buruk keamanan ini
Analisis Keamanan Protokol LayerZero Cross-Chain: Risiko Potensial dan Tantangan Desentralisasi
Analisis Masalah Keamanan Protokol Cross-Chain dan Keterbatasan LayerZero
Masalah keamanan protokol cross-chain telah menjadi perhatian besar dalam beberapa tahun terakhir. Melihat dari peristiwa keamanan yang terjadi di berbagai rantai selama dua tahun terakhir, jumlah kerugian yang disebabkan oleh protokol cross-chain menduduki peringkat teratas, dan pentingnya serta urgensinya bahkan melebihi solusi penskalaan Ethereum. Interoperabilitas antara protokol cross-chain adalah kebutuhan mendasar dari jaringan Web3, tetapi karena kurangnya kemampuan masyarakat untuk mengidentifikasi tingkat keamanan protokol ini, penilaian risiko menjadi sulit.
Sebagai contoh LayerZero, desain arsitekturnya tampak sederhana, namun sebenarnya terdapat masalah potensial. Protokol ini menggunakan Relayer untuk melakukan komunikasi antara Chain A dan Chain B, yang diawasi oleh Oracle. Desain ini menghilangkan konsensus rantai ketiga tradisional dan verifikasi multi-node, memberikan pengguna pengalaman "cepat cross-chain". Namun, arsitektur yang disederhanakan ini setidaknya memiliki dua masalah utama:
Penurunan keamanan: Menyederhanakan verifikasi multi-node menjadi verifikasi Oracle tunggal, secara signifikan mengurangi faktor keamanan.
Asumsi kepercayaan tidak stabil: Mengasumsikan bahwa Relayer dan Oracle selalu beroperasi secara independen adalah tidak realistis dan tidak dapat mencegah mereka berkolusi untuk berbuat jahat.
LayerZero sebagai solusi "super ringan" cross-chain hanya bertanggung jawab untuk pengiriman pesan dan tidak bertanggung jawab atas keamanan aplikasi. Meskipun mengizinkan banyak pihak untuk menjalankan Relayer, hal ini tidak sepenuhnya menyelesaikan masalah di atas. Menambah jumlah Relayer tidak sama dengan desentralisasi, melainkan hanya meningkatkan kebebasan akses.
Selain itu, desain LayerZero dapat menyebabkan beberapa risiko potensial. Misalnya, jika proyek token lintas-rantai tertentu memungkinkan modifikasi pengaturan node LayerZero, penyerang mungkin dapat mengganti dengan node yang mereka kendalikan, sehingga memalsukan pesan. Dalam kasus ini, proyek yang menggunakan LayerZero mungkin menghadapi risiko keamanan yang signifikan, sementara LayerZero sendiri sulit untuk menyelesaikan masalah semacam itu.
Perlu dicatat bahwa LayerZero tidak dapat memberikan keamanan bersama untuk proyek ekosistem seperti Layer1 atau Layer2. Oleh karena itu, secara ketat, ini lebih mirip dengan middleware daripada infrastruktur. Pengembang yang menggunakan SDK/API LayerZero perlu mendefinisikan kebijakan keamanan mereka sendiri, yang meningkatkan kesulitan dalam membangun ekosistem.
Beberapa tim penelitian telah mengidentifikasi risiko keamanan LayerZero. Misalnya, tim L2BEAT menemukan bahwa asumsi LayerZero bermasalah, yaitu menganggap bahwa pemilik aplikasi tidak akan berbuat jahat adalah tidak benar. Tim Nomad menemukan dua kerentanan kunci pada relayer LayerZero, yang dapat dieksploitasi oleh orang dalam atau anggota tim yang dikenal, yang dapat mengakibatkan pencurian dana pengguna.
Dari sudut pandang yang lebih luas, protokol cross-chain yang benar-benar terdesentralisasi harus mengikuti inti dari "Konsensus Satoshi Nakamoto", yaitu mencapai ketidakpercayaan (Trustless) dan terdesentralisasi (Decentralized). Namun, LayerZero mengharuskan Relayer dan Oracle tidak berkolusi untuk berbuat jahat, dan juga membutuhkan pengguna untuk mempercayai pengembang yang membangun aplikasi menggunakan LayerZero, yang bertentangan dengan konsep desentralisasi.
Secara keseluruhan, meskipun LayerZero telah mendapatkan perhatian tertentu di pasar, desainnya memiliki keterbatasan yang jelas dan risiko potensial. Protokol cross-chain yang benar-benar terdesentralisasi seharusnya dapat mewujudkan komunikasi cross-chain yang aman dan dapat diandalkan tanpa bergantung pada pihak ketiga yang tepercaya. Pengembangan protokol cross-chain di masa depan mungkin perlu mengeksplorasi teknologi yang lebih maju, seperti bukti nol pengetahuan, untuk meningkatkan tingkat keamanan dan desentralisasi.