Análise dos problemas de segurança do protocolo de cadeia cruzada e limitações do LayerZero
A questão da segurança dos protocolos de cadeia cruzada tem sido muito debatida nos últimos anos. Com base nos eventos de segurança que ocorreram em várias cadeias nos últimos dois anos, as perdas causadas pelos protocolos de cadeia cruzada ocupam o primeiro lugar, e sua importância e urgência até superam as soluções de escalabilidade do Ethereum. A interoperabilidade entre os protocolos de cadeia cruzada é uma necessidade intrínseca da rede Web3, mas devido à falta de capacidade de identificação do público em relação aos níveis de segurança desses protocolos, a avaliação de riscos torna-se difícil.
Tomando o LayerZero como exemplo, a sua arquitetura parece simples, mas na verdade existem problemas potenciais. Este protocolo utiliza Relayer para executar a comunicação entre a Chain A e a Chain B, sob a supervisão de um Oracle. Este design elimina a necessidade de consenso de uma terceira cadeia tradicional e validação por múltiplos nós, proporcionando aos usuários uma experiência de "rápida cadeia cruzada". No entanto, esta arquitetura simplificada apresenta pelo menos dois problemas principais:
Redução da segurança: simplificar a validação de múltiplos nós para uma única validação de Oracle reduz drasticamente o coeficiente de segurança.
Hipótese de confiança instável: Assumir que o Relayer e o Oracle funcionam sempre de forma independente é irrealista e não pode, em essência, prevenir que eles conspiram para agir de forma maliciosa.
LayerZero, como uma solução "super leve" de cadeia cruzada, é responsável apenas pela transmissão de mensagens e não pela segurança das aplicações. Mesmo permitindo que várias partes operem como Relayer, isso não resolve completamente os problemas mencionados. Aumentar o número de Relayers não equivale a descentralização, mas apenas aumenta a liberdade de acesso.
Além disso, o design do LayerZero pode levar a alguns riscos potenciais. Por exemplo, se um determinado projeto de token de cadeia cruzada permitir a modificação da configuração dos nós do LayerZero, um atacante pode substituí-los por nós que controla, falsificando assim mensagens. Nessa situação, os projetos que utilizam o LayerZero podem enfrentar enormes riscos de segurança, e o próprio LayerZero pode ter dificuldade em resolver esse tipo de problema.
É importante notar que o LayerZero não pode fornecer segurança compartilhada para projetos ecológicos como o Layer1 ou Layer2. Portanto, estritamente falando, é mais como um middleware do que uma infraestrutura. Os desenvolvedores que utilizam o SDK/API do LayerZero precisam definir suas próprias políticas de segurança, o que aumenta a dificuldade na construção da ecologia.
Algumas equipas de pesquisa já apontaram as vulnerabilidades de segurança do LayerZero. Por exemplo, a equipa do L2BEAT descobriu que a suposição do LayerZero, de que os proprietários de aplicações não agiriam de forma maliciosa, está incorreta. A equipa do Nomad identificou duas vulnerabilidades críticas nos retransmissores do LayerZero que podem ser exploradas por insiders ou membros de equipas com identidade conhecida, levando ao roubo de fundos dos usuários.
De uma perspectiva mais ampla, um verdadeiro protocolo de cadeia cruzada descentralizado deve seguir a ideia central do "consenso de Satoshi Nakamoto", que é alcançar a desconfiança (Trustless) e a descentralização (Decentralized). No entanto, o LayerZero exige que o Relayer e o Oracle não conspiram para fazer o mal, ao mesmo tempo que requer a confiança dos usuários nos desenvolvedores que constroem aplicações usando o LayerZero, estes requisitos contradizem a ideia de descentralização.
De modo geral, apesar de LayerZero ter ganho alguma atenção no mercado, seu design apresenta limitações e riscos potenciais evidentes. Um verdadeiro protocolo de cadeia cruzada descentralizado deve ser capaz de realizar comunicações entre cadeias de forma segura e confiável, sem depender de terceiros de confiança. O desenvolvimento futuro de protocolos de cadeia cruzada pode precisar explorar tecnologias mais avançadas, como provas de conhecimento zero, para aumentar a segurança e o nível de descentralização.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
15 gostos
Recompensa
15
5
Partilhar
Comentar
0/400
rekt_but_resilient
· 7h atrás
Outra vez sendo enganado por idiotas pelo capital.
Ver originalResponder0
GasFeeCrier
· 7h atrás
Ai, é mais um L0 que quer ser rápido.
Ver originalResponder0
AllTalkLongTrader
· 8h atrás
Então, perdi cerca de 20 mil em seis meses.
Ver originalResponder0
Web3Educator
· 8h atrás
fascinante! como costumo dizer aos meus alunos do bootcamp - a velocidade vem sempre com custos ocultos no web3
Ver originalResponder0
DefiSecurityGuard
· 8h atrás
*sigh* outro protocolo de ponte "simplificado"... apenas à espera de ser explorado, para ser sincero. já vi este filme antes e aviso de spoiler: não acaba bem. faça sua própria pesquisa, mas pessoalmente estou a manter-me longe deste pesadelo de segurança.
Análise de segurança do protocolo cadeia cruzada LayerZero: riscos potenciais e desafios de Descentralização
Análise dos problemas de segurança do protocolo de cadeia cruzada e limitações do LayerZero
A questão da segurança dos protocolos de cadeia cruzada tem sido muito debatida nos últimos anos. Com base nos eventos de segurança que ocorreram em várias cadeias nos últimos dois anos, as perdas causadas pelos protocolos de cadeia cruzada ocupam o primeiro lugar, e sua importância e urgência até superam as soluções de escalabilidade do Ethereum. A interoperabilidade entre os protocolos de cadeia cruzada é uma necessidade intrínseca da rede Web3, mas devido à falta de capacidade de identificação do público em relação aos níveis de segurança desses protocolos, a avaliação de riscos torna-se difícil.
Tomando o LayerZero como exemplo, a sua arquitetura parece simples, mas na verdade existem problemas potenciais. Este protocolo utiliza Relayer para executar a comunicação entre a Chain A e a Chain B, sob a supervisão de um Oracle. Este design elimina a necessidade de consenso de uma terceira cadeia tradicional e validação por múltiplos nós, proporcionando aos usuários uma experiência de "rápida cadeia cruzada". No entanto, esta arquitetura simplificada apresenta pelo menos dois problemas principais:
Redução da segurança: simplificar a validação de múltiplos nós para uma única validação de Oracle reduz drasticamente o coeficiente de segurança.
Hipótese de confiança instável: Assumir que o Relayer e o Oracle funcionam sempre de forma independente é irrealista e não pode, em essência, prevenir que eles conspiram para agir de forma maliciosa.
LayerZero, como uma solução "super leve" de cadeia cruzada, é responsável apenas pela transmissão de mensagens e não pela segurança das aplicações. Mesmo permitindo que várias partes operem como Relayer, isso não resolve completamente os problemas mencionados. Aumentar o número de Relayers não equivale a descentralização, mas apenas aumenta a liberdade de acesso.
Além disso, o design do LayerZero pode levar a alguns riscos potenciais. Por exemplo, se um determinado projeto de token de cadeia cruzada permitir a modificação da configuração dos nós do LayerZero, um atacante pode substituí-los por nós que controla, falsificando assim mensagens. Nessa situação, os projetos que utilizam o LayerZero podem enfrentar enormes riscos de segurança, e o próprio LayerZero pode ter dificuldade em resolver esse tipo de problema.
É importante notar que o LayerZero não pode fornecer segurança compartilhada para projetos ecológicos como o Layer1 ou Layer2. Portanto, estritamente falando, é mais como um middleware do que uma infraestrutura. Os desenvolvedores que utilizam o SDK/API do LayerZero precisam definir suas próprias políticas de segurança, o que aumenta a dificuldade na construção da ecologia.
Algumas equipas de pesquisa já apontaram as vulnerabilidades de segurança do LayerZero. Por exemplo, a equipa do L2BEAT descobriu que a suposição do LayerZero, de que os proprietários de aplicações não agiriam de forma maliciosa, está incorreta. A equipa do Nomad identificou duas vulnerabilidades críticas nos retransmissores do LayerZero que podem ser exploradas por insiders ou membros de equipas com identidade conhecida, levando ao roubo de fundos dos usuários.
De uma perspectiva mais ampla, um verdadeiro protocolo de cadeia cruzada descentralizado deve seguir a ideia central do "consenso de Satoshi Nakamoto", que é alcançar a desconfiança (Trustless) e a descentralização (Decentralized). No entanto, o LayerZero exige que o Relayer e o Oracle não conspiram para fazer o mal, ao mesmo tempo que requer a confiança dos usuários nos desenvolvedores que constroem aplicações usando o LayerZero, estes requisitos contradizem a ideia de descentralização.
De modo geral, apesar de LayerZero ter ganho alguma atenção no mercado, seu design apresenta limitações e riscos potenciais evidentes. Um verdadeiro protocolo de cadeia cruzada descentralizado deve ser capaz de realizar comunicações entre cadeias de forma segura e confiável, sem depender de terceiros de confiança. O desenvolvimento futuro de protocolos de cadeia cruzada pode precisar explorar tecnologias mais avançadas, como provas de conhecimento zero, para aumentar a segurança e o nível de descentralização.