Анализ проблем безопасности кросс-чейн протоколов и ограничения LayerZero
Безопасность кросс-чейн протоколов в последние годы привлекает особое внимание. Судя по происшествиям безопасности, произошедшим на различных блокчейнах за последние два года, ущерб, причиненный кросс-чейн протоколами, занимает первое место, что делает их важность и неотложность даже выше, чем у решений по масштабированию Ethereum. Взаимодействие между кросс-чейн протоколами является внутренней необходимостью сетевой структуры Web3, но из-за недостатка у публики способности различать уровень безопасности этих протоколов оценка рисков становится сложной.
В качестве примера LayerZero его архитектурный дизайн кажется простым, но на самом деле есть потенциальные проблемы. Этот Протокол использует Relayer для выполнения связи между Chain A и Chain B, под наблюдением Oracle. Такой дизайн исключает традиционное согласие третьей цепи и многосетевую верификацию, предоставляя пользователям "быстрый кросс-чейн" опыт. Однако такая упрощённая архитектура имеет как минимум две основные проблемы:
Снижение безопасности: упрощение многопоточности валидации до одного Оракула значительно снижает уровень безопасности.
Ненадежность предположений о доверии: предположение, что Relayer и Oracle всегда будут работать независимо, является нереалистичным и не может в корне предотвратить их сговор для совершения злоупотреблений.
LayerZero как "ультралегкое" кросс-чейн решение отвечает только за передачу сообщений и не несет ответственности за безопасность приложений. Даже если разрешить нескольким сторонам запускать Relayer, это не решит указанные проблемы. Увеличение количества Relayer не эквивалентно децентрализации, а лишь повышает свободу подключения.
Кроме того, дизайн LayerZero может привести к определённым потенциальным рискам. Например, если какой-либо кросс-чейн токен проект позволяет изменять конфигурацию узлов LayerZero, злоумышленники могут заменить её на узлы под своим контролем, подделывая сообщения. В этом случае проекты, использующие LayerZero, могут столкнуться с огромными проблемами безопасности, и сам LayerZero может оказаться не в состоянии решить такие проблемы.
Стоит отметить, что LayerZero не может предоставить общую безопасность для экосистемных проектов так, как это делают Layer1 или Layer2. Следовательно, строго говоря, это больше похоже на промежуточное ПО (Middleware), а не на инфраструктуру (Infrastructure). Разработчики, использующие SDK/API LayerZero, должны самостоятельно определять стратегии безопасности, что усложняет создание экосистемы.
Некоторые исследовательские группы указали на проблемы безопасности LayerZero. Например, команда L2BEAT обнаружила проблемы в предположениях LayerZero, считая, что владельцы приложений не будут злоупотреблять, что неверно. Команда Nomad обнаружила два ключевых уязвимости реле LayerZero, которые могут быть использованы внутренними лицами или членами команды с известной личностью, что может привести к краже средств пользователей.
С более широкой точки зрения, действительно децентрализованный кросс-чейн протокол должен следовать основной идее "Консенсуса Сатоши Накамото", а именно обеспечивать отсутствие доверия (Trustless) и децентрализацию (Decentralized). Однако LayerZero требует, чтобы Relayer и Oracle не сговаривались для совершения злоумышленных действий, а также требует от пользователей доверия к разработчикам, создающим приложения на базе LayerZero, что противоречит идее децентрализации.
В целом, несмотря на то что LayerZero привлек определенное внимание на рынке, его дизайн имеет очевидные ограничения и потенциальные риски. Настоящий децентрализованный кросс-чейн протокол должен обеспечивать безопасную и надежную кросс-чейн связь без зависимости от доверенных третьих лиц. Разработка будущих кросс-чейн протоколов может потребовать изучения более продвинутых технологий, таких как нулевое знание доказательства, для повышения безопасности и уровня децентрализации.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
17 Лайков
Награда
17
5
Поделиться
комментарий
0/400
rekt_but_resilient
· 08-06 02:33
Снова будут играть для лохов
Посмотреть ОригиналОтветить0
GasFeeCrier
· 08-06 02:21
Ай-ай, снова жадный L0.
Посмотреть ОригиналОтветить0
AllTalkLongTrader
· 08-06 02:08
Так что за полгода потерял почти 20 тысяч.
Посмотреть ОригиналОтветить0
Web3Educator
· 08-06 02:07
Увлекательно! Как я часто говорю своим студентам на буткемпе - скорость всегда сопряжена с скрытыми затратами в web3.
Посмотреть ОригиналОтветить0
DefiSecurityGuard
· 08-06 02:04
*вздыхает* еще один "упрощенный" мост Протокол... просто жду, когда его эксплуатируют, если честно. видел этот фильм раньше, и спойлер: он не заканчивается хорошо. делай свое собственное исследование, но лично я держусь подальше от этого кошмара безопасности.
Анализ безопасности кросс-чейн протокола LayerZero: потенциальные риски и вызовы децентрализации
Анализ проблем безопасности кросс-чейн протоколов и ограничения LayerZero
Безопасность кросс-чейн протоколов в последние годы привлекает особое внимание. Судя по происшествиям безопасности, произошедшим на различных блокчейнах за последние два года, ущерб, причиненный кросс-чейн протоколами, занимает первое место, что делает их важность и неотложность даже выше, чем у решений по масштабированию Ethereum. Взаимодействие между кросс-чейн протоколами является внутренней необходимостью сетевой структуры Web3, но из-за недостатка у публики способности различать уровень безопасности этих протоколов оценка рисков становится сложной.
В качестве примера LayerZero его архитектурный дизайн кажется простым, но на самом деле есть потенциальные проблемы. Этот Протокол использует Relayer для выполнения связи между Chain A и Chain B, под наблюдением Oracle. Такой дизайн исключает традиционное согласие третьей цепи и многосетевую верификацию, предоставляя пользователям "быстрый кросс-чейн" опыт. Однако такая упрощённая архитектура имеет как минимум две основные проблемы:
Снижение безопасности: упрощение многопоточности валидации до одного Оракула значительно снижает уровень безопасности.
Ненадежность предположений о доверии: предположение, что Relayer и Oracle всегда будут работать независимо, является нереалистичным и не может в корне предотвратить их сговор для совершения злоупотреблений.
LayerZero как "ультралегкое" кросс-чейн решение отвечает только за передачу сообщений и не несет ответственности за безопасность приложений. Даже если разрешить нескольким сторонам запускать Relayer, это не решит указанные проблемы. Увеличение количества Relayer не эквивалентно децентрализации, а лишь повышает свободу подключения.
Кроме того, дизайн LayerZero может привести к определённым потенциальным рискам. Например, если какой-либо кросс-чейн токен проект позволяет изменять конфигурацию узлов LayerZero, злоумышленники могут заменить её на узлы под своим контролем, подделывая сообщения. В этом случае проекты, использующие LayerZero, могут столкнуться с огромными проблемами безопасности, и сам LayerZero может оказаться не в состоянии решить такие проблемы.
Стоит отметить, что LayerZero не может предоставить общую безопасность для экосистемных проектов так, как это делают Layer1 или Layer2. Следовательно, строго говоря, это больше похоже на промежуточное ПО (Middleware), а не на инфраструктуру (Infrastructure). Разработчики, использующие SDK/API LayerZero, должны самостоятельно определять стратегии безопасности, что усложняет создание экосистемы.
Некоторые исследовательские группы указали на проблемы безопасности LayerZero. Например, команда L2BEAT обнаружила проблемы в предположениях LayerZero, считая, что владельцы приложений не будут злоупотреблять, что неверно. Команда Nomad обнаружила два ключевых уязвимости реле LayerZero, которые могут быть использованы внутренними лицами или членами команды с известной личностью, что может привести к краже средств пользователей.
С более широкой точки зрения, действительно децентрализованный кросс-чейн протокол должен следовать основной идее "Консенсуса Сатоши Накамото", а именно обеспечивать отсутствие доверия (Trustless) и децентрализацию (Decentralized). Однако LayerZero требует, чтобы Relayer и Oracle не сговаривались для совершения злоумышленных действий, а также требует от пользователей доверия к разработчикам, создающим приложения на базе LayerZero, что противоречит идее децентрализации.
В целом, несмотря на то что LayerZero привлек определенное внимание на рынке, его дизайн имеет очевидные ограничения и потенциальные риски. Настоящий децентрализованный кросс-чейн протокол должен обеспечивать безопасную и надежную кросс-чейн связь без зависимости от доверенных третьих лиц. Разработка будущих кросс-чейн протоколов может потребовать изучения более продвинутых технологий, таких как нулевое знание доказательства, для повышения безопасности и уровня децентрализации.