Обговорення безпеки крос-ланцюгового протоколу: на прикладі LayerZero
В останні роки безпекові інциденти з крос-ланцюговими протоколами стали частими, а завдані збитки займають перше місце серед усіх видів безпекових інцидентів у блокчейні. Це підкреслює важливість і терміновість вирішення проблем безпеки крос-ланцюгових протоколів, їх важливість навіть перевищує рішення щодо розширення Ethereum. Взаємодія крос-ланцюгових протоколів є внутрішньою потребою для з'єднання екосистеми Web3, але через низький рівень розпізнавання їх безпеки серед широкої аудиторії, оцінка ризиків стає складною.
Як приклад LayerZero, його архітектурний дизайн здається простим, але насправді є потенційні ризики. Цей протокол використовує Relayer для виконання комунікації між ланцюгами, під наглядом Oracle. Такий дизайн хоча і спрощує традиційний процес перевірки крос-ланцюгів, забезпечуючи користувачам швидкий досвід крос-ланцюга, проте також знижує рівень безпеки.
Дизайн LayerZero має принаймні дві основні проблеми:
Спрощення багатоузлової верифікації до єдиної верифікації Oracle значно знижує безпеку.
Припустимо, що Relayer та Oracle є незалежними, ця довірча гіпотеза важко може бути постійною, що не відповідає криптоорієнтованій ідеї.
Хоча LayerZero намагається підвищити безпеку, збільшуючи кількість Relayer, цей підхід не вирішує проблему в корені. Збільшення кількості довірених суб'єктів не означає децентралізації і не може змінити сутнісні характеристики продукту.
Більш серйозно, якщо проекти, що використовують LayerZero, дозволяють змінювати конфігураційні вузли, зловмисник може замінити їх на свої власні вузли, що призведе до підробки повідомлень. Цей потенційний ризик може призвести до більш серйозних ланцюгових реакцій у складних сценаріях.
Дослідницька група вказала на недоліки в безпекових припущеннях LayerZero. Наприклад, якщо зловмисник отримає доступ до конфігурації LayerZero, він може змінити ключові компоненти, що дозволить маніпулювати крос-ланцюговими транзакціями. Крім того, є повідомлення про наявність вразливостей у ретрансляторах LayerZero, які дозволяють надсилати шахрайські повідомлення та змінювати підписані повідомлення.
З точки зору "консенсусу Сатоші", справжній децентралізований крос-ланцюговий протокол має уникати залежності від надійних третіх сторін, реалізуючи бездостовірність і децентралізацію. Однак, дизайн LayerZero все ще вимагає від користувачів довіри до кількох ролей, які не будуть змовлятися для вчинення злочинів, а також потребує довіри до розробників, які створюють застосунки на базі LayerZero.
У процесі крос-ланцюга LayerZero не згенерував доказів шахрайства або доказів дійсності, а також не вивів ці докази в ланцюг і не перевірив їх. Отже, строго кажучи, LayerZero не відповідає справжнім стандартам децентралізації та відсутності довіри.
Будувати справжній децентралізований крос-ланцюговий протокол все ще є викликом. Деякі дослідники пропонують розглянути використання технологій, таких як нульові знання, для підвищення безпеки крос-ланцюгових протоколів. Однак для досягнення цієї мети спочатку потрібно усвідомити обмеження існуючих систем і бути готовими до їх кардинальних покращень.
При оцінці крос-ланцюгових протоколів ми не повинні бути введені в оману поверхневим простим дизайном, а повинні глибоко проаналізувати їхню модель безпеки та припущення довіри. Лише протоколи, які дійсно реалізують децентралізовану безпеку, зможуть відігравати ключову роль у майбутній екосистемі Web3.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
10 лайків
Нагородити
10
4
Репост
Поділіться
Прокоментувати
0/400
DeepRabbitHole
· 9год тому
Ризик є ризиком, хто не танцює на лезі ножа?
Переглянути оригіналвідповісти на0
BearMarketMonk
· 9год тому
Тільки зараз зрозумів, що, пройшовши стільки часу через блокчейн, все ще потрібно довіряти іншим?
Переглянути оригіналвідповісти на0
LiquidityHunter
· 9год тому
Перехід надзвичайно швидкий, безпека на максимум, попередження
Переглянути оригіналвідповісти на0
GasOptimizer
· 9год тому
Втрачати газ на крос-ланцюг краще, ніж зрозуміти v3
Обговорення безпеки крос-ланцюгового протоколу LayerZero: виклики децентралізації та припущення довіри
Обговорення безпеки крос-ланцюгового протоколу: на прикладі LayerZero
В останні роки безпекові інциденти з крос-ланцюговими протоколами стали частими, а завдані збитки займають перше місце серед усіх видів безпекових інцидентів у блокчейні. Це підкреслює важливість і терміновість вирішення проблем безпеки крос-ланцюгових протоколів, їх важливість навіть перевищує рішення щодо розширення Ethereum. Взаємодія крос-ланцюгових протоколів є внутрішньою потребою для з'єднання екосистеми Web3, але через низький рівень розпізнавання їх безпеки серед широкої аудиторії, оцінка ризиків стає складною.
Як приклад LayerZero, його архітектурний дизайн здається простим, але насправді є потенційні ризики. Цей протокол використовує Relayer для виконання комунікації між ланцюгами, під наглядом Oracle. Такий дизайн хоча і спрощує традиційний процес перевірки крос-ланцюгів, забезпечуючи користувачам швидкий досвід крос-ланцюга, проте також знижує рівень безпеки.
Дизайн LayerZero має принаймні дві основні проблеми:
Хоча LayerZero намагається підвищити безпеку, збільшуючи кількість Relayer, цей підхід не вирішує проблему в корені. Збільшення кількості довірених суб'єктів не означає децентралізації і не може змінити сутнісні характеристики продукту.
Більш серйозно, якщо проекти, що використовують LayerZero, дозволяють змінювати конфігураційні вузли, зловмисник може замінити їх на свої власні вузли, що призведе до підробки повідомлень. Цей потенційний ризик може призвести до більш серйозних ланцюгових реакцій у складних сценаріях.
Дослідницька група вказала на недоліки в безпекових припущеннях LayerZero. Наприклад, якщо зловмисник отримає доступ до конфігурації LayerZero, він може змінити ключові компоненти, що дозволить маніпулювати крос-ланцюговими транзакціями. Крім того, є повідомлення про наявність вразливостей у ретрансляторах LayerZero, які дозволяють надсилати шахрайські повідомлення та змінювати підписані повідомлення.
З точки зору "консенсусу Сатоші", справжній децентралізований крос-ланцюговий протокол має уникати залежності від надійних третіх сторін, реалізуючи бездостовірність і децентралізацію. Однак, дизайн LayerZero все ще вимагає від користувачів довіри до кількох ролей, які не будуть змовлятися для вчинення злочинів, а також потребує довіри до розробників, які створюють застосунки на базі LayerZero.
У процесі крос-ланцюга LayerZero не згенерував доказів шахрайства або доказів дійсності, а також не вивів ці докази в ланцюг і не перевірив їх. Отже, строго кажучи, LayerZero не відповідає справжнім стандартам децентралізації та відсутності довіри.
Будувати справжній децентралізований крос-ланцюговий протокол все ще є викликом. Деякі дослідники пропонують розглянути використання технологій, таких як нульові знання, для підвищення безпеки крос-ланцюгових протоколів. Однак для досягнення цієї мети спочатку потрібно усвідомити обмеження існуючих систем і бути готовими до їх кардинальних покращень.
При оцінці крос-ланцюгових протоколів ми не повинні бути введені в оману поверхневим простим дизайном, а повинні глибоко проаналізувати їхню модель безпеки та припущення довіри. Лише протоколи, які дійсно реалізують децентралізовану безпеку, зможуть відігравати ключову роль у майбутній екосистемі Web3.