Обсуждение безопасности кросс-чейн протоколов: на примере LayerZero
В последние годы проблемы безопасности кросс-чейн протоколов становятся все более актуальными. Судя по безопасности, произошедшей в различных блокчейн-сетях за последние два года, убытки, вызванные кросс-чейн протоколами, занимают первое место, их важность и срочность даже превосходят решения по масштабированию Ethereum. Взаимодействие между кросс-чейн протоколами является внутренним требованием для развития экосистемы Web3, но общество не обладает высокой степенью распознавания уровня безопасности таких протоколов.
В данной статье будет рассмотрен пример LayerZero для обсуждения потенциальных проблем, существующих в дизайне некоторых кросс-чейн протоколов.
LayerZero использует упрощенную архитектуру дизайна: процесс коммуникации между Chain A и Chain B выполняется Relayer, а Oracle осуществляет надзор за Relayer. Эта архитектура избегает сложности традиционных кросс-чейн решений, которые требуют третьей цепи для достижения консенсуса, предоставляя пользователям опыт "быстрого кросс-чейн". Однако, этот упрощенный дизайн также приносит некоторые риски:
Упростите многосетевую проверку до единой проверки Oracle, что значительно снижает уровень безопасности.
Упрощенно, необходимо предположить, что Relayer и Oracle независимы, но такая доверительная предпосылка трудно обеспечить на постоянной основе.
Как "ультралегкое" кросс-чейн решение, LayerZero отвечает только за передачу сообщений и не несет ответственности за безопасность приложений. Даже если нескольким сторонам разрешено запускать Relayer, это не может fundamentally решить проблему доверия. Поскольку Relayer по сути остается посредником, ответственным за пересылку информации, он, как и Oracle, является доверенной третьей стороной.
Кроме того, если какой-либо проект, использующий LayerZero, позволяет изменять конфигурационные узлы, злоумышленник может заменить их на узлы, контролируемые им, и, таким образом, подделать сообщения. Этот риск будет более серьезным в сложных сценариях. Сам LayerZero трудно решает эту проблему, в конечном итоге возможно, что ответственность будет возложена на внешние приложения.
С этой точки зрения, LayerZero больше похож на промежуточное ПО (Middleware), а не на настоящую инфраструктуру (Infrastructure). Инфраструктура должна обеспечивать согласованную безопасность для всех проектов в экосистеме, а LayerZero не может этого сделать.
Некоторые исследовательские группы указывают на наличие критических уязвимостей в LayerZero, которые могут привести к кражам средств пользователей. Эти проблемы связаны с тем, что дизайн LayerZero не смог полностью реализовать децентрализацию и отсутствие доверия.
Взглянув на белую книгу Биткойна, его основная идея заключается в реализации одноранговых платежей без необходимости в доверительных третьих лицах. Этот "Консенсус Сатоши Накамото" стал общей целью разработчиков инфраструктуры блокчейна. Однако дизайн LayerZero все еще зависит от нескольких доверительных ролей, таких как Relayer, Oracle и разработчики приложений. В процессе кросс-чейн также не были созданы никакие доказательства мошенничества или доказательства действительности.
Таким образом, несмотря на то, что LayerZero в своем введении использует такие слова, как "децентрализованный" и "без доверия", его фактический дизайн не соответствует этим характеристикам. Такой кросс-чейн протокол, не соответствующий "консенсусу Сатоши", трудно назвать по-настоящему децентрализованным решением.
Создание действительно децентрализованного кросс-чейн протокола все еще является巨大ным вызовом. Будущее направление развития может потребовать заимствования таких передовых технологий, как нулевые доказательства, для повышения безопасности кросс-чейн и уровня децентрализации. Только реализовав действительно децентрализованную безопасность, кросс-чейн протокол сможет сыграть более значительную роль в экосистеме Web3.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
8 Лайков
Награда
8
9
Репост
Поделиться
комментарий
0/400
OnchainDetective
· 07-28 17:27
Такой большой риск, а вы все еще продолжаете использовать?
Посмотреть ОригиналОтветить0
GasOptimizer
· 07-28 02:14
Но это все еще централизовано илиz...
Посмотреть ОригиналОтветить0
SeasonedInvestor
· 07-26 21:41
Такая плохая безопасность, как она может быть популярной?
Посмотреть ОригиналОтветить0
MetaverseLandlord
· 07-26 07:58
Не дури, этот проект совсем ненадежен.
Посмотреть ОригиналОтветить0
BearMarketMonk
· 07-25 19:20
Клиповые купоны, в конце концов, шортить.
Посмотреть ОригиналОтветить0
TokenDustCollector
· 07-25 19:19
Разве это не просто снять штаны и перднуть?
Посмотреть ОригиналОтветить0
PaperHandsCriminal
· 07-25 19:19
Эх, идеалы очень привлекательны, а токен слишком скромен~
Посмотреть ОригиналОтветить0
DaoDeveloper
· 07-25 19:13
только что запустил их код... предположения о доверии гораздо более хрупкие, чем предполагают документы. надо глубже разобраться в этих валидациях оракулов, если честно.
Посмотреть ОригиналОтветить0
GasWrangler
· 07-25 19:04
Технически говоря, модель безопасности lz математически не оптимальна.
Анализ случаев LayerZero: Безопасные уязвимости кросс-чейн протоколов и вызовы децентрализации
Обсуждение безопасности кросс-чейн протоколов: на примере LayerZero
В последние годы проблемы безопасности кросс-чейн протоколов становятся все более актуальными. Судя по безопасности, произошедшей в различных блокчейн-сетях за последние два года, убытки, вызванные кросс-чейн протоколами, занимают первое место, их важность и срочность даже превосходят решения по масштабированию Ethereum. Взаимодействие между кросс-чейн протоколами является внутренним требованием для развития экосистемы Web3, но общество не обладает высокой степенью распознавания уровня безопасности таких протоколов.
В данной статье будет рассмотрен пример LayerZero для обсуждения потенциальных проблем, существующих в дизайне некоторых кросс-чейн протоколов.
LayerZero использует упрощенную архитектуру дизайна: процесс коммуникации между Chain A и Chain B выполняется Relayer, а Oracle осуществляет надзор за Relayer. Эта архитектура избегает сложности традиционных кросс-чейн решений, которые требуют третьей цепи для достижения консенсуса, предоставляя пользователям опыт "быстрого кросс-чейн". Однако, этот упрощенный дизайн также приносит некоторые риски:
Упростите многосетевую проверку до единой проверки Oracle, что значительно снижает уровень безопасности.
Упрощенно, необходимо предположить, что Relayer и Oracle независимы, но такая доверительная предпосылка трудно обеспечить на постоянной основе.
Как "ультралегкое" кросс-чейн решение, LayerZero отвечает только за передачу сообщений и не несет ответственности за безопасность приложений. Даже если нескольким сторонам разрешено запускать Relayer, это не может fundamentally решить проблему доверия. Поскольку Relayer по сути остается посредником, ответственным за пересылку информации, он, как и Oracle, является доверенной третьей стороной.
Кроме того, если какой-либо проект, использующий LayerZero, позволяет изменять конфигурационные узлы, злоумышленник может заменить их на узлы, контролируемые им, и, таким образом, подделать сообщения. Этот риск будет более серьезным в сложных сценариях. Сам LayerZero трудно решает эту проблему, в конечном итоге возможно, что ответственность будет возложена на внешние приложения.
С этой точки зрения, LayerZero больше похож на промежуточное ПО (Middleware), а не на настоящую инфраструктуру (Infrastructure). Инфраструктура должна обеспечивать согласованную безопасность для всех проектов в экосистеме, а LayerZero не может этого сделать.
Некоторые исследовательские группы указывают на наличие критических уязвимостей в LayerZero, которые могут привести к кражам средств пользователей. Эти проблемы связаны с тем, что дизайн LayerZero не смог полностью реализовать децентрализацию и отсутствие доверия.
Взглянув на белую книгу Биткойна, его основная идея заключается в реализации одноранговых платежей без необходимости в доверительных третьих лицах. Этот "Консенсус Сатоши Накамото" стал общей целью разработчиков инфраструктуры блокчейна. Однако дизайн LayerZero все еще зависит от нескольких доверительных ролей, таких как Relayer, Oracle и разработчики приложений. В процессе кросс-чейн также не были созданы никакие доказательства мошенничества или доказательства действительности.
Таким образом, несмотря на то, что LayerZero в своем введении использует такие слова, как "децентрализованный" и "без доверия", его фактический дизайн не соответствует этим характеристикам. Такой кросс-чейн протокол, не соответствующий "консенсусу Сатоши", трудно назвать по-настоящему децентрализованным решением.
Создание действительно децентрализованного кросс-чейн протокола все еще является巨大ным вызовом. Будущее направление развития может потребовать заимствования таких передовых технологий, как нулевые доказательства, для повышения безопасности кросс-чейн и уровня децентрализации. Только реализовав действительно децентрализованную безопасность, кросс-чейн протокол сможет сыграть более значительную роль в экосистеме Web3.