Cross-chain protokol güvenliği üzerine tartışma: LayerZero örneği
Son yıllarda, cross-chain protokolünün güvenlik sorunları giderek belirgin hale geldi. Geçtiğimiz iki yıl içinde meydana gelen çeşitli blockchain ağlarındaki güvenlik olaylarına bakıldığında, cross-chain protokolü nedeniyle oluşan kayıplar en üst sırada yer almaktadır; önemi ve aciliyeti, Ethereum ölçeklendirme çözümlerinden bile daha fazladır. Cross-chain protokolleri arasındaki etkileşim, Web3 ekosisteminin gelişimi için içsel bir gerekliliktir, ancak halkın bu tür protokollerin güvenlik seviyelerini tanıma düzeyi oldukça düşüktür.
Bu makalede, LayerZero örneği ile mevcut bazı cross-chain protokollerinin tasarımında var olan potansiyel sorunlar ele alınacaktır.
LayerZero, Chain A ve Chain B arasındaki iletişim sürecinin Relayer tarafından yürütüldüğü basitleştirilmiş bir tasarım mimarisi benimsemiştir, Oracle Relayer'ı denetler. Bu mimari, geleneksel cross-chain çözümlerinin konsensüs sağlamak için üçüncü bir zincir gerektiren karmaşıklığını ortadan kaldırarak kullanıcılara "hızlı cross-chain" deneyimi sunar. Ancak, bu basitleştirilmiş tasarım bazı riskler de beraberinde getirmektedir:
Çoklu düğüm doğrulamasını tek bir Oracle doğrulamasına indirgemek, güvenlik katsayısını büyük ölçüde azaltır.
Basitleştirildiğinde, Relayer ve Oracle'ın bağımsız olduğu varsayılmalıdır, ancak bu güven varsayımını sürekli olarak sağlamak zordur.
"Ultra hafif" bir cross-chain çözümü olarak, LayerZero yalnızca mesaj iletiminden sorumludur ve uygulamanın güvenliğinden sorumlu değildir. Birden fazla tarafın Relayer'ı çalıştırmasına izin verilse bile, güven sorununu temelde çözememektedir. Çünkü Relayer, özünde bilgileri iletmekle sorumlu bir aracı olup, Oracle gibi güvenilir üçüncü taraflar arasındadır.
Ayrıca, LayerZero kullanan bir projenin yapılandırma düğümlerinin değiştirilmesine izin vermesi durumunda, saldırgan kendi kontrolündeki düğümleri değiştirebilir ve böylece mesajları sahteleyebilir. Bu risk karmaşık senaryolarda daha da ciddi hale gelebilir. LayerZero'nun kendisi bu sorunu çözmekte zorlanır ve nihayetinde sorumluluğu dış uygulamalara atabilir.
Bu açıdan bakıldığında, LayerZero daha çok bir ara yazılım (Middleware) gibi, gerçek bir altyapı (Infrastructure) değil. Altyapı, ekosistemdeki tüm projelere tutarlı bir güvenlik sağlamalıdır, ancak LayerZero bunu başaramamaktadır.
Bazı araştırma ekipleri, LayerZero'nun bazı kritik güvenlik açıkları bulunduğunu ve bu durumun kullanıcı fonlarının çalınmasına yol açabileceğini belirtiyor. Bu sorunların kökeni, LayerZero'nun tasarımının tam anlamıyla merkeziyetsiz ve güvenilmez olmayı başaramamasındadır.
Bitcoin beyaz kitabına bakıldığında, temel ilkesinin güvenilir üçüncü taraflara gerek kalmadan, eşler arası ödeme gerçekleştirmek olduğu görülmektedir. Bu "Satoshi Konsensüsü" blockchain altyapısı geliştiricilerinin ortak hedefi haline gelmiştir. Ancak, LayerZero'nun tasarımı hala Relayer, Oracle ve uygulama geliştiricileri gibi birden fazla güvenilir role bağımlıdır. Tüm cross-chain süreci boyunca, herhangi bir dolandırıcılık kanıtı veya geçerlilik kanıtı da üretilmemiştir.
Bu nedenle, LayerZero tanıtımında "dağıtık" ve "güven gerektirmeyen" gibi ifadeler kullansa da, gerçek tasarımı bu özellikleri gerçekten karşılamıyor. "Satoshi Konsensüsü" ile uyuşmayan bu cross-chain protokol, gerçek bir dağıtık çözüm olarak adlandırılamaz.
Gerçekten merkeziyetsiz bir cross-chain protokolü oluşturmak hala büyük bir zorluktur. Gelecekteki gelişim yönlerinin, cross-chain güvenliğini ve merkeziyetsizliğini artırmak için sıfır bilgi kanıtları gibi ileri teknolojilerden yararlanması gerekebilir. Sadece gerçekten merkeziyetsiz güvenlik sağlandığında, cross-chain protokolleri Web3 ekosisteminde daha büyük bir rol oynayabilir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
8 Likes
Reward
8
9
Repost
Share
Comment
0/400
OnchainDetective
· 07-28 17:27
Bu kadar risk varken hâlâ kullanmaya devam mı?
View OriginalReply0
GasOptimizer
· 07-28 02:14
Merkezileşme değil mi orz...
View OriginalReply0
SeasonedInvestor
· 07-26 21:41
Güvenliği bu kadar kötü olan bir şey nasıl popüler olabilir?
View OriginalReply0
MetaverseLandlord
· 07-26 07:58
Artık yeter, bu proje çok güvenilmez.
View OriginalReply0
BearMarketMonk
· 07-25 19:20
Klip Kuponlar en sonunda kısa devre oldu.
View OriginalReply0
TokenDustCollector
· 07-25 19:19
Bu sadece pantolonunu indirip gaz çıkarmak değil mi?
View OriginalReply0
PaperHandsCriminal
· 07-25 19:19
Ah, idealler çok dolgun ama cüzdan çok zayıf~
View OriginalReply0
DaoDeveloper
· 07-25 19:13
kodu yeni çalıştırdım... güven varsayımları belgelerin önerdiğinden çok daha kırılgan. dürüst olmak gerekirse, o oracle doğrulamalarına daha derinlemesine bakmam gerekiyor.
View OriginalReply0
GasWrangler
· 07-25 19:04
teknik olarak konuşursak, lz'nin güvenlik modeli matematiksel olarak alt-optimaldir
LayerZero vaka analizi: cross-chain protokol güvenlik açıkları ve Merkeziyetsizlik zorlukları
Cross-chain protokol güvenliği üzerine tartışma: LayerZero örneği
Son yıllarda, cross-chain protokolünün güvenlik sorunları giderek belirgin hale geldi. Geçtiğimiz iki yıl içinde meydana gelen çeşitli blockchain ağlarındaki güvenlik olaylarına bakıldığında, cross-chain protokolü nedeniyle oluşan kayıplar en üst sırada yer almaktadır; önemi ve aciliyeti, Ethereum ölçeklendirme çözümlerinden bile daha fazladır. Cross-chain protokolleri arasındaki etkileşim, Web3 ekosisteminin gelişimi için içsel bir gerekliliktir, ancak halkın bu tür protokollerin güvenlik seviyelerini tanıma düzeyi oldukça düşüktür.
Bu makalede, LayerZero örneği ile mevcut bazı cross-chain protokollerinin tasarımında var olan potansiyel sorunlar ele alınacaktır.
LayerZero, Chain A ve Chain B arasındaki iletişim sürecinin Relayer tarafından yürütüldüğü basitleştirilmiş bir tasarım mimarisi benimsemiştir, Oracle Relayer'ı denetler. Bu mimari, geleneksel cross-chain çözümlerinin konsensüs sağlamak için üçüncü bir zincir gerektiren karmaşıklığını ortadan kaldırarak kullanıcılara "hızlı cross-chain" deneyimi sunar. Ancak, bu basitleştirilmiş tasarım bazı riskler de beraberinde getirmektedir:
Çoklu düğüm doğrulamasını tek bir Oracle doğrulamasına indirgemek, güvenlik katsayısını büyük ölçüde azaltır.
Basitleştirildiğinde, Relayer ve Oracle'ın bağımsız olduğu varsayılmalıdır, ancak bu güven varsayımını sürekli olarak sağlamak zordur.
"Ultra hafif" bir cross-chain çözümü olarak, LayerZero yalnızca mesaj iletiminden sorumludur ve uygulamanın güvenliğinden sorumlu değildir. Birden fazla tarafın Relayer'ı çalıştırmasına izin verilse bile, güven sorununu temelde çözememektedir. Çünkü Relayer, özünde bilgileri iletmekle sorumlu bir aracı olup, Oracle gibi güvenilir üçüncü taraflar arasındadır.
Ayrıca, LayerZero kullanan bir projenin yapılandırma düğümlerinin değiştirilmesine izin vermesi durumunda, saldırgan kendi kontrolündeki düğümleri değiştirebilir ve böylece mesajları sahteleyebilir. Bu risk karmaşık senaryolarda daha da ciddi hale gelebilir. LayerZero'nun kendisi bu sorunu çözmekte zorlanır ve nihayetinde sorumluluğu dış uygulamalara atabilir.
Bu açıdan bakıldığında, LayerZero daha çok bir ara yazılım (Middleware) gibi, gerçek bir altyapı (Infrastructure) değil. Altyapı, ekosistemdeki tüm projelere tutarlı bir güvenlik sağlamalıdır, ancak LayerZero bunu başaramamaktadır.
Bazı araştırma ekipleri, LayerZero'nun bazı kritik güvenlik açıkları bulunduğunu ve bu durumun kullanıcı fonlarının çalınmasına yol açabileceğini belirtiyor. Bu sorunların kökeni, LayerZero'nun tasarımının tam anlamıyla merkeziyetsiz ve güvenilmez olmayı başaramamasındadır.
Bitcoin beyaz kitabına bakıldığında, temel ilkesinin güvenilir üçüncü taraflara gerek kalmadan, eşler arası ödeme gerçekleştirmek olduğu görülmektedir. Bu "Satoshi Konsensüsü" blockchain altyapısı geliştiricilerinin ortak hedefi haline gelmiştir. Ancak, LayerZero'nun tasarımı hala Relayer, Oracle ve uygulama geliştiricileri gibi birden fazla güvenilir role bağımlıdır. Tüm cross-chain süreci boyunca, herhangi bir dolandırıcılık kanıtı veya geçerlilik kanıtı da üretilmemiştir.
Bu nedenle, LayerZero tanıtımında "dağıtık" ve "güven gerektirmeyen" gibi ifadeler kullansa da, gerçek tasarımı bu özellikleri gerçekten karşılamıyor. "Satoshi Konsensüsü" ile uyuşmayan bu cross-chain protokol, gerçek bir dağıtık çözüm olarak adlandırılamaz.
Gerçekten merkeziyetsiz bir cross-chain protokolü oluşturmak hala büyük bir zorluktur. Gelecekteki gelişim yönlerinin, cross-chain güvenliğini ve merkeziyetsizliğini artırmak için sıfır bilgi kanıtları gibi ileri teknolojilerden yararlanması gerekebilir. Sadece gerçekten merkeziyetsiz güvenlik sağlandığında, cross-chain protokolleri Web3 ekosisteminde daha büyük bir rol oynayabilir.