تحليل أمان بروتوكول عبر السلاسل: مثال على LayerZero
تتزايد مشكلات أمان بروتوكول عبر السلاسل بشكل ملحوظ، لتصبح تحديًا رئيسيًا يتطلب حلاً عاجلاً في بيئة Web3. من خلال النظر في الأحداث الأمنية التي حدثت في مختلف سلاسل الكتل العامة في السنوات الأخيرة، نجد أن الخسائر الناجمة عن بروتوكولات عبر السلاسل تتصدر القائمة، مما يدل على أهميتها وضرورة معالجتها، حتى تفوق أهمية وضرورة حلول توسيع إيثريوم. إن التداخل عبر السلاسل هو حاجة جوهرية لشبكة Web3، ولكن بسبب صعوبة تمييز مستوى أمان هذه البروتوكولات من قبل الجمهور، يستمر تراكم المخاطر.
بعض حلول عبر السلاسل التي تمثلها LayerZero، على الرغم من أن التصميم يبدو بسيطًا، إلا أن هناك مخاطر أمنية محتملة. الهيكل الأساسي هو أن Relayer تنفذ الاتصالات بين السلاسل، بينما يقوم Oracle بالإشراف. هذا التصميم يلغي الحاجة إلى التحقق من توافق السلسلة الثالثة التقليدية، مما يوفر للمستخدمين تجربة "عبر السلاسل السريعة". ومع ذلك، فإن هذا الهيكل يحتوي على مشكلتين على الأقل:
تم تبسيط تحقق متعددة العقد إلى تحقق Oracle واحد، مما أدى إلى انخفاض كبير في معامل الأمان.
يجب افتراض أن Relayer و Oracle مستقلان، وأن فرضية الثقة هذه يصعب أن تستمر على المدى الطويل، وتفتقر إلى الطبيعة المشفرة.
باعتبارها حل "خفيف الوزن" عبر السلاسل، فإن LayerZero مسؤولة فقط عن نقل الرسائل، ولا يمكنها تحمل مسؤولية أمان التطبيقات. حتى مع فتح Relayer للسماح لمزيد من المشاركين بالانضمام، فإنه من الصعب بشكل أساسي حل المشكلات المذكورة أعلاه. زيادة عدد الكيانات الموثوقة لا تعني بالضرورة اللامركزية، بل قد تؤدي إلى ظهور مشكلات جديدة.
إذا كان هناك مشروع عملة عبر السلاسل يستخدم LayerZero ويسمح بتعديل إعدادات العقد، فقد يتمكن المهاجم من استبدال العقد بعقد يتحكم فيه، مما يسمح له بتزوير أي رسالة. ستكون هذه المخاطر أكثر حدة في السيناريوهات المعقدة. من الصعب على LayerZero حل هذه المشكلة، وعند حدوث حادثة أمان، من المرجح أن يتم تحميل المسؤولية للتطبيقات الخارجية.
في الواقع، لا يمكن لـ LayerZero أن يوفر أمانًا متسقًا لمشاريع النظام البيئي مثل Layer1 و Layer2. إنه يشبه أكثر middleware(، وليس بنية تحتية حقيقية). يحتاج المطورون الذين يتصلون بـ SDK/API الخاص به إلى تحديد سياسات الأمان الخاصة بهم بأنفسهم.
أشارت فرق البحث إلى أن LayerZero تحتوي على ثغرات رئيسية قد تؤدي إلى سرقة أموال المستخدمين. تنبع هذه المشكلات من فرضية الثقة في مالكي التطبيقات، بالإضافة إلى العيوب في تصميم المراسلين.
من خلال العودة إلى الورقة البيضاء لبيتكوين، يمكننا أن نرى أن "إجماع ساتوشي" يكمن في تحقيق عدم الاعتماد على الثقة (Trustless) وعدم المركزية (Decentralized). ومع ذلك، تتطلب LayerZero الثقة في Relayer و Oracle وكذلك المطورين الذين يستخدمونها لبناء التطبيقات، وتفتقر العملية عبر السلاسل إلى إثبات الاحتيال الفعال أو إثبات الصلاحية. لذلك، فإن LayerZero في الواقع لا تلبي "إجماع ساتوشي"، ومن الصعب أن تسمى نظامًا لامركزيًا حقًا وغير معتمد على الثقة.
إن بناء بروتوكول عبر السلاسل غير مركزي حقيقي لا يزال يواجه العديد من التحديات. قد تحتاج اتجاهات التطوير المستقبلية إلى الاستفادة من تقنيات متقدمة مثل إثباتات المعرفة الصفرية لتعزيز أمان البروتوكول وموثوقيته. فقط من خلال تحقيق أمان غير مركزي حقيقي، يمكن لبروتوكولات عبر السلاسل أن تلعب دورها المنشود في نظام Web3 البيئي.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 14
أعجبني
14
6
مشاركة
تعليق
0/400
PoetryOnChain
· 07-22 20:01
سرعة التكلفة هي الأمان ، من يستطيع تحمل ذلك؟
شاهد النسخة الأصليةرد0
MEVHunter
· 07-21 09:26
lzero يطلب فقط أن يتم تدميره... جنة اصطياد المempool حقًا حقًا
شاهد النسخة الأصليةرد0
DaisyUnicorn
· 07-20 03:48
سريعة وآمنة! ثلاث بتلات تتحدث عن شركتين، والوحدة الصغيرة أيضًا في حالة من الذعر.
شاهد النسخة الأصليةرد0
ChainSherlockGirl
· 07-20 03:18
نَـا نَـا، هذه القضية الكبيرة تبدو غير بسيطة، اذهب إلى العنوان وتحقق.
شاهد النسخة الأصليةرد0
Hash_Bandit
· 07-20 03:17
رأيت هذا الفيلم من قبل... يذكرني بأيام mt.gox. السرعة ليست تستحق خطر الأمان بصراحة
شاهد النسخة الأصليةرد0
ImpermanentTherapist
· 07-20 03:07
الجميع يعرف أن الانتقال السريع عبر السلاسل غير موثوق، البطء هو الأمان، هل تفهم؟
تحليل أمان بروتوكول LayerZero عبر السلاسل: اللامركزية ومشكلة الثقة
تحليل أمان بروتوكول عبر السلاسل: مثال على LayerZero
تتزايد مشكلات أمان بروتوكول عبر السلاسل بشكل ملحوظ، لتصبح تحديًا رئيسيًا يتطلب حلاً عاجلاً في بيئة Web3. من خلال النظر في الأحداث الأمنية التي حدثت في مختلف سلاسل الكتل العامة في السنوات الأخيرة، نجد أن الخسائر الناجمة عن بروتوكولات عبر السلاسل تتصدر القائمة، مما يدل على أهميتها وضرورة معالجتها، حتى تفوق أهمية وضرورة حلول توسيع إيثريوم. إن التداخل عبر السلاسل هو حاجة جوهرية لشبكة Web3، ولكن بسبب صعوبة تمييز مستوى أمان هذه البروتوكولات من قبل الجمهور، يستمر تراكم المخاطر.
بعض حلول عبر السلاسل التي تمثلها LayerZero، على الرغم من أن التصميم يبدو بسيطًا، إلا أن هناك مخاطر أمنية محتملة. الهيكل الأساسي هو أن Relayer تنفذ الاتصالات بين السلاسل، بينما يقوم Oracle بالإشراف. هذا التصميم يلغي الحاجة إلى التحقق من توافق السلسلة الثالثة التقليدية، مما يوفر للمستخدمين تجربة "عبر السلاسل السريعة". ومع ذلك، فإن هذا الهيكل يحتوي على مشكلتين على الأقل:
تم تبسيط تحقق متعددة العقد إلى تحقق Oracle واحد، مما أدى إلى انخفاض كبير في معامل الأمان.
يجب افتراض أن Relayer و Oracle مستقلان، وأن فرضية الثقة هذه يصعب أن تستمر على المدى الطويل، وتفتقر إلى الطبيعة المشفرة.
باعتبارها حل "خفيف الوزن" عبر السلاسل، فإن LayerZero مسؤولة فقط عن نقل الرسائل، ولا يمكنها تحمل مسؤولية أمان التطبيقات. حتى مع فتح Relayer للسماح لمزيد من المشاركين بالانضمام، فإنه من الصعب بشكل أساسي حل المشكلات المذكورة أعلاه. زيادة عدد الكيانات الموثوقة لا تعني بالضرورة اللامركزية، بل قد تؤدي إلى ظهور مشكلات جديدة.
إذا كان هناك مشروع عملة عبر السلاسل يستخدم LayerZero ويسمح بتعديل إعدادات العقد، فقد يتمكن المهاجم من استبدال العقد بعقد يتحكم فيه، مما يسمح له بتزوير أي رسالة. ستكون هذه المخاطر أكثر حدة في السيناريوهات المعقدة. من الصعب على LayerZero حل هذه المشكلة، وعند حدوث حادثة أمان، من المرجح أن يتم تحميل المسؤولية للتطبيقات الخارجية.
في الواقع، لا يمكن لـ LayerZero أن يوفر أمانًا متسقًا لمشاريع النظام البيئي مثل Layer1 و Layer2. إنه يشبه أكثر middleware(، وليس بنية تحتية حقيقية). يحتاج المطورون الذين يتصلون بـ SDK/API الخاص به إلى تحديد سياسات الأمان الخاصة بهم بأنفسهم.
أشارت فرق البحث إلى أن LayerZero تحتوي على ثغرات رئيسية قد تؤدي إلى سرقة أموال المستخدمين. تنبع هذه المشكلات من فرضية الثقة في مالكي التطبيقات، بالإضافة إلى العيوب في تصميم المراسلين.
من خلال العودة إلى الورقة البيضاء لبيتكوين، يمكننا أن نرى أن "إجماع ساتوشي" يكمن في تحقيق عدم الاعتماد على الثقة (Trustless) وعدم المركزية (Decentralized). ومع ذلك، تتطلب LayerZero الثقة في Relayer و Oracle وكذلك المطورين الذين يستخدمونها لبناء التطبيقات، وتفتقر العملية عبر السلاسل إلى إثبات الاحتيال الفعال أو إثبات الصلاحية. لذلك، فإن LayerZero في الواقع لا تلبي "إجماع ساتوشي"، ومن الصعب أن تسمى نظامًا لامركزيًا حقًا وغير معتمد على الثقة.
إن بناء بروتوكول عبر السلاسل غير مركزي حقيقي لا يزال يواجه العديد من التحديات. قد تحتاج اتجاهات التطوير المستقبلية إلى الاستفادة من تقنيات متقدمة مثل إثباتات المعرفة الصفرية لتعزيز أمان البروتوكول وموثوقيته. فقط من خلال تحقيق أمان غير مركزي حقيقي، يمكن لبروتوكولات عبر السلاسل أن تلعب دورها المنشود في نظام Web3 البيئي.