Анализ безопасности кросс-чейн протокола: на примере LayerZero
Проблемы безопасности кросс-чейн протоколов становятся все более очевидными и представляют собой ключевой вызов, который необходимо решить экосистеме Web3. Судя по недавним событиям безопасности в различных публичных блокчейнах, убытки, вызванные кросс-чейн протоколами, занимают первое место, и их важность и срочность даже превышают решения по масштабированию Ethereum. Кросс-чейн взаимосвязь является внутренней необходимостью сетевой структуры Web3, но из-за того, что общественность с трудом может определить уровень безопасности этих протоколов, риски продолжают накапливаться.
Некоторые кросс-чейн решения, представленные LayerZero, хотя и выглядят простыми в дизайне, но имеют потенциальные проблемы с безопасностью. Их основная архитектура состоит из Relayer, который выполняет межцепочечную коммуникацию, и Oracle, который осуществляет надзор. Этот дизайн исключает традиционную верификацию консенсуса третьей цепи, предоставляя пользователям опыт "быстрого кросс-чейн". Тем не менее, эта архитектура имеет как минимум две проблемы:
Упрощение многонодовой проверки до единой проверки Oracle значительно снизило коэффициент безопасности.
Необходимо предположить, что Relayer и Oracle независимы, и эта предпосылка доверия трудно поддерживается в долгосрочной перспективе, так как ей не хватает криптографической природы.
Как "ультралегкое" кросс-чейн решение, LayerZero отвечает только за передачу сообщений и не может гарантировать безопасность приложений. Даже если открыть Relayer для большего числа участников, это не решит указанную проблему в корне. Увеличение числа доверенных субъектов не равно децентрализации, а наоборот, может вызвать новые проблемы.
Если какой-то проект кросс-чейн токенов, использующий LayerZero, позволяет изменять конфигурацию узлов, злоумышленник может заменить узлы на контролируемые им, подделывая любые сообщения. Этот риск будет еще более серьезным в сложных сценариях. Сам по себе LayerZero трудно решить эту проблему, и в случае безопасности инцидент может быть легко возложен на внешние приложения.
На самом деле, LayerZero не может обеспечить согласованную безопасность для экосистемных проектов, как это делают Layer1 и Layer2. Это скорее промежуточное ПО (Middleware), а не настоящая инфраструктура (Infrastructure). Разработчикам, подключающимся к его SDK/API, необходимо самостоятельно определить политику безопасности.
Некоторые исследовательские группы указали на ключевую уязвимость LayerZero, которая может привести к краже средств пользователей. Эти проблемы возникают из-за предположения о доверии к владельцам приложений, а также из-за недостатков в конструкции ретрансляторов.
Возвращаясь к биткойн-белой книге, мы можем увидеть, что核心 "согласия Сатоши" заключается в реализации бездоверительных ( Trustless ) и децентрализованных ( Decentralized ) решений. Однако LayerZero требует доверия к Relayer, Oracle и разработчикам, использующим его для создания приложений, и весь процесс кросс-чейн отсутствует эффективное доказательство мошенничества или доказательство действительности. Таким образом, LayerZero на самом деле не удовлетворяет "согласию Сатоши", и его трудно назвать действительно децентрализованной и бездоверительной системой.
Создание действительно децентрализованного кросс-чейн протокола все еще сталкивается с множеством проблем. Будущее развитие может потребовать заимствования таких передовых технологий, как доказательства с нулевым разглашением, для повышения безопасности и надежности протокола. Только достигнув настоящей децентрализованной безопасности, кросс-чейн протокол сможет сыграть свою должную роль в экосистеме Web3.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
14 Лайков
Награда
14
6
Поделиться
комментарий
0/400
PoetryOnChain
· 07-22 20:01
Быстрая скорость стоит безопасности, кто это выдержит.
Посмотреть ОригиналОтветить0
MEVHunter
· 07-21 09:26
lzero просто просит, чтобы его разорвали... мемпул снайперский рай, по правде говоря
Посмотреть ОригиналОтветить0
DaisyUnicorn
· 07-20 03:48
Быстро и безопасно, три лепестка говорят о двух домах, маленький единорог тоже в панике.
Посмотреть ОригиналОтветить0
ChainSherlockGirl
· 07-20 03:18
Нэ-нэ, это дело кажется очень непростым, давай проверим по адресу.
Посмотреть ОригиналОтветить0
Hash_Bandit
· 07-20 03:17
видел этот фильм раньше... напоминает мне дни mt.gox. скорость не стоит риска безопасности, если честно
Посмотреть ОригиналОтветить0
ImpermanentTherapist
· 07-20 03:07
Все знают, что быстрая кросс-чейн не надежна. Медленно - это безопасно. Понял?
Анализ безопасности кросс-чейн Протокола LayerZero: Децентрализация и проблема доверия
Анализ безопасности кросс-чейн протокола: на примере LayerZero
Проблемы безопасности кросс-чейн протоколов становятся все более очевидными и представляют собой ключевой вызов, который необходимо решить экосистеме Web3. Судя по недавним событиям безопасности в различных публичных блокчейнах, убытки, вызванные кросс-чейн протоколами, занимают первое место, и их важность и срочность даже превышают решения по масштабированию Ethereum. Кросс-чейн взаимосвязь является внутренней необходимостью сетевой структуры Web3, но из-за того, что общественность с трудом может определить уровень безопасности этих протоколов, риски продолжают накапливаться.
Некоторые кросс-чейн решения, представленные LayerZero, хотя и выглядят простыми в дизайне, но имеют потенциальные проблемы с безопасностью. Их основная архитектура состоит из Relayer, который выполняет межцепочечную коммуникацию, и Oracle, который осуществляет надзор. Этот дизайн исключает традиционную верификацию консенсуса третьей цепи, предоставляя пользователям опыт "быстрого кросс-чейн". Тем не менее, эта архитектура имеет как минимум две проблемы:
Упрощение многонодовой проверки до единой проверки Oracle значительно снизило коэффициент безопасности.
Необходимо предположить, что Relayer и Oracle независимы, и эта предпосылка доверия трудно поддерживается в долгосрочной перспективе, так как ей не хватает криптографической природы.
Как "ультралегкое" кросс-чейн решение, LayerZero отвечает только за передачу сообщений и не может гарантировать безопасность приложений. Даже если открыть Relayer для большего числа участников, это не решит указанную проблему в корне. Увеличение числа доверенных субъектов не равно децентрализации, а наоборот, может вызвать новые проблемы.
Если какой-то проект кросс-чейн токенов, использующий LayerZero, позволяет изменять конфигурацию узлов, злоумышленник может заменить узлы на контролируемые им, подделывая любые сообщения. Этот риск будет еще более серьезным в сложных сценариях. Сам по себе LayerZero трудно решить эту проблему, и в случае безопасности инцидент может быть легко возложен на внешние приложения.
На самом деле, LayerZero не может обеспечить согласованную безопасность для экосистемных проектов, как это делают Layer1 и Layer2. Это скорее промежуточное ПО (Middleware), а не настоящая инфраструктура (Infrastructure). Разработчикам, подключающимся к его SDK/API, необходимо самостоятельно определить политику безопасности.
Некоторые исследовательские группы указали на ключевую уязвимость LayerZero, которая может привести к краже средств пользователей. Эти проблемы возникают из-за предположения о доверии к владельцам приложений, а также из-за недостатков в конструкции ретрансляторов.
Возвращаясь к биткойн-белой книге, мы можем увидеть, что核心 "согласия Сатоши" заключается в реализации бездоверительных ( Trustless ) и децентрализованных ( Decentralized ) решений. Однако LayerZero требует доверия к Relayer, Oracle и разработчикам, использующим его для создания приложений, и весь процесс кросс-чейн отсутствует эффективное доказательство мошенничества или доказательство действительности. Таким образом, LayerZero на самом деле не удовлетворяет "согласию Сатоши", и его трудно назвать действительно децентрализованной и бездоверительной системой.
Создание действительно децентрализованного кросс-чейн протокола все еще сталкивается с множеством проблем. Будущее развитие может потребовать заимствования таких передовых технологий, как доказательства с нулевым разглашением, для повышения безопасности и надежности протокола. Только достигнув настоящей децентрализованной безопасности, кросс-чейн протокол сможет сыграть свою должную роль в экосистеме Web3.