Phân tích an ninh giao thức chuỗi cross: Lấy LayerZero làm ví dụ
Vấn đề an toàn của giao thức chuỗi cross ngày càng trở nên nổi bật, trở thành thách thức then chốt cần giải quyết trong hệ sinh thái Web3. Từ các sự kiện an toàn xảy ra ở các chuỗi công cộng trong những năm gần đây, quy mô tổn thất do giao thức chuỗi cross gây ra đứng đầu, tầm quan trọng và tính cấp bách của nó thậm chí còn vượt qua các kế hoạch mở rộng của Ethereum. Sự tương tác chuỗi cross là nhu cầu nội tại của mạng lưới Web3, nhưng do công chúng khó phân biệt được cấp độ an toàn của những giao thức này, làm cho rủi ro tiếp tục tích lũy.
Một số giải pháp chuỗi cross, đại diện là LayerZero, mặc dù thiết kế có vẻ đơn giản, nhưng tồn tại những rủi ro bảo mật tiềm ẩn. Cấu trúc cơ bản của nó được thực hiện bởi Relayer để thực hiện giao tiếp giữa các chuỗi, và Oracle giám sát. Thiết kế này loại bỏ việc xác thực đồng thuận của chuỗi thứ ba truyền thống, mang lại cho người dùng trải nghiệm "chuỗi cross nhanh chóng". Tuy nhiên, cấu trúc này ít nhất tồn tại hai vấn đề:
Đơn giản hóa xác thực nhiều nút thành xác thực Oracle đơn, giảm đáng kể hệ số an toàn.
Phải giả định rằng Relayer và Oracle là độc lập, và giả định niềm tin này khó có thể tồn tại lâu dài, thiếu tính bản địa của mã hóa.
Là một giải pháp chuỗi cross "siêu nhẹ", LayerZero chỉ chịu trách nhiệm về việc truyền tải thông điệp, không thể đảm bảo an toàn cho ứng dụng. Ngay cả khi mở Relayer để cho nhiều người tham gia hơn, cũng khó có thể giải quyết vấn đề trên một cách triệt để. Việc tăng số lượng chủ thể tin cậy không đồng nghĩa với việc phi tập trung, mà còn có thể gây ra những vấn đề mới.
Nếu một dự án token chuỗi cross sử dụng LayerZero cho phép sửa đổi cấu hình nút, kẻ tấn công có thể thay thế bằng nút do mình kiểm soát, giả mạo bất kỳ thông điệp nào. Rủi ro này sẽ nghiêm trọng hơn trong các tình huống phức tạp. LayerZero tự nó khó có thể giải quyết vấn đề này, và khi xảy ra sự cố an toàn, rất có thể sẽ đổ lỗi cho ứng dụng bên ngoài.
Trên thực tế, LayerZero không thể cung cấp tính bảo mật nhất quán cho các dự án sinh thái như Layer1 hoặc Layer2. Nó giống như một chuỗi cross (Middleware), chứ không phải là một cơ sở hạ tầng thực sự (Infrastructure). Các nhà phát triển truy cập SDK/API của nó cần tự định nghĩa chính sách bảo mật.
Có nhóm nghiên cứu chỉ ra rằng LayerZero tồn tại lỗ hổng nghiêm trọng, có thể dẫn đến việc tiền của người dùng bị đánh cắp. Những vấn đề này xuất phát từ giả định về sự tin cậy của chủ sở hữu ứng dụng và các thiết kế sai sót của bộ trung gian.
Quay ngược lại sách trắng Bitcoin, chúng ta có thể thấy rằng "tính đồng thuận của Satoshi Nakamoto" cốt lõi là để đạt được sự không cần tin tưởng (Trustless) và phi tập trung (Decentralized). Tuy nhiên, LayerZero yêu cầu tin tưởng vào Relayer, Oracle cũng như các nhà phát triển sử dụng nó để xây dựng ứng dụng, và toàn bộ quá trình chuỗi cross thiếu bằng chứng gian lận hoặc bằng chứng hiệu lực hiệu quả. Do đó, LayerZero thực sự không đáp ứng "tính đồng thuận của Satoshi Nakamoto", khó có thể được coi là một hệ thống thực sự phi tập trung và không cần tin tưởng.
Xây dựng giao thức chuỗi cross thực sự phi tập trung vẫn phải đối mặt với nhiều thách thức. Hướng phát triển trong tương lai có thể cần học hỏi từ các công nghệ tiên tiến như chứng minh không biết (zero-knowledge proof) để nâng cao tính bảo mật và độ tin cậy của giao thức. Chỉ khi nào đạt được bảo mật phi tập trung thực sự, giao thức chuỗi cross mới có thể phát huy vai trò của nó trong hệ sinh thái Web3.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
14 thích
Phần thưởng
14
6
Chia sẻ
Bình luận
0/400
PoetryOnChain
· 07-22 20:01
Tốc độ nhanh, cái giá là an toàn, ai có thể chịu đựng được điều này.
Xem bản gốcTrả lời0
MEVHunter
· 07-21 09:26
lzero chỉ đang hỏi để bị rekt... mempool sniping paradise fr fr
Xem bản gốcTrả lời0
DaisyUnicorn
· 07-20 03:48
Nhanh chóng và an toàn mà, ba cánh hoa nói hai nhà, tiểu kỳ lân cũng hoảng hốt lắm.
Xem bản gốcTrả lời0
ChainSherlockGirl
· 07-20 03:18
Nè nè, vụ án lớn này trực giác rất không đơn giản, đi địa chỉ kiểm tra xem.
Xem bản gốcTrả lời0
Hash_Bandit
· 07-20 03:17
đã xem bộ phim này trước đây... nhắc tôi nhớ đến những ngày mt.gox. tốc độ không đáng với rủi ro bảo mật thật lòng mà nói
Xem bản gốcTrả lời0
ImpermanentTherapist
· 07-20 03:07
Ai cũng biết nhanh chóng chuỗi cross không đáng tin cậy, chậm mới là an toàn, hiểu không?
Phân tích an ninh giao thức chuỗi cross LayerZero: Phi tập trung và vấn đề tin cậy
Phân tích an ninh giao thức chuỗi cross: Lấy LayerZero làm ví dụ
Vấn đề an toàn của giao thức chuỗi cross ngày càng trở nên nổi bật, trở thành thách thức then chốt cần giải quyết trong hệ sinh thái Web3. Từ các sự kiện an toàn xảy ra ở các chuỗi công cộng trong những năm gần đây, quy mô tổn thất do giao thức chuỗi cross gây ra đứng đầu, tầm quan trọng và tính cấp bách của nó thậm chí còn vượt qua các kế hoạch mở rộng của Ethereum. Sự tương tác chuỗi cross là nhu cầu nội tại của mạng lưới Web3, nhưng do công chúng khó phân biệt được cấp độ an toàn của những giao thức này, làm cho rủi ro tiếp tục tích lũy.
Một số giải pháp chuỗi cross, đại diện là LayerZero, mặc dù thiết kế có vẻ đơn giản, nhưng tồn tại những rủi ro bảo mật tiềm ẩn. Cấu trúc cơ bản của nó được thực hiện bởi Relayer để thực hiện giao tiếp giữa các chuỗi, và Oracle giám sát. Thiết kế này loại bỏ việc xác thực đồng thuận của chuỗi thứ ba truyền thống, mang lại cho người dùng trải nghiệm "chuỗi cross nhanh chóng". Tuy nhiên, cấu trúc này ít nhất tồn tại hai vấn đề:
Đơn giản hóa xác thực nhiều nút thành xác thực Oracle đơn, giảm đáng kể hệ số an toàn.
Phải giả định rằng Relayer và Oracle là độc lập, và giả định niềm tin này khó có thể tồn tại lâu dài, thiếu tính bản địa của mã hóa.
Là một giải pháp chuỗi cross "siêu nhẹ", LayerZero chỉ chịu trách nhiệm về việc truyền tải thông điệp, không thể đảm bảo an toàn cho ứng dụng. Ngay cả khi mở Relayer để cho nhiều người tham gia hơn, cũng khó có thể giải quyết vấn đề trên một cách triệt để. Việc tăng số lượng chủ thể tin cậy không đồng nghĩa với việc phi tập trung, mà còn có thể gây ra những vấn đề mới.
Nếu một dự án token chuỗi cross sử dụng LayerZero cho phép sửa đổi cấu hình nút, kẻ tấn công có thể thay thế bằng nút do mình kiểm soát, giả mạo bất kỳ thông điệp nào. Rủi ro này sẽ nghiêm trọng hơn trong các tình huống phức tạp. LayerZero tự nó khó có thể giải quyết vấn đề này, và khi xảy ra sự cố an toàn, rất có thể sẽ đổ lỗi cho ứng dụng bên ngoài.
Trên thực tế, LayerZero không thể cung cấp tính bảo mật nhất quán cho các dự án sinh thái như Layer1 hoặc Layer2. Nó giống như một chuỗi cross (Middleware), chứ không phải là một cơ sở hạ tầng thực sự (Infrastructure). Các nhà phát triển truy cập SDK/API của nó cần tự định nghĩa chính sách bảo mật.
Có nhóm nghiên cứu chỉ ra rằng LayerZero tồn tại lỗ hổng nghiêm trọng, có thể dẫn đến việc tiền của người dùng bị đánh cắp. Những vấn đề này xuất phát từ giả định về sự tin cậy của chủ sở hữu ứng dụng và các thiết kế sai sót của bộ trung gian.
Quay ngược lại sách trắng Bitcoin, chúng ta có thể thấy rằng "tính đồng thuận của Satoshi Nakamoto" cốt lõi là để đạt được sự không cần tin tưởng (Trustless) và phi tập trung (Decentralized). Tuy nhiên, LayerZero yêu cầu tin tưởng vào Relayer, Oracle cũng như các nhà phát triển sử dụng nó để xây dựng ứng dụng, và toàn bộ quá trình chuỗi cross thiếu bằng chứng gian lận hoặc bằng chứng hiệu lực hiệu quả. Do đó, LayerZero thực sự không đáp ứng "tính đồng thuận của Satoshi Nakamoto", khó có thể được coi là một hệ thống thực sự phi tập trung và không cần tin tưởng.
Xây dựng giao thức chuỗi cross thực sự phi tập trung vẫn phải đối mặt với nhiều thách thức. Hướng phát triển trong tương lai có thể cần học hỏi từ các công nghệ tiên tiến như chứng minh không biết (zero-knowledge proof) để nâng cao tính bảo mật và độ tin cậy của giao thức. Chỉ khi nào đạt được bảo mật phi tập trung thực sự, giao thức chuỗi cross mới có thể phát huy vai trò của nó trong hệ sinh thái Web3.