Безпека крос-ланцюгового протоколу: Аналіз випадку LayerZero
У сфері Web3 проблема безпеки крос-ланцюгових протоколів стає все більш помітною. У останні роки збитки від інцидентів безпеки, пов'язаних із крос-ланцюговими протоколами, займають перше місце, а їх важливість навіть перевищує плани розширення Ethereum. Крос-ланцюгова взаємодія є ключовою вимогою екосистеми Web3, але наразі суспільство не має здатності розпізнавати рівні безпеки різних крос-ланцюгових протоколів.
Візьмемо LayerZero як приклад, його архітектура виглядає простою, але насправді має потенційні ризики. LayerZero використовує Relayer для виконання міжланцюгової комунікації, Oracle відповідає за нагляд, що виключає традиційну третю ланцюгову верифікацію консенсусу, пропонуючи користувачам "швидкий крос-ланцюг" досвід. Однак, такий дизайн має принаймні дві проблеми:
Спростили багатоузлову верифікацію до одиничної верифікації Oracle, що значно знизило рівень безпеки.
Припустимо, що Relayer і Oracle завжди незалежні, ігноруючи потенційний ризик змови.
LayerZero як "суперлегке" крос-ланцюгове рішення, тільки відповідає за передачу повідомлень, не може забезпечити всебічну безпеку для застосунків. Навіть якщо відкрити доступ до Relayer, збільшивши кількість учасників, важко в корені вирішити проблему безпеки. Це рішення в своїй суті все ще залежить від надійних третіх сторін, що суперечить децентралізованій та бездокументній концепції.
Крім того, застосунки в екосистемі LayerZero, які дозволяють змінювати конфігурацію вузлів, можуть бути використані зловмисниками для заміни на шкідливі вузли, що створює серйозні загрози безпеці. LayerZero важко надати єдину безпеку для всієї екосистеми, скоріше це схоже на посередницьке програмне забезпечення, а не на інфраструктуру.
Кілька дослідницьких команд вказали на потенційні вразливості LayerZero. Наприклад, зловмисник, отримавши права конфігурації, може змінити Oracle та Relayer, що призведе до крадіжки активів користувачів. Ставлення команди LayerZero до цих запитань викликає сумніви.
Оглядаючись на білу книгу Bitcoin, децентралізація та відсутність довіри є основними ідеями криптовалюти. Справжній децентралізований крос-ланцюговий протокол повинен дотримуватися цього принципу, уникаючи залучення довірених третіх осіб. Хоча LayerZero називає себе децентралізованою інфраструктурою, його дизайн все ще потребує довіри користувачів до кількох ролей і не має ефективного механізму доказу шахрайства в ланцюзі.
Будівництво справжнього децентралізованого, безпечного крос-ланцюгового протоколу досі стикається з викликами. Майбутні можливі напрямки включають впровадження нульових знань та інших передових криптографічних технологій для підвищення безпеки при збереженні продуктивності. Незалежно від обсягу фінансування та бази користувачів, лише справжній децентралізований безпечний протокол зможе залишитися непереможеним у довгостроковій перспективі.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
14 лайків
Нагородити
14
5
Репост
Поділіться
Прокоментувати
0/400
TxFailed
· 4год тому
навчився цьому важким шляхом... spof оракула - класичний міст, що чекає на руйнування
Переглянути оригіналвідповісти на0
FloorPriceWatcher
· 4год тому
Знову надійшло попередження про безпеку
Переглянути оригіналвідповісти на0
MissedAirdropAgain
· 4год тому
Крос-ланцюг безпека дійсно важка... Потрібно видобути трохи монет і протриматися.
Аналіз архітектури LayerZero Безпека крос-ланцюгового протоколу викликає роздуми
Безпека крос-ланцюгового протоколу: Аналіз випадку LayerZero
У сфері Web3 проблема безпеки крос-ланцюгових протоколів стає все більш помітною. У останні роки збитки від інцидентів безпеки, пов'язаних із крос-ланцюговими протоколами, займають перше місце, а їх важливість навіть перевищує плани розширення Ethereum. Крос-ланцюгова взаємодія є ключовою вимогою екосистеми Web3, але наразі суспільство не має здатності розпізнавати рівні безпеки різних крос-ланцюгових протоколів.
Візьмемо LayerZero як приклад, його архітектура виглядає простою, але насправді має потенційні ризики. LayerZero використовує Relayer для виконання міжланцюгової комунікації, Oracle відповідає за нагляд, що виключає традиційну третю ланцюгову верифікацію консенсусу, пропонуючи користувачам "швидкий крос-ланцюг" досвід. Однак, такий дизайн має принаймні дві проблеми:
Спростили багатоузлову верифікацію до одиничної верифікації Oracle, що значно знизило рівень безпеки.
Припустимо, що Relayer і Oracle завжди незалежні, ігноруючи потенційний ризик змови.
LayerZero як "суперлегке" крос-ланцюгове рішення, тільки відповідає за передачу повідомлень, не може забезпечити всебічну безпеку для застосунків. Навіть якщо відкрити доступ до Relayer, збільшивши кількість учасників, важко в корені вирішити проблему безпеки. Це рішення в своїй суті все ще залежить від надійних третіх сторін, що суперечить децентралізованій та бездокументній концепції.
Крім того, застосунки в екосистемі LayerZero, які дозволяють змінювати конфігурацію вузлів, можуть бути використані зловмисниками для заміни на шкідливі вузли, що створює серйозні загрози безпеці. LayerZero важко надати єдину безпеку для всієї екосистеми, скоріше це схоже на посередницьке програмне забезпечення, а не на інфраструктуру.
Кілька дослідницьких команд вказали на потенційні вразливості LayerZero. Наприклад, зловмисник, отримавши права конфігурації, може змінити Oracle та Relayer, що призведе до крадіжки активів користувачів. Ставлення команди LayerZero до цих запитань викликає сумніви.
Оглядаючись на білу книгу Bitcoin, децентралізація та відсутність довіри є основними ідеями криптовалюти. Справжній децентралізований крос-ланцюговий протокол повинен дотримуватися цього принципу, уникаючи залучення довірених третіх осіб. Хоча LayerZero називає себе децентралізованою інфраструктурою, його дизайн все ще потребує довіри користувачів до кількох ролей і не має ефективного механізму доказу шахрайства в ланцюзі.
Будівництво справжнього децентралізованого, безпечного крос-ланцюгового протоколу досі стикається з викликами. Майбутні можливі напрямки включають впровадження нульових знань та інших передових криптографічних технологій для підвищення безпеки при збереженні продуктивності. Незалежно від обсягу фінансування та бази користувачів, лише справжній децентралізований безпечний протокол зможе залишитися непереможеним у довгостроковій перспективі.