Pembahasan Keamanan Protokol Cross-Chain: Studi Kasus LayerZero
Masalah keamanan protokol cross-chain semakin menonjol, pentingnya bahkan melebihi rencana penskalaan Ethereum. Dalam beberapa tahun terakhir, kerugian akibat insiden keamanan protokol cross-chain menduduki peringkat tertinggi di antara berbagai jenis insiden keamanan blockchain. Interoperabilitas antara protokol cross-chain adalah bagian yang tak terpisahkan dari ekosistem Web3, tetapi masyarakat kurang memahami tingkat keamanan protokol ini.
Sebagai contoh LayerZero, desain arsitekturnya tampak sederhana, tetapi sebenarnya ada risiko potensial. Protokol ini menggunakan Relayer untuk menjalankan komunikasi antar rantai, dan diawasi oleh Oracle. Desain ini menghilangkan proses kompleks yang diperlukan oleh solusi cross-chain tradisional yang melibatkan rantai ketiga untuk mencapai konsensus, memberikan pengguna pengalaman "cepat cross-chain". Namun, arsitektur ini setidaknya memiliki dua masalah utama:
Menyederhanakan verifikasi multi-node menjadi verifikasi Oracle tunggal, secara signifikan mengurangi faktor keamanan.
Misalkan Relayer dan Oracle saling independen, tetapi asumsi kepercayaan ini sulit dipertahankan dalam jangka panjang, tidak sesuai dengan filosofi asli kripto.
LayerZero sebagai solusi "super ringan" cross-chain hanya bertanggung jawab untuk pengiriman pesan, dan tidak bertanggung jawab atas keamanan aplikasi. Meskipun memungkinkan banyak pihak untuk menjalankan Relayer, hal ini tidak akan menyelesaikan masalah di atas secara fundamental. Menambah jumlah Relayer tidak sama dengan desentralisasi, paling-paling hanya mewujudkan akses tanpa izin.
Yang lebih perlu diperhatikan adalah bahwa desain LayerZero dapat menyebabkan ancaman keamanan yang serius. Jika suatu proyek yang menggunakan LayerZero mengizinkan modifikasi node konfigurasi, penyerang dapat memalsukan pesan dengan mengganti node tersebut dengan node yang mereka kendalikan. Risiko ini dapat memicu reaksi berantai dalam skenario yang kompleks, sementara LayerZero sendiri tidak memiliki kemampuan untuk menyelesaikan masalah ini.
Secara esensial, LayerZero lebih mirip sebagai middleware, bukan infrastruktur yang sebenarnya. Infrastruktur seharusnya memberikan keamanan yang konsisten untuk semua proyek dalam ekosistemnya, sementara LayerZero tidak dapat melakukan hal itu.
Beberapa tim penelitian telah menunjukkan adanya kerentanan keamanan di LayerZero. Misalnya, tim L2BEAT menemukan bahwa asumsi kepercayaan LayerZero memiliki masalah, di mana pelaku jahat dapat mencuri aset pengguna dengan mengontrol konfigurasi. Tim Nomad menunjukkan bahwa terdapat dua kerentanan kunci pada relayer LayerZero, yang dapat menyebabkan pengiriman pesan yang curang dan pesan yang dimanipulasi.
Merefleksikan buku putih Bitcoin, kita dapat melihat bahwa desentralisasi dan penghilangan kebutuhan untuk saling mempercayai adalah inti dari teknologi blockchain. Namun, desain LayerZero tampaknya menyimpang dari arah ini. Ini bergantung pada Relayer, Oracle, dan pengembang aplikasi sebagai pihak ketiga yang tepercaya, dan seluruh proses cross-chain tidak menghasilkan bukti penipuan atau bukti validitas.
Oleh karena itu, meskipun LayerZero mengklaim dirinya sebagai infrastruktur terdesentralisasi, pada kenyataannya ia tidak sepenuhnya memenuhi standar "konsensus Satoshi". Dalam desain saat ini, LayerZero sulit untuk mencapai keamanan terdesentralisasi yang sebenarnya.
Membangun protokol cross-chain yang benar-benar terdesentralisasi masih merupakan tantangan yang mendesak untuk diatasi. Arah pengembangan di masa depan mungkin perlu mempertimbangkan untuk memperkenalkan teknologi yang lebih canggih, seperti bukti nol pengetahuan, untuk meningkatkan keamanan dan tingkat desentralisasi protokol cross-chain. Hanya dengan mencapai keamanan desentralisasi yang sebenarnya, protokol cross-chain dapat memberikan dukungan infrastruktur yang andal untuk ekosistem Web3.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
14 Suka
Hadiah
14
6
Posting ulang
Bagikan
Komentar
0/400
OnChainDetective
· 08-06 05:10
menelusuri kerentanan lain... smh pada pengaturan satu-oracle ini. sangat dapat diprediksi.
Lihat AsliBalas0
ParallelChainMaxi
· 08-06 03:19
Yang mengerti pasti mengerti, layerzero masih belum aman sepenuhnya, kan?
Lihat AsliBalas0
GasBankrupter
· 08-04 07:32
Bencana Tambang lainnya telah tiba.
Lihat AsliBalas0
NotFinancialAdviser
· 08-04 07:32
Tidak optimis terhadap LZ, lagi-lagi牺牲安全性换速度的
Lihat AsliBalas0
UnluckyLemur
· 08-04 07:29
Cepat tidak sama dengan aman ya
Lihat AsliBalas0
DuckFluff
· 08-04 07:21
cross-chain hk telah membuat siapa pun mengalami kerugian besar
Diskusi Keamanan LayerZero: Dilema Kepercayaan dan Risiko Potensial Protokol Cross-chain
Pembahasan Keamanan Protokol Cross-Chain: Studi Kasus LayerZero
Masalah keamanan protokol cross-chain semakin menonjol, pentingnya bahkan melebihi rencana penskalaan Ethereum. Dalam beberapa tahun terakhir, kerugian akibat insiden keamanan protokol cross-chain menduduki peringkat tertinggi di antara berbagai jenis insiden keamanan blockchain. Interoperabilitas antara protokol cross-chain adalah bagian yang tak terpisahkan dari ekosistem Web3, tetapi masyarakat kurang memahami tingkat keamanan protokol ini.
Sebagai contoh LayerZero, desain arsitekturnya tampak sederhana, tetapi sebenarnya ada risiko potensial. Protokol ini menggunakan Relayer untuk menjalankan komunikasi antar rantai, dan diawasi oleh Oracle. Desain ini menghilangkan proses kompleks yang diperlukan oleh solusi cross-chain tradisional yang melibatkan rantai ketiga untuk mencapai konsensus, memberikan pengguna pengalaman "cepat cross-chain". Namun, arsitektur ini setidaknya memiliki dua masalah utama:
LayerZero sebagai solusi "super ringan" cross-chain hanya bertanggung jawab untuk pengiriman pesan, dan tidak bertanggung jawab atas keamanan aplikasi. Meskipun memungkinkan banyak pihak untuk menjalankan Relayer, hal ini tidak akan menyelesaikan masalah di atas secara fundamental. Menambah jumlah Relayer tidak sama dengan desentralisasi, paling-paling hanya mewujudkan akses tanpa izin.
Yang lebih perlu diperhatikan adalah bahwa desain LayerZero dapat menyebabkan ancaman keamanan yang serius. Jika suatu proyek yang menggunakan LayerZero mengizinkan modifikasi node konfigurasi, penyerang dapat memalsukan pesan dengan mengganti node tersebut dengan node yang mereka kendalikan. Risiko ini dapat memicu reaksi berantai dalam skenario yang kompleks, sementara LayerZero sendiri tidak memiliki kemampuan untuk menyelesaikan masalah ini.
Secara esensial, LayerZero lebih mirip sebagai middleware, bukan infrastruktur yang sebenarnya. Infrastruktur seharusnya memberikan keamanan yang konsisten untuk semua proyek dalam ekosistemnya, sementara LayerZero tidak dapat melakukan hal itu.
Beberapa tim penelitian telah menunjukkan adanya kerentanan keamanan di LayerZero. Misalnya, tim L2BEAT menemukan bahwa asumsi kepercayaan LayerZero memiliki masalah, di mana pelaku jahat dapat mencuri aset pengguna dengan mengontrol konfigurasi. Tim Nomad menunjukkan bahwa terdapat dua kerentanan kunci pada relayer LayerZero, yang dapat menyebabkan pengiriman pesan yang curang dan pesan yang dimanipulasi.
Merefleksikan buku putih Bitcoin, kita dapat melihat bahwa desentralisasi dan penghilangan kebutuhan untuk saling mempercayai adalah inti dari teknologi blockchain. Namun, desain LayerZero tampaknya menyimpang dari arah ini. Ini bergantung pada Relayer, Oracle, dan pengembang aplikasi sebagai pihak ketiga yang tepercaya, dan seluruh proses cross-chain tidak menghasilkan bukti penipuan atau bukti validitas.
Oleh karena itu, meskipun LayerZero mengklaim dirinya sebagai infrastruktur terdesentralisasi, pada kenyataannya ia tidak sepenuhnya memenuhi standar "konsensus Satoshi". Dalam desain saat ini, LayerZero sulit untuk mencapai keamanan terdesentralisasi yang sebenarnya.
Membangun protokol cross-chain yang benar-benar terdesentralisasi masih merupakan tantangan yang mendesak untuk diatasi. Arah pengembangan di masa depan mungkin perlu mempertimbangkan untuk memperkenalkan teknologi yang lebih canggih, seperti bukti nol pengetahuan, untuk meningkatkan keamanan dan tingkat desentralisasi protokol cross-chain. Hanya dengan mencapai keamanan desentralisasi yang sebenarnya, protokol cross-chain dapat memberikan dukungan infrastruktur yang andal untuk ekosistem Web3.