Обсуждение безопасности кросс-чейн протоколов: на примере LayerZero
Проблема безопасности кросс-чейн протоколов становится все более актуальной, их важность даже превышает важность решений по масштабированию Ethereum. В последние годы убытки от инцидентов безопасности кросс-чейн протоколов занимают первое место среди различных инцидентов безопасности в блокчейне. Взаимодействие между кросс-чейн протоколами является неотъемлемой частью экосистемы Web3, но общественность не обладает достаточным пониманием уровня безопасности этих протоколов.
Примером является LayerZero, архитектурный дизайн которого кажется простым, но на самом деле содержит потенциальные риски. Этот Протокол использует Relayer для выполнения кросс-чейн связи и контролируется Oracle. Такой дизайн исключает сложный процесс достижения консенсуса, требуемый в традиционных кросс-чейн решениях, предоставляя пользователям опыт "быстрого кросс-чейн". Однако такая архитектура имеет как минимум два основных проблемы:
Упрощение многопоточной проверки до единой проверки Oracle значительно снижает уровень безопасности.
Предположим, что Relayer и Oracle независимы друг от друга, но такая доверительная гипотеза сложно поддерживать в долгосрочной перспективе, что противоречит крипто-родной идее.
LayerZero как "суперлегкое" кросс-чейн решение отвечает только за передачу сообщений и не несет ответственности за безопасность приложений. Даже если разрешить нескольким сторонам запускать Relayer, это не решит приведенные выше проблемы. Увеличение количества Relayer не является равносильным децентрализации, в лучшем случае это всего лишь реализует доступ без разрешений.
Более того, стоит обратить внимание на то, что дизайн LayerZero может привести к серьезным проблемам с безопасностью. Если какой-либо проект, использующий LayerZero, позволяет изменять конфигурационные узлы, злоумышленник может подменить их на узлы, которые он контролирует, чтобы подделать сообщения. Этот риск в сложных сценариях может вызвать цепную реакцию, в то время как сам LayerZero не имеет возможности решить эту проблему.
По сути, LayerZero больше похож на промежуточное ПО (Middleware), чем на настоящую инфраструктуру (Infrastructure). Инфраструктура должна обеспечивать единый уровень безопасности для всех проектов в своей экосистеме, а LayerZero не может этого сделать.
Несколько исследовательских групп уже указали на существующие уязвимости безопасности LayerZero. Например, команда L2BEAT обнаружила проблемы в предположениях о доверии LayerZero, злоумышленники могут украсть активы пользователей, контролируя конфигурацию. Команда Nomad указала на два ключевых уязвимости в реле LayerZero, которые могут привести к отправке мошеннических сообщений и модификации сообщений.
Оглядев белую книгу Биткойна, мы можем увидеть, что децентрализация и доверие являются основными концепциями технологии блокчейн. Однако дизайн LayerZero, похоже, отклоняется от этого направления. Он полагается на Relayer, Oracle и разработчиков приложений в качестве доверенных третьих сторон, и в процессе кросс-чейн не генерируется никаких доказательств мошенничества или доказательств действительности.
Таким образом, несмотря на то что LayerZero утверждает, что является децентрализованной инфраструктурой, на самом деле она не полностью соответствует стандартам "консенсуса Сатоши". В текущем дизайне LayerZero трудно достичь истинной децентрализованной безопасности.
Создание действительно децентрализованного кросс-чейн протокола по-прежнему является неотложной задачей. Будущие направления развития могут потребовать рассмотрения внедрения более современных технологий, таких как нулевые знания, чтобы повысить безопасность и уровень децентрализации кросс-чейн протоколов. Только на основе достижения истинной децентрализованной безопасности кросс-чейн протоколы могут предоставить надежную инфраструктурную поддержку для экосистемы Web3.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
14 Лайков
Награда
14
6
Репост
Поделиться
комментарий
0/400
OnChainDetective
· 08-06 05:10
обнаружена еще одна уязвимость... смеюсь над этими однородными оракульными настройками. так предсказуемо.
Посмотреть ОригиналОтветить0
ParallelChainMaxi
· 08-06 03:19
Понимающие понимают, что layerzero все еще не безопасен, верно?
Посмотреть ОригиналОтветить0
GasBankrupter
· 08-04 07:32
Еще одно место катастрофы майнинга.
Посмотреть ОригиналОтветить0
NotFinancialAdviser
· 08-04 07:32
Не верю в LZ, еще одна жертва безопасности ради скорости.
Посмотреть ОригиналОтветить0
UnluckyLemur
· 08-04 07:29
Быстро не означает безопасно.
Посмотреть ОригиналОтветить0
DuckFluff
· 08-04 07:21
кросс-чейнhk了 кто-то еще потеряет все свои средства
Обсуждение безопасности LayerZero: доверие и потенциальные риски кросс-чейн протоколов
Обсуждение безопасности кросс-чейн протоколов: на примере LayerZero
Проблема безопасности кросс-чейн протоколов становится все более актуальной, их важность даже превышает важность решений по масштабированию Ethereum. В последние годы убытки от инцидентов безопасности кросс-чейн протоколов занимают первое место среди различных инцидентов безопасности в блокчейне. Взаимодействие между кросс-чейн протоколами является неотъемлемой частью экосистемы Web3, но общественность не обладает достаточным пониманием уровня безопасности этих протоколов.
Примером является LayerZero, архитектурный дизайн которого кажется простым, но на самом деле содержит потенциальные риски. Этот Протокол использует Relayer для выполнения кросс-чейн связи и контролируется Oracle. Такой дизайн исключает сложный процесс достижения консенсуса, требуемый в традиционных кросс-чейн решениях, предоставляя пользователям опыт "быстрого кросс-чейн". Однако такая архитектура имеет как минимум два основных проблемы:
LayerZero как "суперлегкое" кросс-чейн решение отвечает только за передачу сообщений и не несет ответственности за безопасность приложений. Даже если разрешить нескольким сторонам запускать Relayer, это не решит приведенные выше проблемы. Увеличение количества Relayer не является равносильным децентрализации, в лучшем случае это всего лишь реализует доступ без разрешений.
Более того, стоит обратить внимание на то, что дизайн LayerZero может привести к серьезным проблемам с безопасностью. Если какой-либо проект, использующий LayerZero, позволяет изменять конфигурационные узлы, злоумышленник может подменить их на узлы, которые он контролирует, чтобы подделать сообщения. Этот риск в сложных сценариях может вызвать цепную реакцию, в то время как сам LayerZero не имеет возможности решить эту проблему.
По сути, LayerZero больше похож на промежуточное ПО (Middleware), чем на настоящую инфраструктуру (Infrastructure). Инфраструктура должна обеспечивать единый уровень безопасности для всех проектов в своей экосистеме, а LayerZero не может этого сделать.
Несколько исследовательских групп уже указали на существующие уязвимости безопасности LayerZero. Например, команда L2BEAT обнаружила проблемы в предположениях о доверии LayerZero, злоумышленники могут украсть активы пользователей, контролируя конфигурацию. Команда Nomad указала на два ключевых уязвимости в реле LayerZero, которые могут привести к отправке мошеннических сообщений и модификации сообщений.
Оглядев белую книгу Биткойна, мы можем увидеть, что децентрализация и доверие являются основными концепциями технологии блокчейн. Однако дизайн LayerZero, похоже, отклоняется от этого направления. Он полагается на Relayer, Oracle и разработчиков приложений в качестве доверенных третьих сторон, и в процессе кросс-чейн не генерируется никаких доказательств мошенничества или доказательств действительности.
Таким образом, несмотря на то что LayerZero утверждает, что является децентрализованной инфраструктурой, на самом деле она не полностью соответствует стандартам "консенсуса Сатоши". В текущем дизайне LayerZero трудно достичь истинной децентрализованной безопасности.
Создание действительно децентрализованного кросс-чейн протокола по-прежнему является неотложной задачей. Будущие направления развития могут потребовать рассмотрения внедрения более современных технологий, таких как нулевые знания, чтобы повысить безопасность и уровень децентрализации кросс-чейн протоколов. Только на основе достижения истинной децентрализованной безопасности кросс-чейн протоколы могут предоставить надежную инфраструктурную поддержку для экосистемы Web3.