Обговорення безпеки крос-ланцюг протоколу: на прикладі LayerZero
Проблема безпеки крос-ланцюгових протоколів стає все більш актуальною, і її важливість навіть перевищує рішення щодо масштабування Ethereum. У останні роки збитки від інцидентів безпеки крос-ланцюгових протоколів займають перше місце серед усіх видів інцидентів безпеки в блокчейні. Взаємодія між крос-ланцюговими протоколами є невід'ємною частиною екосистеми Web3, але суспільство недостатньо усвідомлює рівень безпеки цих протоколів.
Як приклад LayerZero, його архітектурний дизайн виглядає простим, але насправді має потенційні ризики. Цей протокол використовує Relayer для виконання міжланцюгового зв'язку, а Oracle здійснює нагляд. Такий дизайн усуває складний процес досягнення консенсусу, необхідний у традиційних крос-ланцюгових рішеннях, забезпечуючи користувачам "швидкий крос-ланцюг" досвід. Проте ця архітектура має, принаймні, дві основні проблеми:
Спростити багатонодову верифікацію до єдиної верифікації Oracle, що значно знижує рівень безпеки.
Припустимо, що Relayer і Oracle є незалежними, але така довірча гіпотеза важко підтримується в довгостроковій перспективі і не відповідає крипто-нативній ідеї.
LayerZero як "суперлегкий" крос-ланцюг рішень, відповідає лише за передачу повідомлень, не беручи на себе відповідальність за безпеку додатків. Навіть якщо дозволити кільком сторонам працювати Relayer, це не вирішить вказані проблеми з принципового боку. Збільшення кількості Relayer не є рівнозначним децентралізації, в кращому випадку це просто реалізація доступу без дозволу.
Більш важливим є те, що дизайн LayerZero може призвести до серйозних проблем безпеки. Якщо проект, що використовує LayerZero, дозволяє змінювати конфігураційні вузли, зловмисник може підмінити їх на вузли, які він контролює, щоб підробити повідомлення. Цей ризик у складних ситуаціях може викликати ланцюгову реакцію, а сам LayerZero не має можливості вирішити цю проблему.
По суті, LayerZero більше схожий на проміжне програмне забезпечення (Middleware), а не на справжню інфраструктуру (Infrastructure). Інфраструктура повинна забезпечувати однакову безпеку для всіх проєктів у своїй екосистемі, але LayerZero не може цього зробити.
Багато дослідницьких команд вже вказали на існуючі у LayerZero вразливості безпеки. Наприклад, команда L2BEAT виявила проблеми з довірчими припущеннями LayerZero, зловмисники можуть вкрасти активи користувачів, контролюючи конфігурацію. Команда Nomad зазначила, що в LayerZero є два ключові вразливості в реле, які можуть призвести до надсилання шахрайських повідомлень та їх підміни.
Оглядаючи білоруський документ про біткойн, ми можемо побачити, що децентралізація та деструктуризація є основними концепціями технології блокчейн. Однак, дизайн LayerZero, здається, відхиляється від цього напрямку. Він залежить від Relayer, Oracle та розробників застосунків як надійних третіх сторін, і протягом всього процесу крос-ланцюга не генерується жодних доказів шахрайства чи доказів дійсності.
Отже, хоча LayerZero стверджує, що є децентралізованою інфраструктурою, насправді він не зовсім відповідає стандартам "консенсусу Сатоші". У поточному дизайні LayerZero важко досягти справжньої децентралізованої безпеки.
Будівництво справжнього децентралізованого крос-ланцюгового протоколу все ще є терміновим викликом. Майбутні напрямки розвитку можуть вимагати врахування впровадження більш передових технологій, таких як нульові знання, для підвищення безпеки та рівня децентралізації крос-ланцюгового протоколу. Лише на основі досягнення справжньої децентралізованої безпеки крос-ланцюговий протокол зможе надати надійну інфраструктурну підтримку екосистемі Web3.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
14 лайків
Нагородити
14
6
Репост
Поділіться
Прокоментувати
0/400
OnChainDetective
· 08-06 05:10
виявлено ще одну вразливість... смх на ці однокомп'ютерні налаштування. так передбачувано.
Переглянути оригіналвідповісти на0
ParallelChainMaxi
· 08-06 03:19
Ті, хто розуміє, розуміють, що layerzero все ще не в безпеці.
Переглянути оригіналвідповісти на0
GasBankrupter
· 08-04 07:32
Ще одне місце катастрофи майнінгу прибуло
Переглянути оригіналвідповісти на0
NotFinancialAdviser
· 08-04 07:32
Не вірю в LZ, ще одна жертва безпеки заради швидкості.
Переглянути оригіналвідповісти на0
UnluckyLemur
· 08-04 07:29
Швидкість не дорівнює безпеці.
Переглянути оригіналвідповісти на0
DuckFluff
· 08-04 07:21
крос-ланцюг hk 了 хто знову хоче залишитися без грошей
Обговорення безпеки LayerZero: довірчі проблеми та потенційні ризики крос-ланцюгового протоколу
Обговорення безпеки крос-ланцюг протоколу: на прикладі LayerZero
Проблема безпеки крос-ланцюгових протоколів стає все більш актуальною, і її важливість навіть перевищує рішення щодо масштабування Ethereum. У останні роки збитки від інцидентів безпеки крос-ланцюгових протоколів займають перше місце серед усіх видів інцидентів безпеки в блокчейні. Взаємодія між крос-ланцюговими протоколами є невід'ємною частиною екосистеми Web3, але суспільство недостатньо усвідомлює рівень безпеки цих протоколів.
Як приклад LayerZero, його архітектурний дизайн виглядає простим, але насправді має потенційні ризики. Цей протокол використовує Relayer для виконання міжланцюгового зв'язку, а Oracle здійснює нагляд. Такий дизайн усуває складний процес досягнення консенсусу, необхідний у традиційних крос-ланцюгових рішеннях, забезпечуючи користувачам "швидкий крос-ланцюг" досвід. Проте ця архітектура має, принаймні, дві основні проблеми:
LayerZero як "суперлегкий" крос-ланцюг рішень, відповідає лише за передачу повідомлень, не беручи на себе відповідальність за безпеку додатків. Навіть якщо дозволити кільком сторонам працювати Relayer, це не вирішить вказані проблеми з принципового боку. Збільшення кількості Relayer не є рівнозначним децентралізації, в кращому випадку це просто реалізація доступу без дозволу.
Більш важливим є те, що дизайн LayerZero може призвести до серйозних проблем безпеки. Якщо проект, що використовує LayerZero, дозволяє змінювати конфігураційні вузли, зловмисник може підмінити їх на вузли, які він контролює, щоб підробити повідомлення. Цей ризик у складних ситуаціях може викликати ланцюгову реакцію, а сам LayerZero не має можливості вирішити цю проблему.
По суті, LayerZero більше схожий на проміжне програмне забезпечення (Middleware), а не на справжню інфраструктуру (Infrastructure). Інфраструктура повинна забезпечувати однакову безпеку для всіх проєктів у своїй екосистемі, але LayerZero не може цього зробити.
Багато дослідницьких команд вже вказали на існуючі у LayerZero вразливості безпеки. Наприклад, команда L2BEAT виявила проблеми з довірчими припущеннями LayerZero, зловмисники можуть вкрасти активи користувачів, контролюючи конфігурацію. Команда Nomad зазначила, що в LayerZero є два ключові вразливості в реле, які можуть призвести до надсилання шахрайських повідомлень та їх підміни.
Оглядаючи білоруський документ про біткойн, ми можемо побачити, що децентралізація та деструктуризація є основними концепціями технології блокчейн. Однак, дизайн LayerZero, здається, відхиляється від цього напрямку. Він залежить від Relayer, Oracle та розробників застосунків як надійних третіх сторін, і протягом всього процесу крос-ланцюга не генерується жодних доказів шахрайства чи доказів дійсності.
Отже, хоча LayerZero стверджує, що є децентралізованою інфраструктурою, насправді він не зовсім відповідає стандартам "консенсусу Сатоші". У поточному дизайні LayerZero важко досягти справжньої децентралізованої безпеки.
Будівництво справжнього децентралізованого крос-ланцюгового протоколу все ще є терміновим викликом. Майбутні напрямки розвитку можуть вимагати врахування впровадження більш передових технологій, таких як нульові знання, для підвищення безпеки та рівня децентралізації крос-ланцюгового протоколу. Лише на основі досягнення справжньої децентралізованої безпеки крос-ланцюговий протокол зможе надати надійну інфраструктурну підтримку екосистемі Web3.