Thảo luận về độ an toàn của giao thức chuỗi cross: Lấy LayerZero làm ví dụ
Vấn đề an ninh của giao thức chuỗi cross ngày càng nổi bật, tầm quan trọng của nó thậm chí còn vượt qua các phương án mở rộng Ethereum. Trong những năm gần đây, thiệt hại do các sự cố an ninh của giao thức chuỗi cross đứng đầu trong các sự kiện an ninh blockchain. Tính tương tác giữa các giao thức chuỗi cross là một phần thiết yếu trong hệ sinh thái Web3, nhưng công chúng lại thiếu nhận thức đủ về cấp độ an ninh của những giao thức này.
Lấy LayerZero làm ví dụ, thiết kế kiến trúc của nó có vẻ đơn giản, nhưng thực tế có những rủi ro tiềm ẩn. Giao thức này sử dụng Relayer để thực hiện giao tiếp giữa các chuỗi, và được giám sát bởi Oracle. Thiết kế này loại bỏ quy trình phức tạp cần có chuỗi thứ ba để hoàn thành sự đồng thuận trong các giải pháp chuỗi cross truyền thống, mang lại cho người dùng trải nghiệm "chuỗi cross nhanh chóng". Tuy nhiên, kiến trúc này ít nhất có hai vấn đề chính:
Đã đơn giản hóa xác thực nhiều nút thành xác thực Oracle duy nhất, giảm đáng kể hệ số an ninh.
Giả sử Relayer và Oracle độc lập với nhau, nhưng giả định tin cậy này khó có thể duy trì lâu dài, không phù hợp với triết lý bản địa của tiền mã hóa.
LayerZero như một giải pháp "siêu nhẹ" chuỗi cross, chỉ chịu trách nhiệm về việc truyền tải tin nhắn, mà không đảm bảo an toàn cho ứng dụng. Mặc dù cho phép nhiều bên vận hành Relayer, nhưng cũng không thể giải quyết triệt để vấn đề nêu trên. Việc tăng số lượng Relayer không đồng nghĩa với việc phi tập trung, mà tối đa chỉ đạt được việc truy cập không cần giấy phép.
Điều đáng chú ý hơn là thiết kế của LayerZero có thể dẫn đến những rủi ro an ninh nghiêm trọng. Nếu một dự án sử dụng LayerZero cho phép sửa đổi các nút cấu hình, kẻ tấn công có thể thay thế bằng các nút mà họ kiểm soát để giả mạo tin nhắn. Rủi ro này có thể gây ra hiệu ứng domino trong các tình huống phức tạp, trong khi LayerZero bản thân không có khả năng giải quyết vấn đề này.
Về bản chất, LayerZero giống như một phần mềm trung gian (Middleware), thay vì là một cơ sở hạ tầng thực sự (Infrastructure). Cơ sở hạ tầng nên cung cấp tính bảo mật nhất quán cho tất cả các dự án trong hệ sinh thái của nó, trong khi LayerZero không thể làm được điều đó.
Nhiều nhóm nghiên cứu đã chỉ ra lỗ hổng bảo mật tồn tại trong LayerZero. Chẳng hạn, nhóm L2BEAT phát hiện ra rằng giả định tin cậy của LayerZero có vấn đề, kẻ xấu có thể đánh cắp tài sản của người dùng bằng cách kiểm soát cấu hình. Nhóm Nomad chỉ ra rằng các trình trung gian của LayerZero có hai lỗ hổng chính, có thể dẫn đến việc gửi tin nhắn giả mạo và tin nhắn bị giả mạo.
Nhìn lại sách trắng của Bitcoin, chúng ta có thể thấy rằng phi tập trung và không cần tin tưởng là những nguyên tắc cốt lõi của công nghệ chuỗi khối. Tuy nhiên, thiết kế của LayerZero dường như đã đi lệch hướng này. Nó dựa vào Relayer, Oracle và các nhà phát triển ứng dụng như là bên thứ ba đáng tin cậy, và toàn bộ quá trình chuỗi cross không tạo ra bất kỳ bằng chứng gian lận hoặc bằng chứng hiệu lực nào.
Vì vậy, mặc dù LayerZero tuyên bố rằng mình là cơ sở hạ tầng phi tập trung, nhưng thực tế nó không hoàn toàn đáp ứng tiêu chuẩn của "consensus Satoshi". Dưới thiết kế hiện tại, LayerZero khó có thể đạt được độ an toàn phi tập trung thực sự.
Xây dựng một giao thức chuỗi cross thực sự phi tập trung vẫn là một thách thức cần phải giải quyết. Hướng phát triển trong tương lai có thể cần xem xét việc đưa vào các công nghệ tiên tiến hơn, chẳng hạn như bằng chứng không kiến thức, để nâng cao tính bảo mật và mức độ phi tập trung của giao thức chuỗi cross. Chỉ khi đạt được tính bảo mật phi tập trung thực sự, giao thức chuỗi cross mới có thể cung cấp hỗ trợ cơ sở hạ tầng đáng tin cậy cho hệ sinh thái Web3.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
14 thích
Phần thưởng
14
6
Đăng lại
Chia sẻ
Bình luận
0/400
OnChainDetective
· 08-06 05:10
phát hiện thêm một lỗ hổng... thật tiếc cho những hệ thống chỉ có một oracle. thật dễ đoán.
Xem bản gốcTrả lời0
ParallelChainMaxi
· 08-06 03:19
Những ai hiểu thì hiểu, layerzero vẫn chưa an toàn đúng không?
Xem bản gốcTrả lời0
GasBankrupter
· 08-04 07:32
又 một thảm họa mỏ xảy ra
Xem bản gốcTrả lời0
NotFinancialAdviser
· 08-04 07:32
Không đánh giá cao LZ, lại một cái nữa hy sinh an toàn để đổi lấy tốc độ.
Thảo luận về an ninh LayerZero: Cuộc khủng hoảng niềm tin và rủi ro tiềm ẩn của giao thức chuỗi cross
Thảo luận về độ an toàn của giao thức chuỗi cross: Lấy LayerZero làm ví dụ
Vấn đề an ninh của giao thức chuỗi cross ngày càng nổi bật, tầm quan trọng của nó thậm chí còn vượt qua các phương án mở rộng Ethereum. Trong những năm gần đây, thiệt hại do các sự cố an ninh của giao thức chuỗi cross đứng đầu trong các sự kiện an ninh blockchain. Tính tương tác giữa các giao thức chuỗi cross là một phần thiết yếu trong hệ sinh thái Web3, nhưng công chúng lại thiếu nhận thức đủ về cấp độ an ninh của những giao thức này.
Lấy LayerZero làm ví dụ, thiết kế kiến trúc của nó có vẻ đơn giản, nhưng thực tế có những rủi ro tiềm ẩn. Giao thức này sử dụng Relayer để thực hiện giao tiếp giữa các chuỗi, và được giám sát bởi Oracle. Thiết kế này loại bỏ quy trình phức tạp cần có chuỗi thứ ba để hoàn thành sự đồng thuận trong các giải pháp chuỗi cross truyền thống, mang lại cho người dùng trải nghiệm "chuỗi cross nhanh chóng". Tuy nhiên, kiến trúc này ít nhất có hai vấn đề chính:
LayerZero như một giải pháp "siêu nhẹ" chuỗi cross, chỉ chịu trách nhiệm về việc truyền tải tin nhắn, mà không đảm bảo an toàn cho ứng dụng. Mặc dù cho phép nhiều bên vận hành Relayer, nhưng cũng không thể giải quyết triệt để vấn đề nêu trên. Việc tăng số lượng Relayer không đồng nghĩa với việc phi tập trung, mà tối đa chỉ đạt được việc truy cập không cần giấy phép.
Điều đáng chú ý hơn là thiết kế của LayerZero có thể dẫn đến những rủi ro an ninh nghiêm trọng. Nếu một dự án sử dụng LayerZero cho phép sửa đổi các nút cấu hình, kẻ tấn công có thể thay thế bằng các nút mà họ kiểm soát để giả mạo tin nhắn. Rủi ro này có thể gây ra hiệu ứng domino trong các tình huống phức tạp, trong khi LayerZero bản thân không có khả năng giải quyết vấn đề này.
Về bản chất, LayerZero giống như một phần mềm trung gian (Middleware), thay vì là một cơ sở hạ tầng thực sự (Infrastructure). Cơ sở hạ tầng nên cung cấp tính bảo mật nhất quán cho tất cả các dự án trong hệ sinh thái của nó, trong khi LayerZero không thể làm được điều đó.
Nhiều nhóm nghiên cứu đã chỉ ra lỗ hổng bảo mật tồn tại trong LayerZero. Chẳng hạn, nhóm L2BEAT phát hiện ra rằng giả định tin cậy của LayerZero có vấn đề, kẻ xấu có thể đánh cắp tài sản của người dùng bằng cách kiểm soát cấu hình. Nhóm Nomad chỉ ra rằng các trình trung gian của LayerZero có hai lỗ hổng chính, có thể dẫn đến việc gửi tin nhắn giả mạo và tin nhắn bị giả mạo.
Nhìn lại sách trắng của Bitcoin, chúng ta có thể thấy rằng phi tập trung và không cần tin tưởng là những nguyên tắc cốt lõi của công nghệ chuỗi khối. Tuy nhiên, thiết kế của LayerZero dường như đã đi lệch hướng này. Nó dựa vào Relayer, Oracle và các nhà phát triển ứng dụng như là bên thứ ba đáng tin cậy, và toàn bộ quá trình chuỗi cross không tạo ra bất kỳ bằng chứng gian lận hoặc bằng chứng hiệu lực nào.
Vì vậy, mặc dù LayerZero tuyên bố rằng mình là cơ sở hạ tầng phi tập trung, nhưng thực tế nó không hoàn toàn đáp ứng tiêu chuẩn của "consensus Satoshi". Dưới thiết kế hiện tại, LayerZero khó có thể đạt được độ an toàn phi tập trung thực sự.
Xây dựng một giao thức chuỗi cross thực sự phi tập trung vẫn là một thách thức cần phải giải quyết. Hướng phát triển trong tương lai có thể cần xem xét việc đưa vào các công nghệ tiên tiến hơn, chẳng hạn như bằng chứng không kiến thức, để nâng cao tính bảo mật và mức độ phi tập trung của giao thức chuỗi cross. Chỉ khi đạt được tính bảo mật phi tập trung thực sự, giao thức chuỗi cross mới có thể cung cấp hỗ trợ cơ sở hạ tầng đáng tin cậy cho hệ sinh thái Web3.