Безпекові ризики та виклики децентралізації протоколу крос-ланцюга LayerZero

Виклики безпеки крос-ланцюгового протоколу та обмеження LayerZero

В останні роки безпекові інциденти крос-ланцюгових протоколів трапляються часто, завдаючи величезних збитків, які навіть перевищують проблеми, пов'язані з рішеннями щодо масштабування Ethereum. Це підкреслює важливість та терміновість вирішення проблеми безпеки крос-ланцюгових протоколів. Проте, через обмежене розуміння цих протоколів серед широкої аудиторії, важко точно оцінити їх рівень безпеки.

Серед численних рішень для крос-ланцюгів LayerZero використовує, здавалося б, просту архітектурну концепцію. Він виконує міжланцюгову комунікацію через Relayer і контролюється Oracle. Такий дизайн усуває традиційний процес консенсусу третього ланцюга, надаючи користувачам швидкий крос-ланцюговий досвід. Проте така спрощена архітектура також несе в собі потенційні ризики безпеки.

Чому LayerZero вважається псевдодецентралізованим крос-ланцюговим протоколом?

По-перше, LayerZero спростив верифікацію з кількох вузлів до єдиної верифікації Oracle, що значно знизило рівень безпеки. По-друге, ця модель базується на припущенні про незалежність Relayer і Oracle, але це припущення довіри важко підтримувати вічно, що суперечить крипто-нативній ідеї та не може принципово запобігти змовам.

Є думка, що відкритий доступ до Relayer може вирішити ці проблеми. Проте, збільшення кількості операторів не є еквівалентом децентралізації, це лише робить систему бездозвільною, а не підвищує її безпеку. Relayer LayerZero по суті залишається довіреним третім боком, подібно до Oracle.

Більш важливо, що LayerZero не відповідає за безпеку додатків. Якщо проект, що використовує LayerZero, дозволяє змінювати конфігураційні вузли, зловмисник може замінити їх на свої власні вузли, щоб підробити повідомлення. Цей потенційний ризик може бути ще серйознішим у складних сценаріях.

По суті, LayerZero більше схожий на посередницьке програмне забезпечення (Middleware), а не на справжню інфраструктуру (Infrastructure). Він не може забезпечити єдину безпеку для екосистемних проєктів, що є суттєвою відмінністю від традиційної інфраструктури.

Деякі команди безпеки вже вказали на потенційні вразливості LayerZero. Наприклад, якщо зловмисник отримає доступ до конфігурації LayerZero, він може маніпулювати системою, що призведе до крадіжки коштів. Крім того, у релейних вузлах LayerZero були виявлені критичні вразливості, які можуть бути використані внутрішніми особами або членами команди з відомою особистістю.

Оглядаючи білу книгу Bitcoin, ми можемо побачити основні ідеї децентралізації та відсутності довіри. Проте дизайн LayerZero, здається, суперечить цим принципам. Він вимагає від користувачів довіри до Relayer, Oracle та розробників, які створюють додатки за допомогою LayerZero, в той час як учасники мультипідпису також є попередньо визначеними привілейованими ролями. Що ще важливіше, в процесі крос-ланцюга LayerZero не генерується жодних доказів шахрайства або доказів дійсності, не кажучи вже про те, щоб ці докази були записані в блокчейн та перевірені.

Отже, хоча LayerZero називає себе децентралізованою інфраструктурою, насправді він не зовсім відповідає основним принципам "консенсусу Сатоші". Якщо крос-ланцюговий протокол не може забезпечити справжню децентралізовану безпеку, тоді незалежно від розміру фінансування та високого трафіку користувачів, в кінцевому підсумку він може зазнати невдачі через недостатню стійкість до атак.

Чому кажуть, що LayerZero є псевдо-децентралізованим крос-ланцюгом?

У процесі побудови справжнього децентралізованого крос-ланцюгового протоколу галузі ще потрібно провести більше досліджень та інновацій. Наприклад, є думка, що можна розглянути використання технологій нульових знань для підвищення безпеки та рівня децентралізації крос-ланцюгового протоколу. Проте, щоб справді вирішити ці проблеми, спочатку потрібно визнати обмеження існуючих рішень і постійно прагнути до рішень, які відповідають основним ідеям блокчейну.

Переглянути оригінал
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
  • Нагородити
  • 5
  • Поділіться
Прокоментувати
0/400
CantAffordPancakevip
· 20год тому
Безпека замість універсальності
Переглянути оригіналвідповісти на0
HappyMinerUnclevip
· 20год тому
Безпека – це життєва лінія
Переглянути оригіналвідповісти на0
HodlOrRegretvip
· 21год тому
Ризик значно перевищує прибуток
Переглянути оригіналвідповісти на0
ChainDoctorvip
· 21год тому
Одиночні небезпеки дуже небезпечні
Переглянути оригіналвідповісти на0
MEVSandwichvip
· 21год тому
Необхідно приділяти увагу безпеці
Переглянути оригіналвідповісти на0
  • Закріпити