Thách thức về an ninh của giao thức chuỗi cross và những hạn chế của LayerZero

Trong những năm gần đây, các sự kiện an ninh của giao thức chuỗi cross xảy ra thường xuyên, gây ra thiệt hại lớn, thậm chí vượt quá các vấn đề do giải pháp mở rộng Ethereum gây ra. Điều này làm nổi bật tầm quan trọng và tính cấp bách của việc giải quyết các vấn đề an ninh của giao thức chuỗi cross. Tuy nhiên, do hiểu biết của công chúng về những giao thức này còn hạn chế, nên khó có thể đánh giá chính xác mức độ an toàn của chúng.

Trong số nhiều giải pháp chuỗi cross, LayerZero áp dụng một thiết kế kiến trúc có vẻ đơn giản. Nó thực hiện giao tiếp giữa các chuỗi thông qua Relayer và được giám sát bởi Oracle. Thiết kế này loại bỏ quá trình đồng thuận của chuỗi thứ ba truyền thống, mang đến trải nghiệm chuỗi cross nhanh chóng cho người dùng. Tuy nhiên, kiến trúc đơn giản hóa này cũng mang lại những rủi ro bảo mật tiềm ẩn.

Đầu tiên, LayerZero đơn giản hóa việc xác thực nhiều nút thành xác thực của một Oracle duy nhất, giảm đáng kể hệ số an toàn. Thứ hai, mô hình này được xây dựng dựa trên giả định rằng Relayer và Oracle là độc lập với nhau, nhưng giả định về lòng tin này khó có thể duy trì vĩnh viễn, không phù hợp với nguyên tắc bản chất của tiền điện tử, và không thể ngăn chặn hoàn toàn việc thông đồng làm hại.

Có quan điểm cho rằng, việc mở cửa cho Relayer có thể giải quyết những vấn đề này. Tuy nhiên, việc tăng số lượng người vận hành không đồng nghĩa với việc phi tập trung, mà chỉ làm cho hệ thống trở nên không cần giấy phép, chứ không phải là nâng cao tính bảo mật của nó. Relayer của LayerZero về bản chất vẫn là một bên thứ ba đáng tin cậy, tương tự như Oracle.

Điều quan trọng hơn là LayerZero không chịu trách nhiệm về sự an toàn của ứng dụng. Nếu một dự án sử dụng LayerZero cho phép sửa đổi nút cấu hình, kẻ tấn công có thể thay thế bằng nút của riêng mình, từ đó giả mạo tin nhắn. Rủi ro tiềm ẩn này có thể trở nên nghiêm trọng hơn trong các tình huống phức tạp.

Về bản chất, LayerZero giống như một phần mềm trung gian (Middleware), chứ không phải là một cơ sở hạ tầng thực sự (Infrastructure). Nó không thể cung cấp bảo mật đồng nhất cho các dự án trong hệ sinh thái, điều này khác biệt về bản chất so với cơ sở hạ tầng truyền thống.

Một số đội ngũ an ninh đã chỉ ra những lỗ hổng tiềm ẩn của LayerZero. Ví dụ, nếu các tác nhân độc hại có được quyền truy cập vào cấu hình của LayerZero, họ có thể thao túng hệ thống, dẫn đến việc tiền bị đánh cắp. Ngoài ra, các bộ trung gian của LayerZero cũng được phát hiện có lỗ hổng quan trọng, có thể bị nhân viên nội bộ hoặc các thành viên trong nhóm đã biết lợi dụng.

Xem lại sách trắng Bitcoin, chúng ta có thể thấy những nguyên tắc cốt lõi của sự phi tập trung và sự không cần tin tưởng. Tuy nhiên, thiết kế của LayerZero dường như trái ngược với những nguyên tắc này. Nó yêu cầu người dùng tin tưởng vào Relayer, Oracle cũng như các nhà phát triển xây dựng ứng dụng bằng LayerZero, trong khi các bên tham gia ký nhiều chữ ký cũng là những vai trò được sắp đặt trước. Quan trọng hơn nữa, trong quá trình chuỗi cross của LayerZero, không có bất kỳ bằng chứng gian lận hoặc bằng chứng hiệu lực nào được tạo ra, nói chi đến việc đưa những bằng chứng này lên chuỗi và xác minh.

Do đó, mặc dù LayerZero tự nhận là cơ sở hạ tầng phi tập trung, nhưng thực tế nó không hoàn toàn phù hợp với các nguyên tắc cốt lõi của "consensus Satoshi". Nếu một giao thức chuỗi cross không thể đạt được an ninh phi tập trung thực sự, thì bất kể quy mô tài trợ lớn thế nào, lượng người dùng cao ra sao, cuối cùng cũng có thể thất bại do khả năng chống tấn công không đủ.

Trong việc xây dựng một giao thức chuỗi cross thực sự phi tập trung, ngành công nghiệp vẫn cần nhiều khám phá và đổi mới hơn nữa. Ví dụ, có quan điểm cho rằng có thể xem xét sử dụng các công nghệ như chứng minh không kiến thức để nâng cao tính bảo mật và mức độ phi tập trung của giao thức chuỗi cross. Tuy nhiên, để thực sự giải quyết những vấn đề này, trước tiên cần phải nhận thức rõ về những hạn chế của các giải pháp hiện tại và tiếp tục theo đuổi các giải pháp phù hợp với các nguyên tắc cốt lõi của blockchain.