Pentingnya Keamanan Cross-Chain dan Kekurangan Desain LayerZero
Masalah keamanan protokol cross-chain telah menjadi salah satu tantangan paling mendesak di bidang Web3. Dalam beberapa tahun terakhir, jumlah kerugian yang disebabkan oleh insiden keamanan terkait protokol cross-chain menduduki peringkat teratas, dan pentingnya bahkan melebihi solusi skala Ethereum. Interoperabilitas protokol cross-chain adalah kebutuhan dasar untuk menghubungkan jaringan Web3, namun karena kurangnya kemampuan publik untuk mengenali tingkat keamanan protokol ini, risiko semakin meningkat.
Di antara banyak solusi cross-chain, LayerZero menarik perhatian karena desainnya yang sederhana. Namun, desain yang sederhana tidak berarti aman dan dapat diandalkan. Arsitektur dasar LayerZero bergantung pada Relayer untuk mengeksekusi komunikasi antara Chain A dan Chain B, dan diawasi oleh Oracle. Desain ini meskipun menghindari verifikasi konsensus rantai ketiga tradisional, memberikan pengalaman cross-chain yang cepat bagi pengguna, namun juga membawa potensi risiko keamanan.
Ada dua masalah utama dalam desain LayerZero:
Menyederhanakan verifikasi multi-node menjadi verifikasi Oracle tunggal, secara signifikan mengurangi faktor keamanan.
Mengasumsikan bahwa Relayer dan Oracle adalah independen, asumsi kepercayaan ini sulit untuk dipertahankan dalam jangka panjang, tidak sesuai dengan prinsip-prinsip asli kripto, dan tidak dapat secara fundamental mencegah kolusi yang merugikan.
Sebagai solusi "super ringan" cross-chain, LayerZero hanya bertanggung jawab untuk pengiriman pesan, tanpa mengambil tanggung jawab atas keamanan aplikasi. Bahkan jika banyak pihak diizinkan untuk menjalankan Relayer, ini tidak dapat secara mendasar menyelesaikan masalah keamanan. Meningkatkan jumlah entitas yang dipercaya tidak akan mengubah karakteristik dasar produk, melainkan dapat memicu masalah baru.
Desain LayerZero membuat proyek yang bergantung padanya menghadapi risiko potensial. Penyerang dapat memalsukan pesan dengan mengganti node LayerZero, yang mengakibatkan insiden keamanan yang serius. Dalam hal ini, LayerZero mungkin akan mengalihkan tanggung jawab kepada aplikasi eksternal, sehingga membangun ekosistem menjadi sulit.
Perlu dicatat bahwa LayerZero tidak dapat menyediakan keamanan bersama seperti Layer1 atau Layer2, sehingga tidak dapat disebut sebagai infrastruktur yang sebenarnya. Ini lebih mirip sebagai middleware, yang memberikan kemampuan kepada pengembang aplikasi untuk menerapkan kebijakan keamanan yang disesuaikan, tetapi desain ini memiliki risiko potensial.
Beberapa tim penelitian telah menunjukkan adanya kerentanan keamanan di LayerZero. Misalnya, tim L2BEAT menemukan masalah dalam asumsi kepercayaan LayerZero, yang dapat menyebabkan pencurian dana pengguna. Tim Nomad menunjukkan bahwa terdapat dua kerentanan kunci pada relayer LayerZero, yang dapat dieksploitasi oleh orang dalam atau anggota tim yang dikenal.
Dari sudut pandang "Konsensus Satoshi" yang diusulkan dalam buku putih Bitcoin, sistem desentralisasi yang sebenarnya harus menghindari pihak ketiga yang dapat dipercaya, mewujudkan desentralisasi dan penghilangan kepercayaan. Namun, desain LayerZero mengharuskan pengguna untuk mempercayai Relayer, Oracle, dan pengembang yang membangun aplikasi menggunakan LayerZero, yang bertentangan dengan prinsip desentralisasi.
Kesimpulannya, meskipun LayerZero mengklaim sebagai infrastruktur lintas rantai yang terdesentralisasi, kenyataannya tidak memenuhi standar desentralisasi sejati dan tanpa kepercayaan. Dalam membangun protokol lintas rantai, seharusnya lebih fokus pada pencapaian keamanan desentralisasi yang sejati, bukan hanya mengejar desain yang sederhana dan pengalaman pengguna yang cepat. Solusi lintas rantai di masa depan perlu memastikan keamanan sambil mewujudkan karakteristik desentralisasi sejati dan tanpa kepercayaan.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
10 Suka
Hadiah
10
3
Bagikan
Komentar
0/400
NewDAOdreamer
· 12jam yang lalu
Celah ini benar-benar menakutkan.
Lihat AsliBalas0
OptionWhisperer
· 12jam yang lalu
Risikonya masih terlalu besar, bukan?
Lihat AsliBalas0
LiquiditySurfer
· 12jam yang lalu
Orang yang mengabaikan keamanan adalah jenius atau gila.
Analisis Kekurangan Desain LayerZero dan Risiko Keamanan Cross-Chain
Pentingnya Keamanan Cross-Chain dan Kekurangan Desain LayerZero
Masalah keamanan protokol cross-chain telah menjadi salah satu tantangan paling mendesak di bidang Web3. Dalam beberapa tahun terakhir, jumlah kerugian yang disebabkan oleh insiden keamanan terkait protokol cross-chain menduduki peringkat teratas, dan pentingnya bahkan melebihi solusi skala Ethereum. Interoperabilitas protokol cross-chain adalah kebutuhan dasar untuk menghubungkan jaringan Web3, namun karena kurangnya kemampuan publik untuk mengenali tingkat keamanan protokol ini, risiko semakin meningkat.
Di antara banyak solusi cross-chain, LayerZero menarik perhatian karena desainnya yang sederhana. Namun, desain yang sederhana tidak berarti aman dan dapat diandalkan. Arsitektur dasar LayerZero bergantung pada Relayer untuk mengeksekusi komunikasi antara Chain A dan Chain B, dan diawasi oleh Oracle. Desain ini meskipun menghindari verifikasi konsensus rantai ketiga tradisional, memberikan pengalaman cross-chain yang cepat bagi pengguna, namun juga membawa potensi risiko keamanan.
Ada dua masalah utama dalam desain LayerZero:
Menyederhanakan verifikasi multi-node menjadi verifikasi Oracle tunggal, secara signifikan mengurangi faktor keamanan.
Mengasumsikan bahwa Relayer dan Oracle adalah independen, asumsi kepercayaan ini sulit untuk dipertahankan dalam jangka panjang, tidak sesuai dengan prinsip-prinsip asli kripto, dan tidak dapat secara fundamental mencegah kolusi yang merugikan.
Sebagai solusi "super ringan" cross-chain, LayerZero hanya bertanggung jawab untuk pengiriman pesan, tanpa mengambil tanggung jawab atas keamanan aplikasi. Bahkan jika banyak pihak diizinkan untuk menjalankan Relayer, ini tidak dapat secara mendasar menyelesaikan masalah keamanan. Meningkatkan jumlah entitas yang dipercaya tidak akan mengubah karakteristik dasar produk, melainkan dapat memicu masalah baru.
Desain LayerZero membuat proyek yang bergantung padanya menghadapi risiko potensial. Penyerang dapat memalsukan pesan dengan mengganti node LayerZero, yang mengakibatkan insiden keamanan yang serius. Dalam hal ini, LayerZero mungkin akan mengalihkan tanggung jawab kepada aplikasi eksternal, sehingga membangun ekosistem menjadi sulit.
Perlu dicatat bahwa LayerZero tidak dapat menyediakan keamanan bersama seperti Layer1 atau Layer2, sehingga tidak dapat disebut sebagai infrastruktur yang sebenarnya. Ini lebih mirip sebagai middleware, yang memberikan kemampuan kepada pengembang aplikasi untuk menerapkan kebijakan keamanan yang disesuaikan, tetapi desain ini memiliki risiko potensial.
Beberapa tim penelitian telah menunjukkan adanya kerentanan keamanan di LayerZero. Misalnya, tim L2BEAT menemukan masalah dalam asumsi kepercayaan LayerZero, yang dapat menyebabkan pencurian dana pengguna. Tim Nomad menunjukkan bahwa terdapat dua kerentanan kunci pada relayer LayerZero, yang dapat dieksploitasi oleh orang dalam atau anggota tim yang dikenal.
Dari sudut pandang "Konsensus Satoshi" yang diusulkan dalam buku putih Bitcoin, sistem desentralisasi yang sebenarnya harus menghindari pihak ketiga yang dapat dipercaya, mewujudkan desentralisasi dan penghilangan kepercayaan. Namun, desain LayerZero mengharuskan pengguna untuk mempercayai Relayer, Oracle, dan pengembang yang membangun aplikasi menggunakan LayerZero, yang bertentangan dengan prinsip desentralisasi.
Kesimpulannya, meskipun LayerZero mengklaim sebagai infrastruktur lintas rantai yang terdesentralisasi, kenyataannya tidak memenuhi standar desentralisasi sejati dan tanpa kepercayaan. Dalam membangun protokol lintas rantai, seharusnya lebih fokus pada pencapaian keamanan desentralisasi yang sejati, bukan hanya mengejar desain yang sederhana dan pengalaman pengguna yang cepat. Solusi lintas rantai di masa depan perlu memastikan keamanan sambil mewujudkan karakteristik desentralisasi sejati dan tanpa kepercayaan.