A importância da segurança da cadeia cruzada e as falhas de design do LayerZero
Os problemas de segurança dos protocolos de cadeia cruzada tornaram-se um dos desafios mais urgentes no campo do Web3. Nos últimos anos, os eventos de segurança relacionados a protocolos de cadeia cruzada geraram perdas financeiras que estão no topo das estatísticas, com sua importância superando até mesmo as soluções de escalabilidade do Ethereum. A interoperabilidade dos protocolos de cadeia cruzada é a necessidade básica para a conexão da rede Web3, mas devido à falta de capacidade de identificação do nível de segurança desses protocolos por parte do público, os riscos aumentaram ainda mais.
Entre as várias soluções de cadeia cruzada, o LayerZero tem recebido atenção devido ao seu design simples. No entanto, um design simples não significa que seja seguro e confiável. A arquitetura básica do LayerZero depende de um Relayer para executar a comunicação entre a Chain A e a Chain B, sob a supervisão de um Oracle. Embora este design evite a validação de consenso de uma terceira cadeia tradicional, proporcionando aos usuários uma experiência rápida de cadeia cruzada, também traz potenciais riscos de segurança.
Existem dois problemas principais no design do LayerZero:
Simplificar a validação de múltiplos nós para uma única validação de Oracle reduziu significativamente o coeficiente de segurança.
Suponha que o Relayer e o Oracle sejam independentes; essa suposição de confiança é difícil de manter a longo prazo, não está de acordo com os princípios nativos da criptografia e não pode, fundamentalmente, prevenir a conivência maliciosa.
Como uma solução de "cadeia cruzada" "super leve", o LayerZero é responsável apenas pela troca de mensagens, sem assumir responsabilidade pela segurança da aplicação. Mesmo permitindo que várias partes operem como Relayer, isso não resolve essencialmente os problemas de segurança. Aumentar o número de entidades confiáveis não altera as características fundamentais do produto, mas pode, na verdade, gerar novos problemas.
O design do LayerZero faz com que os projetos que dependem dele enfrentem riscos potenciais. Um atacante pode falsificar mensagens substituindo nós do LayerZero, levando a sérios acidentes de segurança. Nessa situação, o LayerZero pode transferir a responsabilidade para aplicações externas, tornando a construção do ecossistema difícil.
Vale a pena notar que o LayerZero não pode oferecer segurança compartilhada como o Layer1 ou o Layer2, portanto, não pode ser considerado uma infraestrutura verdadeira. É mais como um middleware que fornece aos desenvolvedores de aplicativos a capacidade de implementar políticas de segurança personalizadas, mas essa abordagem de design apresenta riscos potenciais.
Várias equipes de pesquisa já apontaram vulnerabilidades de segurança existentes no LayerZero. Por exemplo, a equipe do L2BEAT descobriu que a suposição de confiança do LayerZero apresenta problemas, o que pode levar ao roubo de fundos dos usuários. A equipe do Nomad apontou que o retransmissor do LayerZero possui duas vulnerabilidades críticas, que podem ser exploradas por pessoal interno ou membros da equipe com identidade conhecida.
A partir da "consenso de Satoshi Nakamoto" apresentado no livro branco do Bitcoin, um verdadeiro sistema descentralizado deve eliminar terceiros de confiança, realizando a desconfiança e a descentralização. No entanto, o design do LayerZero exige que os usuários confiem no Relayer, no Oracle e nos desenvolvedores que constroem aplicações utilizando o LayerZero, o que vai contra os princípios da descentralização.
Em suma, embora o LayerZero se autodenomine uma infraestrutura de cadeia cruzada descentralizada, na realidade, não atende aos padrões verdadeiros de descentralização e confiança zero. Ao construir protocolos de cadeia cruzada, deve-se dar mais atenção à implementação de segurança descentralizada genuína, em vez de apenas buscar um design simples e uma experiência de usuário rápida. As futuras soluções de cadeia cruzada precisam assegurar a segurança ao mesmo tempo que realizam características verdadeiramente descentralizadas e sem necessidade de confiança.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
10 Curtidas
Recompensa
10
3
Compartilhar
Comentário
0/400
NewDAOdreamer
· 12h atrás
Essa vulnerabilidade é assustadora!
Ver originalResponder0
OptionWhisperer
· 12h atrás
A ameaça ainda é muito grande, não acha?
Ver originalResponder0
LiquiditySurfer
· 12h atrás
Quem ignora a segurança é ou um gênio ou um louco.
Análise das falhas de design do LayerZero e das vulnerabilidades de segurança da cadeia cruzada
A importância da segurança da cadeia cruzada e as falhas de design do LayerZero
Os problemas de segurança dos protocolos de cadeia cruzada tornaram-se um dos desafios mais urgentes no campo do Web3. Nos últimos anos, os eventos de segurança relacionados a protocolos de cadeia cruzada geraram perdas financeiras que estão no topo das estatísticas, com sua importância superando até mesmo as soluções de escalabilidade do Ethereum. A interoperabilidade dos protocolos de cadeia cruzada é a necessidade básica para a conexão da rede Web3, mas devido à falta de capacidade de identificação do nível de segurança desses protocolos por parte do público, os riscos aumentaram ainda mais.
Entre as várias soluções de cadeia cruzada, o LayerZero tem recebido atenção devido ao seu design simples. No entanto, um design simples não significa que seja seguro e confiável. A arquitetura básica do LayerZero depende de um Relayer para executar a comunicação entre a Chain A e a Chain B, sob a supervisão de um Oracle. Embora este design evite a validação de consenso de uma terceira cadeia tradicional, proporcionando aos usuários uma experiência rápida de cadeia cruzada, também traz potenciais riscos de segurança.
Existem dois problemas principais no design do LayerZero:
Simplificar a validação de múltiplos nós para uma única validação de Oracle reduziu significativamente o coeficiente de segurança.
Suponha que o Relayer e o Oracle sejam independentes; essa suposição de confiança é difícil de manter a longo prazo, não está de acordo com os princípios nativos da criptografia e não pode, fundamentalmente, prevenir a conivência maliciosa.
Como uma solução de "cadeia cruzada" "super leve", o LayerZero é responsável apenas pela troca de mensagens, sem assumir responsabilidade pela segurança da aplicação. Mesmo permitindo que várias partes operem como Relayer, isso não resolve essencialmente os problemas de segurança. Aumentar o número de entidades confiáveis não altera as características fundamentais do produto, mas pode, na verdade, gerar novos problemas.
O design do LayerZero faz com que os projetos que dependem dele enfrentem riscos potenciais. Um atacante pode falsificar mensagens substituindo nós do LayerZero, levando a sérios acidentes de segurança. Nessa situação, o LayerZero pode transferir a responsabilidade para aplicações externas, tornando a construção do ecossistema difícil.
Vale a pena notar que o LayerZero não pode oferecer segurança compartilhada como o Layer1 ou o Layer2, portanto, não pode ser considerado uma infraestrutura verdadeira. É mais como um middleware que fornece aos desenvolvedores de aplicativos a capacidade de implementar políticas de segurança personalizadas, mas essa abordagem de design apresenta riscos potenciais.
Várias equipes de pesquisa já apontaram vulnerabilidades de segurança existentes no LayerZero. Por exemplo, a equipe do L2BEAT descobriu que a suposição de confiança do LayerZero apresenta problemas, o que pode levar ao roubo de fundos dos usuários. A equipe do Nomad apontou que o retransmissor do LayerZero possui duas vulnerabilidades críticas, que podem ser exploradas por pessoal interno ou membros da equipe com identidade conhecida.
A partir da "consenso de Satoshi Nakamoto" apresentado no livro branco do Bitcoin, um verdadeiro sistema descentralizado deve eliminar terceiros de confiança, realizando a desconfiança e a descentralização. No entanto, o design do LayerZero exige que os usuários confiem no Relayer, no Oracle e nos desenvolvedores que constroem aplicações utilizando o LayerZero, o que vai contra os princípios da descentralização.
Em suma, embora o LayerZero se autodenomine uma infraestrutura de cadeia cruzada descentralizada, na realidade, não atende aos padrões verdadeiros de descentralização e confiança zero. Ao construir protocolos de cadeia cruzada, deve-se dar mais atenção à implementação de segurança descentralizada genuína, em vez de apenas buscar um design simples e uma experiência de usuário rápida. As futuras soluções de cadeia cruzada precisam assegurar a segurança ao mesmo tempo que realizam características verdadeiramente descentralizadas e sem necessidade de confiança.