Важность кросс-чейн безопасности и недостатки дизайна LayerZero
Проблемы безопасности кросс-чейн протоколов стали одним из самых насущных вызовов в области Web3. В последние годы убытки от инцидентов безопасности, связанных с кросс-чейн протоколами, занимают первое место, и их важность даже превышает важность решений по масштабированию Ethereum. Взаимодействие кросс-чейн протоколов является основной необходимостью для соединения Web3 сетей, но из-за недостатка способности общественности распознавать уровень безопасности этих протоколов, риски еще больше увеличиваются.
Среди множества кросс-чейн решений LayerZero привлекает внимание своим простым дизайном. Однако простой дизайн не означает безопасность и надежность. Основная архитектура LayerZero зависит от Relayer, который выполняет связь между Chain A и Chain B, и контролируется Oracle. Хотя такой дизайн избегает традиционной верификации консенсуса третьей цепи, предлагая пользователям быстрый кросс-чейн опыт, он также несет потенциальные риски безопасности.
У дизайна LayerZero есть две основные проблемы:
Упрощение многосетевой валидации до единого Oracle валидации значительно снижает уровень безопасности.
Предположим, что Relayer и Oracle независимы, это предположение о доверии трудно поддерживать в долгосрочной перспективе, оно не соответствует принципам криптографии и не может в корне предотвратить сговор для злонамеренных действий.
Как "суперлегкое" кросс-чейн решение, LayerZero отвечает только за передачу сообщений и не несет ответственности за безопасность приложений. Даже если несколько сторон могут запускать Relayer, это не решит проблему безопасности по существу. Увеличение числа доверенных субъектов не изменит основные характеристики продукта, а может даже вызвать новые проблемы.
Дизайн LayerZero ставит под угрозу проекты, зависящие от него. Злоумышленники могут подменить узлы LayerZero, чтобы подделать сообщения, что приведет к серьезным инцидентам безопасности. В таком случае LayerZero может переложить ответственность на внешние приложения, что усложнит экосистемное строительство.
Стоит отметить, что LayerZero не может предоставить общую безопасность, как Layer1 или Layer2, и поэтому не может считаться настоящей инфраструктурой. Это скорее промежуточное программное обеспечение, которое предоставляет разработчикам приложений возможность настраивать свои собственные стратегии безопасности, но такой подход имеет потенциальные риски.
Несколько исследовательских команд уже указали на существование уязвимостей в безопасности LayerZero. Например, команда L2BEAT обнаружила проблемы с предположениями о доверии LayerZero, которые могут привести к краже средств пользователей. Команда Nomad указала на два ключевых уязвимости в ретрансляторах LayerZero, которые могут быть использованы внутренними лицами или членами команды с известной личностью.
С точки зрения "консенсуса Сатоши", предложенного в белой книге Биткойна, настоящая децентрализованная система должна исключать доверенных третьих лиц, реализуя бездоверительную и децентрализованную модель. Однако дизайн LayerZero требует от пользователей доверять Relayer, Oracle и разработчикам, создающим приложения на основе LayerZero, что противоречит принципам децентрализации.
Исходя из вышеизложенного, хотя LayerZero и заявляет себя как децентрализованная кросс-чейн инфраструктура, на самом деле она не соответствует настоящим стандартам децентрализации и отсутствия доверия. При создании кросс-чейн протоколов следует уделять больше внимания реализации истинной децентрализованной безопасности, а не просто стремиться к простоте дизайна и быстрому пользовательскому опыту. Будущие кросс-чейн решения должны обеспечивать истинную децентрализацию и отсутствие доверия при гарантии безопасности.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
11 Лайков
Награда
11
3
Поделиться
комментарий
0/400
NewDAOdreamer
· 07-28 03:07
Этот уязвимость просто пугающая.
Посмотреть ОригиналОтветить0
OptionWhisperer
· 07-28 03:07
Опасность все еще слишком велика, не так ли?
Посмотреть ОригиналОтветить0
LiquiditySurfer
· 07-28 03:00
Игнорировать безопасность может только гений или сумасшедший.
Анализ проектных недостатков LayerZero и проблем безопасности кросс-чейн
Важность кросс-чейн безопасности и недостатки дизайна LayerZero
Проблемы безопасности кросс-чейн протоколов стали одним из самых насущных вызовов в области Web3. В последние годы убытки от инцидентов безопасности, связанных с кросс-чейн протоколами, занимают первое место, и их важность даже превышает важность решений по масштабированию Ethereum. Взаимодействие кросс-чейн протоколов является основной необходимостью для соединения Web3 сетей, но из-за недостатка способности общественности распознавать уровень безопасности этих протоколов, риски еще больше увеличиваются.
Среди множества кросс-чейн решений LayerZero привлекает внимание своим простым дизайном. Однако простой дизайн не означает безопасность и надежность. Основная архитектура LayerZero зависит от Relayer, который выполняет связь между Chain A и Chain B, и контролируется Oracle. Хотя такой дизайн избегает традиционной верификации консенсуса третьей цепи, предлагая пользователям быстрый кросс-чейн опыт, он также несет потенциальные риски безопасности.
У дизайна LayerZero есть две основные проблемы:
Упрощение многосетевой валидации до единого Oracle валидации значительно снижает уровень безопасности.
Предположим, что Relayer и Oracle независимы, это предположение о доверии трудно поддерживать в долгосрочной перспективе, оно не соответствует принципам криптографии и не может в корне предотвратить сговор для злонамеренных действий.
Как "суперлегкое" кросс-чейн решение, LayerZero отвечает только за передачу сообщений и не несет ответственности за безопасность приложений. Даже если несколько сторон могут запускать Relayer, это не решит проблему безопасности по существу. Увеличение числа доверенных субъектов не изменит основные характеристики продукта, а может даже вызвать новые проблемы.
Дизайн LayerZero ставит под угрозу проекты, зависящие от него. Злоумышленники могут подменить узлы LayerZero, чтобы подделать сообщения, что приведет к серьезным инцидентам безопасности. В таком случае LayerZero может переложить ответственность на внешние приложения, что усложнит экосистемное строительство.
Стоит отметить, что LayerZero не может предоставить общую безопасность, как Layer1 или Layer2, и поэтому не может считаться настоящей инфраструктурой. Это скорее промежуточное программное обеспечение, которое предоставляет разработчикам приложений возможность настраивать свои собственные стратегии безопасности, но такой подход имеет потенциальные риски.
Несколько исследовательских команд уже указали на существование уязвимостей в безопасности LayerZero. Например, команда L2BEAT обнаружила проблемы с предположениями о доверии LayerZero, которые могут привести к краже средств пользователей. Команда Nomad указала на два ключевых уязвимости в ретрансляторах LayerZero, которые могут быть использованы внутренними лицами или членами команды с известной личностью.
С точки зрения "консенсуса Сатоши", предложенного в белой книге Биткойна, настоящая децентрализованная система должна исключать доверенных третьих лиц, реализуя бездоверительную и децентрализованную модель. Однако дизайн LayerZero требует от пользователей доверять Relayer, Oracle и разработчикам, создающим приложения на основе LayerZero, что противоречит принципам децентрализации.
Исходя из вышеизложенного, хотя LayerZero и заявляет себя как децентрализованная кросс-чейн инфраструктура, на самом деле она не соответствует настоящим стандартам децентрализации и отсутствия доверия. При создании кросс-чейн протоколов следует уделять больше внимания реализации истинной децентрализованной безопасности, а не просто стремиться к простоте дизайна и быстрому пользовательскому опыту. Будущие кросс-чейн решения должны обеспечивать истинную децентрализацию и отсутствие доверия при гарантии безопасности.