Важливість безпеки крос-ланцюга та недоліки дизайну LayerZero
Проблеми безпеки крос-ланцюгових протоколів стали одним із найтерміновіших викликів у сфері Web3. Останніми роками збитки від інцидентів, пов'язаних із крос-ланцюговими протоколами, займають перше місце, і їх важливість навіть перевищує рішення щодо масштабування Ethereum. Взаємодія крос-ланцюгових протоколів є основною вимогою підключення мережі Web3, але через недостатню здатність населення розпізнавати рівень безпеки цих протоколів ризики лише зростають.
Серед багатьох крос-ланцюгових рішень LayerZero привертає увагу своєю простою конструкцією. Однак проста конструкція не означає безпечності та надійності. Основна архітектура LayerZero покладається на Relayer для виконання комунікації між Chain A та Chain B, під наглядом Oracle. Цей дизайн, хоча й уникає традиційної третьої ланцюгової консенсусної перевірки, забезпечуючи користувачам швидкий крос-ланцюговий досвід, також несе потенційні ризики безпеки.
Дизайн LayerZero має дві основні проблеми:
Спрощення багато вузлової перевірки до одноосібної перевірки Oracle значно знизило рівень безпеки.
Припустимо, що Relayer та Oracle є незалежними, ця довірча гіпотеза важко підтримується в довгостроковій перспективі, не відповідає принципам криптографічної природи та не може в принципі запобігти змовам.
Як "надлегка" крос-ланцюгова схема, LayerZero відповідає лише за передачу повідомлень, а не за безпеку застосунків. Навіть якщо дозволити кільком сторонам працювати Relayer, це не може суттєво вирішити проблему безпеки. Збільшення кількості довірених суб'єктів не змінює основні характеристики продукту, а може навіть викликати нові проблеми.
Дизайн LayerZero ставить проекти, що покладаються на нього, перед потенційними ризиками. Зловмисники можуть підміняти вузли LayerZero для підробки повідомлень, що може призвести до серйозних інцидентів безпеки. У такому випадку LayerZero може перекладати відповідальність на зовнішні додатки, ускладнюючи екологічне будівництво.
Варто зазначити, що LayerZero не може забезпечити спільну безпеку, як Layer1 або Layer2, тому його не можна вважати справжньою інфраструктурою. Це більше схоже на посередницький шар, який надає розробникам застосунків можливість налаштовувати стратегії безпеки, але такий підхід має потенційні ризики.
Декілька наукових команд вже вказали на наявність вразливостей безпеки у LayerZero. Наприклад, команда L2BEAT виявила, що в LayerZero є проблеми з довірчими припущеннями, що може призвести до викрадення коштів користувачів. Команда Nomad вказала, що в реле LayerZero є два ключові вразливості, які можуть бути використані внутрішніми особами або членами команди з відомою особистістю.
З точки зору "консенсусу Сатоші", згаданого у білому папері Bitcoin, справжня децентралізована система повинна усувати надійних третіх осіб, досягати бездоверчості та децентралізації. Однак, дизайн LayerZero вимагає від користувачів довіри до Relayer, Oracle, а також розробників, які створюють програми на базі LayerZero, що суперечить принципам децентралізації.
Отже, хоча LayerZero називає себе децентралізованою крос-ланцюговою інфраструктурою, насправді він не відповідає справжнім стандартам децентралізації та без довіри. При створенні крос-ланцюгових протоколів слід більше зосередитися на досягненні справжньої децентралізованої безпеки, а не лише на простому дизайні та швидкому користувацькому досвіді. Майбутні крос-ланцюгові рішення повинні забезпечити справжню децентралізацію і характеристики без довіри, при цьому гарантуючи безпеку.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
11 лайків
Нагородити
11
3
Поділіться
Прокоментувати
0/400
NewDAOdreamer
· 07-28 03:07
Ця вразливість занадто страшна.
Переглянути оригіналвідповісти на0
OptionWhisperer
· 07-28 03:07
Занадто велика небезпека, мабуть.
Переглянути оригіналвідповісти на0
LiquiditySurfer
· 07-28 03:00
Ігнорувати безпеку може тільки геній або божевільний.
Аналіз недоліків дизайну LayerZero та безпекових ризиків крос-ланцюга
Важливість безпеки крос-ланцюга та недоліки дизайну LayerZero
Проблеми безпеки крос-ланцюгових протоколів стали одним із найтерміновіших викликів у сфері Web3. Останніми роками збитки від інцидентів, пов'язаних із крос-ланцюговими протоколами, займають перше місце, і їх важливість навіть перевищує рішення щодо масштабування Ethereum. Взаємодія крос-ланцюгових протоколів є основною вимогою підключення мережі Web3, але через недостатню здатність населення розпізнавати рівень безпеки цих протоколів ризики лише зростають.
Серед багатьох крос-ланцюгових рішень LayerZero привертає увагу своєю простою конструкцією. Однак проста конструкція не означає безпечності та надійності. Основна архітектура LayerZero покладається на Relayer для виконання комунікації між Chain A та Chain B, під наглядом Oracle. Цей дизайн, хоча й уникає традиційної третьої ланцюгової консенсусної перевірки, забезпечуючи користувачам швидкий крос-ланцюговий досвід, також несе потенційні ризики безпеки.
Дизайн LayerZero має дві основні проблеми:
Спрощення багато вузлової перевірки до одноосібної перевірки Oracle значно знизило рівень безпеки.
Припустимо, що Relayer та Oracle є незалежними, ця довірча гіпотеза важко підтримується в довгостроковій перспективі, не відповідає принципам криптографічної природи та не може в принципі запобігти змовам.
Як "надлегка" крос-ланцюгова схема, LayerZero відповідає лише за передачу повідомлень, а не за безпеку застосунків. Навіть якщо дозволити кільком сторонам працювати Relayer, це не може суттєво вирішити проблему безпеки. Збільшення кількості довірених суб'єктів не змінює основні характеристики продукту, а може навіть викликати нові проблеми.
Дизайн LayerZero ставить проекти, що покладаються на нього, перед потенційними ризиками. Зловмисники можуть підміняти вузли LayerZero для підробки повідомлень, що може призвести до серйозних інцидентів безпеки. У такому випадку LayerZero може перекладати відповідальність на зовнішні додатки, ускладнюючи екологічне будівництво.
Варто зазначити, що LayerZero не може забезпечити спільну безпеку, як Layer1 або Layer2, тому його не можна вважати справжньою інфраструктурою. Це більше схоже на посередницький шар, який надає розробникам застосунків можливість налаштовувати стратегії безпеки, але такий підхід має потенційні ризики.
Декілька наукових команд вже вказали на наявність вразливостей безпеки у LayerZero. Наприклад, команда L2BEAT виявила, що в LayerZero є проблеми з довірчими припущеннями, що може призвести до викрадення коштів користувачів. Команда Nomad вказала, що в реле LayerZero є два ключові вразливості, які можуть бути використані внутрішніми особами або членами команди з відомою особистістю.
З точки зору "консенсусу Сатоші", згаданого у білому папері Bitcoin, справжня децентралізована система повинна усувати надійних третіх осіб, досягати бездоверчості та децентралізації. Однак, дизайн LayerZero вимагає від користувачів довіри до Relayer, Oracle, а також розробників, які створюють програми на базі LayerZero, що суперечить принципам децентралізації.
Отже, хоча LayerZero називає себе децентралізованою крос-ланцюговою інфраструктурою, насправді він не відповідає справжнім стандартам децентралізації та без довіри. При створенні крос-ланцюгових протоколів слід більше зосередитися на досягненні справжньої децентралізованої безпеки, а не лише на простому дизайні та швидкому користувацькому досвіді. Майбутні крос-ланцюгові рішення повинні забезпечити справжню децентралізацію і характеристики без довіри, при цьому гарантуючи безпеку.