Adam Back, Leiter des Bitcoin-Kernentwicklungsteams und CEO von BlockStream, sagt: „Ein großartiges Design sieht sehr einfach aus, aber der Designprozess ist in Wirklichkeit extrem kompliziert.“ Allerdings kann man nicht alle Produktdesigns, die einfach aussehen, als großartig bezeichnen, wie zum Beispiel LayerZero.
Bevor es zu einem Unfall bei einem Cross-Chain-Protokoll kommt, hat jeder das Gefühl, dass es sehr sicher ist und es keine Probleme gibt, aber wenn es zu einem Unfall kommt, ist das ein Horrorereignis. Betrachtet man die Anzahl der Verluste durch Sicherheitsvorfälle, die in den letzten zwei Jahren bei jeder Kette aufgetreten sind, stehen die Verluste durch Sicherheitsvorfälle bei Cross-Chain-Protokollen ganz oben auf der Liste.
Die Bedeutung und Dringlichkeit der Lösung von Sicherheitsproblemen bei kettenübergreifenden Protokollen übersteigt sogar den Ethereum-Erweiterungsplan. Die Interoperabilität zwischen kettenübergreifenden Protokollen ist eine inhärente Voraussetzung für die Bildung eines Web3-Netzwerks.
Solche Vereinbarungen bringen oft riesige Geldsummen ein, und auch der TVL und die Anzahl der Transaktionen werden zunehmend von der starren Nachfrage bestimmt. Aufgrund der geringen öffentlichen Anerkennung ist es jedoch unmöglich, das Sicherheitsniveau dieser kettenübergreifenden Protokolle zu erkennen.
Schauen wir uns zunächst eine Produktdesignarchitektur an. Der Kommunikationsprozess zwischen Kette A und Kette B wird von Relayer ausgeführt und Oracle überwacht Relayer.
Zunächst einmal besteht ein Vorteil dieser Architektur darin, dass sie die herkömmliche Kommunikation zwischen Kette A und Kette B eliminiert und die dritte Kette (dApps werden im Allgemeinen nicht auf dieser Kette eingesetzt) den Konsensalgorithmus und Dutzende von Knotenüberprüfungen vervollständigt, sodass sie Endbenutzern ein „schnelles kettenübergreifendes“ Benutzererlebnis bieten kann.
Aufgrund der leichtgewichtigen Architektur und der geringen Codemenge verfügt Oracle über ein vorgefertigtes Chainlink, sodass diese Art von Projekt leicht online gestellt werden kann, aber auch leicht nachgeahmt werden kann. Die technische Hürde liegt sozusagen bei Null.
Die Basisversion des gefälschten dezentralen Cross-Chain-Protokolls
Mit der obigen Architektur sind mindestens zwei Probleme verbunden:
LayerZero reduziert Dutzende von Knotenüberprüfungen auf eine einzige Oracle-Überprüfung und der Sicherheitsfaktor wird natürlich erheblich reduziert.
Nach der Vereinfachung auf eine einzige Überprüfung muss davon ausgegangen werden, dass Relayer und Oracle unabhängig sind. Diese Vertrauensannahme kann nicht für immer aufrechterhalten werden. Für Crypto Native reicht dies nicht aus und kann nicht grundsätzlich garantieren, dass die beiden nicht zusammenarbeiten können, um Böses zu tun.
Dies ist das grundlegende Muster, das LayerZero verwendet. Als „ultraleichte“ Cross-Chain-Lösung eines unabhängigen Sicherheitstyps ist es nur für die Weiterleitung von Nachrichten verantwortlich und nicht für die Sicherheit von Anwendungen, noch hat es die Fähigkeit, dafür verantwortlich zu sein.
Wenn der Relayer dann freigegeben wird und jeder den Relayer ausführen kann, werden dann die oben genannten Probleme gelöst? Abbildung 2 erhöht die Zahl von Abbildung 1. Zunächst einmal bedeutet Dezentralisierung nicht, dass die Zahl der Betreiber zunimmt und jeder darauf zugreifen kann. Das nennt man Erlaubnisfrei. Die Nachfrageseite war schon immer erlaubnisfrei, und die Angebotsseite ebenfalls erlaubnisfrei zu machen, ist keine epochale Veränderung.
Es handelt sich um eine Änderung auf der Marktseite und hat nichts mit der Sicherheit des Produkts selbst zu tun. LayerZeros Relayer ist lediglich ein Vermittler, der für die Weiterleitung von Informationen verantwortlich ist, und sein Wesen ist dasselbe wie bei Oracle, einem vertrauenswürdigen Dritten. Der Versuch, die kettenübergreifende Sicherheit durch eine Erhöhung der Anzahl vertrauenswürdiger Subjekte von 1 auf 30 zu verbessern, ist sinnlos. Dies ändert nicht nur nichts an den Eigenschaften des Produkts, sondern es entstehen auch neue Probleme.
Erweiterte Version des gefälschten dezentralen Cross-Chain-Protokolls
Wenn ein Cross-Chain-Token-Projekt die Änderung des konfigurierten LayerZero-Knotens zulässt, ist es einem Angreifer möglich, ihn durch seinen eigenen „LayerZero“-Knoten zu ersetzen und so beliebige Nachrichten zu fälschen. Infolgedessen gibt es in Projekten, die LayerZero verwenden, immer noch große Sicherheitsprobleme, und dieses Problem wird in komplexeren Szenarien noch schwerwiegender sein. Sobald ein Glied in dem riesigen System ersetzt wird, kann dies eine Kettenreaktion auslösen.
LayerZero selbst hat nicht die Möglichkeit, dieses Problem zu lösen. Bei einem Sicherheitsvorfall verlagert LayerZero die Verantwortung natürlich auf externe Anwendungen. Da Endbenutzer die Sicherheit jedes Projekts, das LayerZero verwendet, sorgfältig beurteilen müssen, greifen diese „benutzerorientierten“ Projekte sorgfältig auf LayerZero zu, um eine Verschmutzung durch bösartige Anwendungen derselben Ökologie zu vermeiden. Daher ist die Schwierigkeit der ökologischen Konstruktion nicht gering.
Wenn Layer-0 die Sicherheit nicht wie Layer-1 und Layer-2 teilen kann, kann Layer-0 nicht als Infrastruktur bezeichnet werden, denn der Grund, warum die Infrastruktur „grundlegend“ ist, ist, dass sie Sicherheit teilen kann. Wenn eine Projektpartei behauptet, Infrastruktur zu sein, sollte sie für alle ihre ökologischen Projekte konsistente Sicherheit wie andere Infrastrukturen bieten, d. h. alle ökologischen Projekte teilen die Sicherheit der Infrastruktur. Genau genommen ist LayerZero also keine Infrastruktur, sondern Middleware. Anwendungsentwickler, die auf dieses Middleware-SDK/API zugreifen, können ihre Sicherheitsrichtlinien tatsächlich frei definieren.
Das L2BEAT-Team veröffentlichte am 5. Januar 2023 einen Artikel mit dem Titel „Circumventing Layer Zero: Why Isolated Security is No Security?“ und wies darauf hin, dass seine Annahme, dass der App-Besitzer (oder jemand mit dem privaten Schlüssel) nichts Böses tun kann, falsch ist. Der Bösewicht Bob verschaffte sich Zugriff auf die LayerZero-Konfiguration.
Er kann das Orakel und den Repeater von den Standardkomponenten in von ihm kontrollierte Komponenten ändern und den Smart Contract mithilfe des LayerZero-Mechanismus auf Ethereum dazu überreden, ihm zu erlauben, alle Token der guten Alice auf Ethereum abzuheben.
Das Nomad-Team hat am 31. Januar 2023 ein Dokument veröffentlicht, in dem darauf hingewiesen wird, dass der LayerZero-Repeater zwei wesentliche Schwachstellen aufweist und sich derzeit in einem Zweiparteien-Multisignaturzustand befindet, sodass diese Schwachstellen nur von Insidern oder bekannten Teammitgliedern ausgenutzt werden können.
Die erste dieser Schwachstellen ermöglichte das Senden betrügerischer Nachrichten von LayerZero-Multisigs und die zweite ermöglichte die Änderung von Nachrichten oder Transaktionen, nachdem sie von Orakeln und Multisigs signiert worden waren, was in beiden Fällen zum Diebstahl aller Benutzergelder führte.
Am 31. Oktober 2008 erschien das Bitcoin-Whitepaper. Am 3. Januar 2009 wurde der BTC-Genesis-Block geboren. Eine Zusammenfassung des Whitepapers „Ein Peer-to-Peer-Electronic-Cash-System“ lautet wie folgt:
„Zusammenfassung. Eine reine Peer-to-Peer-Version von elektronischem Bargeld würde Online-Zahlungen direkt von einer Partei zur anderen ermöglichen, ohne den Umweg über ein Finanzinstitut zu nehmen. Digitale Signaturen sind ein Teil der Lösung, aber die Hauptvorteile gehen verloren, wenn weiterhin eine vertrauenswürdige dritte Partei erforderlich ist, um Doppelausgaben zu verhindern.
Wir schlagen eine Lösung für das Problem der Doppelausgaben mithilfe eines Peer-to-Peer-Netzwerks vor. Das Netzwerk versieht Transaktionen mit einem Zeitstempel, indem es sie in eine fortlaufende Kette hashbasierter Proof-of-Work-Arbeiten einfügt. Dadurch entsteht ein Datensatz, der nicht geändert werden kann, ohne den Proof-of-Work-Arbeiten zu wiederholen. Die längste Kette dient nicht nur als Beweis für die beobachtete Ereignisfolge, sondern auch als Beweis dafür, dass sie aus dem Pool mit der größten CPU-Leistung stammt.
Solange ein Großteil der CPU-Leistung von Knoten kontrolliert wird, die nicht kooperieren, um das Netzwerk anzugreifen, werden sie die längste Kette erzeugen und Angreifer überholen. Das Netzwerk selbst erfordert nur eine minimale Struktur. Nachrichten werden nach bestem Wissen und Gewissen gesendet, und Knoten können das Netzwerk nach Belieben verlassen und wieder betreten, wobei sie die längste Proof-of-Work-Kette als Beweis dafür akzeptieren, was während ihrer Abwesenheit passiert ist.“
Aus diesem Papier, das für zukünftige Generationen von großer Bedeutung ist, haben die Menschen den weithin anerkannten „Satoshi Nakamoto-Konsens“ extrahiert, insbesondere aus dieser Zusammenfassung. Sein Kernmerkmal besteht darin, das Auftreten einer vertrauenswürdigen dritten Partei zu verhindern und eine vertrauenslose Dezentralisierung zu realisieren. Das „Zentrum“ hier ist eine vertrauenswürdige dritte Partei. Das kettenübergreifende Kommunikationsprotokoll ist im Wesentlichen dasselbe wie bei Bitcoin. Es ist ein Peer-to-Peer-System. Eine Partei sendet direkt von Kette A an die andere Partei in Kette B, ohne über eine vertrauenswürdige Partei zu gehen.
Der „Satoshi Nakamoto-Konsens“ mit dezentralen und vertrauenslosen Funktionen ist zum gemeinsamen Ziel aller nachfolgenden Infrastrukturentwickler geworden. Man kann sagen, dass ein Cross-Chain-Protokoll, das den „Satoshi Nakamoto-Konsens“ nicht erfüllt, ein gefälschtes dezentrales Cross-Chain-Protokoll ist und fortgeschrittene Wörter wie dezentralisiert und vertrauenslos nicht verwendet werden können, um seine Produkteigenschaften zu beschreiben.
Und LayerZero stellte sich als Omnichain-Kommunikation, Interoperabilität und dezentrale Infrastruktur vor. LayerZero ist ein Omnichain-Interoperabilitätsprotokoll, das für die Übermittlung leichter Nachrichten über Ketten hinweg entwickelt wurde. LayerZero bietet authentische und garantierte Nachrichtenübermittlung mit konfigurierbarer Vertrauenslosigkeit.
Tatsächlich erfordert LayerZero nicht nur, dass die beiden Rollen Relayer und Oracle nicht zu bösen Zwecken zusammenarbeiten, sondern erfordert von den Benutzern auch, dass sie den Entwicklern, die LayerZero zum Erstellen von Anwendungen verwenden, als vertrauenswürdige Dritte vertrauen und dass alle an der „Multisignatur“ beteiligten vertrauenswürdigen Subjekte über vorab vereinbarte privilegierte Rollen verfügen.
Gleichzeitig wurden während des gesamten Cross-Chain-Prozesses keine Betrugs- oder Gültigkeitsnachweise generiert, geschweige denn diese Nachweise in die Kette eingefügt und eine On-Chain-Verifizierung durchgeführt. Daher erfüllt LayerZero den „Satoshi Nakamoto-Konsens“ überhaupt nicht und ist überhaupt nicht dezentralisiert und vertrauenslos.
Nachdem das L2BEAT-Team und das Nomad-Team aus der Sicht von Problemfindern gut gemeinte Artikel veröffentlicht hatten, reagierte LayerZero mit „Ablehnen“ und „Abstreiten“. Vor Bitcoin gab es viele elektronische Währungen, aber sie alle scheiterten. Denn keine von ihnen kann das Ziel der Dezentralisierung, Angriffssicherheit und des inhärenten Werts erreichen, und dasselbe gilt für kettenübergreifende Protokolle. Die Wahrscheinlichkeit ist groß, dass es aufgrund unzureichender Widerstandsfähigkeit gegen Angriffe endet.
HAFTUNGSAUSSCHLUSS: Die Informationen auf dieser Website dienen als allgemeine Marktkommentare und stellen keine Anlageberatung dar. Wir empfehlen Ihnen, vor einer Anlage Ihre eigenen Recherchen durchzuführen.
Bleiben Sie mit uns über Neuigkeiten auf dem Laufenden: https://linktr.ee/coincu
Website: coincu.com
Harald
Coincu-Neuigkeiten