Adam Back, líder del equipo de desarrollo central de Bitcoin, CEO de BlockStream, tiene un dicho: "Un gran diseño parece muy simple, pero el proceso de diseño es en realidad extremadamente complicado". Sin embargo, no todos los diseños de productos que parecen simples pueden considerarse geniales, como LayerZero.
Antes de que el protocolo entre cadenas tuviera un accidente, todos sentían que era muy seguro y que no había ningún problema, pero una vez que ocurre un accidente, era un evento aterrador. Desde la perspectiva de la cantidad de pérdidas causadas por incidentes de seguridad que ocurrieron en cada cadena en los últimos dos años, las pérdidas causadas por incidentes de seguridad en protocolos entre cadenas encabezaron la lista.
La importancia y urgencia de resolver los problemas de seguridad de los protocolos entre cadenas superan incluso el plan de expansión de Ethereum. La interoperabilidad entre protocolos entre cadenas es un requisito inherente para que Web3 forme una red.
Estos acuerdos suelen recaudar una enorme cantidad de dinero, y el TVL y el número de transacciones también están cada vez más condicionados por una demanda rígida. Sin embargo, debido al bajo grado de reconocimiento público, es imposible reconocer el nivel de seguridad de estos protocolos entre cadenas.
Veamos primero una arquitectura de diseño de producto. El proceso de comunicación entre la Cadena A y la Cadena B lo realiza Relayer, y Oracle supervisa Relayer.
En primer lugar, una ventaja de esta arquitectura es que elimina la comunicación tradicional entre la Cadena A y la Cadena B, y la tercera cadena (las dApps generalmente no se implementan en esta cadena) completa el algoritmo de consenso y docenas de verificaciones de nodos, por lo que puede brindar a los usuarios finales una experiencia de usuario de "cadena cruzada rápida".
Debido a la arquitectura liviana y la pequeña cantidad de código, Oracle tiene un Chainlink listo para usar, por lo que este tipo de proyecto es fácil de poner en línea, pero también es fácil de imitar. Se puede decir que el umbral técnico es cero.
La versión básica del falso protocolo descentralizado de cadena cruzada
Hay al menos dos problemas con la arquitectura anterior:
LayerZero reduce docenas de verificaciones de nodos a una sola verificación de Oracle y, naturalmente, el factor de seguridad se reduce considerablemente.
Después de simplificar a una verificación única, se debe asumir que Relayer y Oracle son independientes, y esta suposición de confianza no puede establecerse para siempre, lo cual no es suficiente para Crypto Native y no puede garantizar fundamentalmente que los dos no puedan conspirar para hacer el mal.
Este es el patrón básico empleado por LayerZero. Como solución de cadena cruzada “ultraligera” de tipo de seguridad independiente, solo es responsable de reenviar mensajes y no es responsable de la seguridad de las aplicaciones, ni tiene la capacidad de ser responsable.
Entonces, si se lanza el Relayer y todos pueden ejecutar el relé, ¿se resolverán los problemas anteriores? La Figura 2 aumenta el número de la Figura 1. En primer lugar, Descentralizado no significa que el número de operadores aumente y cualquiera pueda acceder a él. Eso se llama sin permiso. El lado de la demanda siempre ha estado sin permiso, y hacer que el lado de la oferta también lo esté no es un cambio que haga época.
Es un cambio por parte del mercado y no tiene nada que ver con la seguridad del producto en sí. Relayer de LayerZero es solo un intermediario responsable de reenviar información, y su esencia es la misma que la de Oracle, que es un Tercero de Confianza. Intentar mejorar la seguridad entre cadenas aumentando el número de sujetos confiables de 1 a 30 es inútil. No sólo no cambia las características del producto, sino que también surgirán nuevos problemas.
Versión avanzada del falso protocolo descentralizado de cadena cruzada
Si un proyecto de token entre cadenas permite la modificación del nodo LayerZero configurado, es posible que un atacante lo reemplace con su propio nodo "LayerZero", falsificando así mensajes arbitrarios. Como resultado, todavía existen enormes problemas de seguridad en proyectos que utilizan Layerzero, y este problema será más grave en escenarios más complejos. Siempre que se reemplace un eslabón del enorme sistema, puede provocar una reacción en cadena.
LayerZero por sí solo no tiene la posibilidad de resolver este problema. Si hay un incidente de seguridad, LayerZero naturalmente trasladará la responsabilidad a aplicaciones externas. Debido a que los usuarios finales deben juzgar cuidadosamente la seguridad de cada proyecto que utiliza LayerZero, esos proyectos "orientados al usuario" accederán cuidadosamente a LayerZero para evitar ser contaminados por aplicaciones maliciosas que pertenecen a la misma ecología, por lo que la dificultad de la construcción ecológica no es pequeña.
Si la Capa 0 no puede compartir seguridad como la Capa 1 y la Capa 2, entonces la Capa 0 no puede llamarse Infraestructura, porque la razón por la que la infraestructura es "básica" es que puede compartir seguridad. Si una parte del proyecto afirma ser Infraestructura, debe proporcionar seguridad constante para todos sus proyectos ecológicos como otras infraestructuras, es decir, todos los proyectos ecológicos comparten la seguridad de la infraestructura. Entonces, para ser precisos, LayerZero no es infraestructura, sino middleware. Los desarrolladores de aplicaciones que acceden a este SDK/API de middleware son libres de definir sus políticas de seguridad.
El equipo de L2BEAT publicó una vez un artículo, "Eludir la capa cero: ¿Por qué la seguridad aislada no es seguridad?" el 5 de enero de 2023, señalando que su suposición de que el propietario de la aplicación (o alguien con la clave privada) no puede hacer el mal es incorrecta. El malo, Bob, obtuvo acceso a la configuración de LayerZero.
Puede cambiar el oráculo y el repetidor de los componentes predeterminados a componentes controlados por él y persuadir al contrato inteligente utilizando el mecanismo LayerZero en Ethereum para que le permita retirar todos los tokens de la buena Alice en Ethereum.
El equipo de Nomad emitió un documento el 31 de enero de 2023, señalando que hay dos vulnerabilidades clave en el repetidor LayerZero, que actualmente se encuentra en un estado bipartito de múltiples firmas, por lo que estas vulnerabilidades solo pueden ser explotadas por personas internas o por equipos conocidos. miembros.
La primera de estas vulnerabilidades permitía el envío de mensajes fraudulentos desde LayerZero multisigs, y la segunda permitía la modificación de mensajes o transacciones después de que fueran firmados por oráculos y multisigs, resultando ambas en el robo de todos los fondos de los usuarios.
El 31 de octubre de 2008 se publicó el libro blanco de Bitcoin. El 3 de enero de 2009 nació el bloque génesis BTC. Un resumen del documento técnico Un sistema de efectivo electrónico entre pares es el siguiente:
"Abstracto. Una versión puramente peer-to-peer del efectivo electrónico permitiría enviar pagos en línea directamente de una parte a otra sin pasar por una institución financiera. Las firmas digitales proporcionan parte de la solución, pero los principales beneficios se pierden si aún se requiere un tercero confiable para evitar el doble gasto.
Proponemos una solución al problema del doble gasto utilizando una red peer-to-peer. La red marca las transacciones con un hash en una cadena continua de prueba de trabajo basada en hash, formando un registro que no se puede cambiar sin rehacer la prueba de trabajo. La cadena más larga no sólo sirve como prueba de la secuencia de eventos presenciados, sino también como prueba de que provino del mayor conjunto de potencia de CPU.
Mientras la mayor parte de la potencia de la CPU esté controlada por nodos que no cooperan para atacar la red, generarán la cadena más larga y superarán a los atacantes. La red en sí requiere una estructura mínima. Los mensajes se transmiten con el mayor esfuerzo posible y los nodos pueden abandonar y volver a unirse a la red a voluntad, aceptando la cadena de prueba de trabajo más larga como prueba de lo que sucedió mientras no estaban”.
De este documento, que es de gran importancia para las generaciones futuras, se extrajo el ampliamente reconocido "Consenso de Satoshi Nakamoto", especialmente de este resumen. Su característica principal es evitar la aparición de un tercero confiable y realizar una descentralización sin confianza. El "centro" aquí es un tercero de confianza. El protocolo de comunicación entre cadenas es esencialmente el mismo que el de Bitcoin. Es un sistema Peer-to-Peer. Una parte envía directamente desde la Cadena A a la otra parte en la Cadena B sin pasar por ninguna parte de confianza.
El "Consenso de Satoshi Nakamoto" con características descentralizadas y sin confianza se ha convertido en el objetivo común perseguido por todos los desarrolladores de infraestructura posteriores. Se puede decir que un protocolo de cadena cruzada que no cumple con el "Consenso de Satoshi Nakamoto" es un protocolo de cadena cruzada descentralizado falso, y palabras avanzadas como Descentralizado y Sin confianza no se pueden usar para describir las características de su producto.
Y LayerZero se presentó como comunicación Omnichain, interoperabilidad e infraestructura descentralizada. LayerZero es un protocolo de interoperabilidad omnichain diseñado para mensajes livianos que pasan a través de cadenas. LayerZero proporciona entrega de mensajes auténtica y garantizada con confiabilidad configurable.
De hecho, LayerZero no sólo requiere que los dos roles de Relayer y Oracle no conspiren para hacer el mal, sino que también requiere que los usuarios confíen en los desarrolladores que usan LayerZero para crear aplicaciones como un tercero confiable y en los sujetos de confianza que participan en el “multi- firma” son todos roles privilegiados preestablecidos.
Al mismo tiempo, no generó ninguna prueba de fraude ni prueba de validez durante todo el proceso entre cadenas, y mucho menos puso estas pruebas en la cadena y realizó una verificación en la cadena. Por lo tanto, LayerZero no satisface en absoluto el “Consenso de Satoshi Nakamoto” y no es descentralizado ni confiable en absoluto.
Después de que el equipo de L2BEAT y el equipo de Nomad publicaron artículos bien intencionados desde la perspectiva de los buscadores de problemas, LayerZero respondió con "negar" y "negar". Hubo muchas monedas electrónicas antes del Bitcoin, pero todas fracasaron. Porque ninguno de ellos puede lograr el objetivo de descentralización, antiataque y valor inherente, y lo mismo ocurre con los protocolos entre cadenas. Lo más probable es que termine debido a una resistencia insuficiente ante los ataques.
DESCARGO DE RESPONSABILIDAD: La información contenida en este sitio web se proporciona como comentario general del mercado y no constituye asesoramiento de inversión. Le recomendamos que haga su propia investigación antes de invertir.
Únase a nosotros para estar al tanto de las novedades: https://linktr.ee/coincu
Sitio web: coincu.com
harold
Noticias Coincu