Adam Back, pemimpin tim pengembangan inti Bitcoin, CEO BlockStream, mengatakan: “Desain yang bagus terlihat sangat sederhana, namun proses mendesainnya sebenarnya sangat rumit.” Namun, tidak semua desain produk yang terlihat sederhana bisa disebut bagus, seperti LayerZero.
Sebelum protokol lintas rantai mengalami kecelakaan, semua orang merasa sangat aman dan tidak ada masalah, namun begitu terjadi kecelakaan, itu adalah peristiwa yang mengerikan. Dari perspektif jumlah kerugian yang disebabkan oleh insiden keamanan yang terjadi pada setiap rantai dalam dua tahun terakhir, kerugian yang disebabkan oleh insiden keamanan pada protokol lintas rantai menempati urutan teratas.
Pentingnya dan urgensi penyelesaian masalah keamanan protokol lintas rantai bahkan melebihi rencana ekspansi Ethereum. Interoperabilitas antar protokol lintas rantai merupakan persyaratan melekat bagi Web3 untuk membentuk jaringan.
Perjanjian semacam ini sering kali menghasilkan sejumlah besar uang, dan TVL serta jumlah transaksi juga semakin didorong oleh permintaan yang ketat. Namun, karena rendahnya tingkat pengakuan publik, tingkat keamanan protokol lintas rantai ini tidak mungkin dikenali.
Pertama mari kita lihat arsitektur desain produk. Proses komunikasi antara Chain A dan Chain B dilakukan oleh Relayer, dan Oracle mengawasi Relayer.
Pertama-tama, salah satu keuntungan dari arsitektur ini adalah menghilangkan komunikasi tradisional antara Rantai A dan Rantai B, dan rantai ketiga (dApps umumnya tidak diterapkan pada rantai ini) melengkapi algoritma konsensus dan lusinan verifikasi node, sehingga dapat menghadirkan pengalaman pengguna “lintas rantai cepat” kepada pengguna akhir.
Karena arsitekturnya yang ringan dan jumlah kode yang sedikit, Oracle memiliki Chainlink yang sudah jadi, sehingga proyek jenis ini mudah untuk online, tetapi juga mudah untuk ditiru. Ambang batas teknisnya bisa dikatakan nol.
Versi dasar dari protokol lintas rantai terdesentralisasi palsu
Setidaknya ada dua masalah dengan arsitektur di atas:
LayerZero mengurangi lusinan verifikasi node menjadi satu verifikasi Oracle, dan faktor keamanan secara alami sangat berkurang.
Setelah disederhanakan menjadi satu verifikasi, harus diasumsikan bahwa Relayer dan Oracle adalah independen, dan asumsi kepercayaan ini tidak dapat dibangun selamanya, yang tidak cukup untuk Crypto Native dan pada dasarnya tidak dapat menjamin bahwa keduanya tidak dapat bersekongkol untuk melakukan kejahatan.
Ini adalah pola dasar yang digunakan oleh LayerZero. Sebagai solusi lintas rantai “ultra-ringan” dari jenis keamanan independen, solusi ini hanya bertanggung jawab untuk meneruskan pesan dan tidak bertanggung jawab atas keamanan aplikasi, juga tidak memiliki kemampuan untuk bertanggung jawab.
Lalu jika Relayer dilepas dan semua orang dapat menjalankan relay, apakah permasalahan di atas akan teratasi? Gambar 2 menambah jumlah Gambar 1. Pertama-tama, Terdesentralisasi tidak berarti jumlah operator bertambah dan siapa pun dapat mengaksesnya. Itu disebut Tanpa Izin. Sisi permintaan selalu tanpa izin, dan menjadikan sisi pasokan juga Tanpa Izin bukanlah sebuah perubahan besar.
Ini merupakan perubahan di sisi pasar dan tidak ada hubungannya dengan keamanan produk itu sendiri. Relayer LayerZero hanyalah perantara yang bertanggung jawab meneruskan informasi, dan esensinya sama dengan Oracle, yaitu Pihak Ketiga Tepercaya. Mencoba meningkatkan keamanan lintas rantai dengan meningkatkan jumlah subjek tepercaya dari 1 menjadi 30 adalah sia-sia. Bukan hanya tidak mengubah karakteristik produk, namun permasalahan baru juga akan muncul.
Versi lanjutan dari protokol lintas rantai terdesentralisasi palsu
Jika proyek token lintas rantai memungkinkan modifikasi node LayerZero yang dikonfigurasi, penyerang dapat menggantinya dengan node “LayerZero” miliknya sendiri, sehingga memalsukan pesan sewenang-wenang. Akibatnya, masih terdapat masalah keamanan yang besar dalam proyek yang menggunakan Layerzero, dan masalah ini akan menjadi lebih serius dalam skenario yang lebih kompleks. Selama satu mata rantai dalam sistem besar diganti, hal itu dapat menyebabkan reaksi berantai.
LayerZero sendiri tidak memiliki kemungkinan untuk mengatasi masalah ini. Jika terjadi insiden keamanan, LayerZero secara alami akan mengalihkan tanggung jawab ke aplikasi eksternal. Karena pengguna akhir perlu menilai keamanan setiap proyek dengan hati-hati menggunakan LayerZero, proyek-proyek “berorientasi pengguna” tersebut akan mengakses LayerZero dengan hati-hati agar tidak tercemar oleh aplikasi jahat yang termasuk dalam ekologi yang sama, sehingga kesulitan dalam konstruksi ekologi tidaklah kecil.
Jika Layer-0 tidak dapat berbagi keamanan seperti Layer-1 dan Layer-2, maka Layer-0 tidak bisa disebut Infrastruktur, karena alasan mengapa infrastruktur bersifat “dasar” adalah karena dapat berbagi keamanan. Jika pihak proyek mengaku sebagai Infrastruktur, maka pihak tersebut harus memberikan keamanan yang konsisten untuk semua proyek ekologisnya seperti infrastruktur lainnya, yaitu semua proyek ekologi berbagi keamanan infrastruktur tersebut. Jadi, tepatnya LayerZero bukanlah infrastruktur, melainkan middleware. Pengembang aplikasi yang mengakses SDK/API Middleware ini memang bebas menentukan kebijakan keamanannya.
Tim L2BEAT pernah menerbitkan artikel, “Menghindari Lapisan Nol: Mengapa Keamanan Terisolasi Tidak Ada Keamanan?” pada tanggal 5 Januari 2023, menunjukkan bahwa asumsi mereka bahwa pemilik aplikasi (atau seseorang dengan kunci pribadi) tidak dapat melakukan kejahatan adalah tidak benar. Orang jahat, Bob, memperoleh akses ke konfigurasi LayerZero.
Dia dapat mengubah oracle dan repeater dari komponen default ke komponen yang dikendalikan olehnya dan membujuk kontrak pintar menggunakan mekanisme LayerZero di Ethereum untuk membiarkan dia menarik semua token orang baik Alice di Ethereum.
Tim Nomad mengeluarkan dokumen pada tanggal 31 Januari 2023, menunjukkan bahwa ada dua kerentanan utama dalam repeater LayerZero, yang saat ini berada dalam status multi-tanda tangan dua pihak, sehingga kerentanan ini hanya dapat dieksploitasi oleh orang dalam atau tim yang dikenal. anggota.
Kerentanan pertama memungkinkan pesan palsu dikirim dari multisig LayerZero, dan kerentanan kedua memungkinkan modifikasi pesan atau transaksi setelah ditandatangani oleh oracle dan multisig, keduanya mengakibatkan pencurian seluruh dana pengguna.
Pada tanggal 31 Oktober 2008, kertas putih Bitcoin keluar. Pada tanggal 3 Januari 2009, blok genesis BTC lahir. Ringkasan white paper Sistem Kas Elektronik Peer-to-Peer adalah sebagai berikut:
"Abstrak. Versi uang elektronik murni peer-to-peer akan memungkinkan pembayaran online dikirim langsung dari satu pihak ke pihak lain tanpa melalui lembaga keuangan. Tanda tangan digital merupakan salah satu solusinya, namun manfaat utamanya akan hilang jika pihak ketiga yang terpercaya masih diperlukan untuk mencegah pembelanjaan ganda.
Kami mengusulkan solusi terhadap masalah pembelanjaan ganda dengan menggunakan jaringan peer-to-peer. Jaringan mencatat waktu transaksi dengan melakukan hashing ke dalam rantai bukti kerja berbasis hash yang sedang berlangsung, sehingga membentuk catatan yang tidak dapat diubah tanpa mengulangi bukti kerja tersebut. Rantai terpanjang tidak hanya berfungsi sebagai bukti rangkaian peristiwa yang disaksikan, namun juga bukti bahwa rantai tersebut berasal dari kumpulan daya CPU terbesar.
Selama sebagian besar daya CPU dikendalikan oleh node yang tidak bekerja sama untuk menyerang jaringan, node tersebut akan menghasilkan rantai terpanjang dan melampaui penyerang. Jaringan itu sendiri memerlukan struktur minimal. Pesan disiarkan berdasarkan upaya terbaik, dan node dapat keluar dan bergabung kembali dengan jaringan sesuka hati, menerima rantai bukti kerja terpanjang sebagai bukti atas apa yang terjadi saat mereka pergi.”
Dari makalah ini, yang sangat penting bagi generasi mendatang, orang-orang mengekstraksi “Konsensus Satoshi Nakamoto” yang diakui secara luas, terutama dari abstrak ini. Fitur intinya adalah untuk mencegah munculnya Pihak Ketiga Tepercaya dan mewujudkan Desentralisasi yang tidak dapat dipercaya. “Pusat” di sini adalah Pihak Ketiga Tepercaya. Protokol komunikasi lintas rantai pada dasarnya sama dengan Bitcoin. Ini adalah sistem Peer-to-Peer. Satu pihak mengirim langsung dari Rantai A ke pihak lain di Rantai B tanpa melalui pihak yang dipercaya.
“Konsensus Satoshi Nakamoto” dengan fitur Terdesentralisasi dan Tanpa Kepercayaan telah menjadi tujuan bersama yang dikejar oleh semua pengembang infrastruktur berikutnya. Dapat dikatakan bahwa protokol lintas rantai yang tidak memenuhi “Konsensus Satoshi Nakamoto” adalah protokol lintas rantai terdesentralisasi palsu, dan kata-kata lanjutan seperti Terdesentralisasi dan Tanpa Kepercayaan tidak dapat digunakan untuk menggambarkan karakteristik produknya.
Dan LayerZero memperkenalkan dirinya sebagai komunikasi Omnichain, interoperabilitas, infrastruktur terdesentralisasi. LayerZero adalah protokol interoperabilitas omnichain yang dirancang untuk pesan ringan yang melewati rantai. LayerZero menyediakan pengiriman pesan yang otentik dan terjamin dengan kepercayaan yang dapat dikonfigurasi.
Faktanya, LayerZero tidak hanya mensyaratkan bahwa kedua peran Relayer dan Oracle tidak akan berkonspirasi untuk melakukan kejahatan tetapi juga mengharuskan pengguna untuk mempercayai pengembang yang menggunakan LayerZero untuk membangun aplikasi sebagai pihak ketiga yang dapat diandalkan dan subjek tepercaya yang berpartisipasi dalam “multi- tanda tangan” semuanya adalah peran istimewa yang telah diatur sebelumnya.
Pada saat yang sama, ia tidak menghasilkan bukti penipuan atau bukti validitas apa pun selama seluruh proses lintas rantai, apalagi menempatkan bukti ini pada rantai dan melakukan verifikasi on-chain. Oleh karena itu, LayerZero sama sekali tidak memenuhi “Konsensus Satoshi Nakamoto”, dan tidak Terdesentralisasi dan Tidak Dapat Dipercaya sama sekali.
Setelah tim L2BEAT dan tim Nomad menerbitkan artikel yang bermaksud baik dari sudut pandang pencari masalah, LayerZero merespons dengan “menyangkal” dan “menyangkal.” Ada banyak mata uang elektronik sebelum Bitcoin, tapi semuanya gagal. Karena tidak satupun dari mereka dapat mencapai tujuan desentralisasi, anti-serangan dan nilai yang melekat, dan hal yang sama berlaku untuk protokol lintas rantai. Kemungkinannya adalah hal ini akan berakhir karena kurangnya ketahanan terhadap serangan.
PENOLAKAN: Informasi di situs web ini disediakan sebagai komentar pasar umum dan bukan merupakan nasihat investasi. Kami mendorong Anda untuk melakukan riset sendiri sebelum berinvestasi.
Bergabunglah dengan kami untuk terus memantau berita: https://linktr.ee/coincu
Situs web: coincu.com
Harold
Berita Coincu