Адам Бэк, руководитель основной группы разработчиков Bitcoin и генеральный директор BlockStream, сказал: «Отличный дизайн выглядит очень простым, но процесс его проектирования на самом деле чрезвычайно сложен». Однако не все дизайны продуктов, которые выглядят просто, можно назвать великолепными, например, LayerZero.
До того, как в межсетевом протоколе произойдет авария, все чувствуют, что он очень безопасен и проблем нет, но как только происходит авария, это ужасное событие. С точки зрения количества убытков, вызванных инцидентами безопасности, произошедшими в каждой цепочке за последние два года, потери, вызванные инцидентами безопасности в межцепочных протоколах, возглавили список.
Важность и срочность решения проблем безопасности межсетевых протоколов даже превосходят план расширения Ethereum. Взаимодействие между межсетевыми протоколами является неотъемлемым требованием Web3 для формирования сети.
Такие соглашения часто привлекают огромные суммы денег, а TVL и количество транзакций также все чаще определяются жестким спросом. Однако из-за низкой степени общественного признания невозможно признать уровень безопасности этих межсетевых протоколов.
Давайте сначала посмотрим на архитектуру дизайна продукта. Процесс связи между цепочкой A и цепочкой B выполняется Relayer, а Oracle контролирует Relayer.
Прежде всего, одним из преимуществ этой архитектуры является то, что она исключает традиционную связь между цепочкой A и цепочкой B, а третья цепочка (децентрализованные приложения обычно не развертываются в этой цепочке) завершает алгоритм консенсуса и десятки проверок узлов, поэтому она может предоставить конечным пользователям пользовательский опыт «быстрого перекрестного взаимодействия».
Благодаря легкой архитектуре и небольшому объему кода у Oracle есть готовый Chainlink, поэтому проект такого типа легко вывести в Интернет, но его также легко имитировать. Технический порог можно назвать нулевым.
The basic version of the fake decentralized cross-chain protocol
В приведенной выше архитектуре есть как минимум две проблемы:
LayerZero сокращает десятки проверок узлов до одной проверки Oracle, и, естественно, значительно снижается коэффициент безопасности.
После упрощения до единой проверки необходимо предположить, что Relayer и Oracle независимы, и это предположение о доверии не может быть установлено навсегда, чего недостаточно для Crypto Native и не может фундаментально гарантировать, что эти двое не могут сговориться, чтобы совершить зло.
Это базовый шаблон, используемый LayerZero. Являясь «сверхлегким» кроссчейн-решением независимого типа безопасности, оно отвечает только за пересылку сообщений и не отвечает за безопасность приложений, а также не имеет возможности нести ответственность.
Тогда, если ретранслятор будет выпущен и каждый сможет его запустить, будут ли решены вышеуказанные проблемы? Цифра 2 увеличивает количество Рисунка 1. Прежде всего, децентрализованность не означает, что количество операторов увеличивается и каждый может получить к ней доступ. Это называется «без разрешений». Сторона спроса всегда была недопустимой, и сделать сторону предложения также недопустимой — это не эпохальное изменение.
Это изменение на рынке и не имеет ничего общего с безопасностью самого продукта. LayerZero Relayer — это всего лишь посредник, ответственный за пересылку информации, и его суть такая же, как у Oracle, который является доверенной третьей стороной. Попытки улучшить межсетевую безопасность за счет увеличения количества доверенных субъектов с 1 до 30 бесполезны. Это не только не изменит характеристики продукта, но и возникнут новые проблемы.
Advanced version of the fake decentralized cross-chain protocol
Если проект кросс-чейн токена допускает модификацию настроенного узла LayerZero, злоумышленник может заменить его собственным узлом «LayerZero», тем самым подделывая произвольные сообщения. В результате в проектах, использующих Layerzero, по-прежнему существуют огромные проблемы с безопасностью, и эта проблема будет более серьезной в более сложных сценариях. Замена одного звена огромной системы может вызвать цепную реакцию.
LayerZero сам по себе не имеет возможности решить эту проблему. Если произойдет инцидент безопасности, LayerZero естественным образом переложит ответственность на внешние приложения. Поскольку конечным пользователям необходимо тщательно оценивать безопасность каждого проекта, использующего LayerZero, эти «ориентированные на пользователя» проекты будут тщательно обращаться к LayerZero, чтобы избежать заражения вредоносными приложениями, принадлежащими к одной и той же среде, поэтому сложность экологического построения немалая.
Если уровень 0 не может совместно использовать безопасность, как уровень 1 и уровень 2, то уровень 0 не может называться инфраструктурой, поскольку причина, по которой инфраструктура является «базовой», заключается в том, что она может совместно использовать безопасность. Если участник проекта заявляет, что является инфраструктурой, он должен обеспечить последовательную безопасность для всех своих экологических проектов, как и для других инфраструктур, то есть все экологические проекты разделяют безопасность инфраструктуры. Итак, если быть точным, LayerZero — это не инфраструктура, а промежуточное программное обеспечение. Разработчики приложений, получающие доступ к этому SDK/API промежуточного программного обеспечения, действительно могут свободно определять свою политику безопасности.
Команда L2BEAT однажды опубликовала статью «Обход нулевого уровня: почему изолированная безопасность — это не безопасность?» 5 января 2023 г., отметив, что их предположение о том, что владелец приложения (или кто-то с закрытым ключом) не может творить зло, неверно. Злоумышленник Боб получил доступ к конфигурации LayerZero.
Он может изменить оракул и репитер с компонентов по умолчанию на компоненты, контролируемые им, и убедить смарт-контракт с помощью механизма LayerZero на Ethereum позволить ему вывести все токены хорошего парня Алисы на Ethereum.
Команда Nomad выпустила документ 31 января 2023 года, в котором указано, что в ретрансляторе LayerZero есть две ключевые уязвимости, которые в настоящее время находятся в состоянии двухсторонней мультиподписи, поэтому эти уязвимости могут быть использованы только инсайдерами или известной командой. члены.
Первая из этих уязвимостей позволяла отправлять мошеннические сообщения с мультиподписей LayerZero, а вторая позволяла модифицировать сообщения или транзакции после того, как они были подписаны оракулами и мультиподписями, что приводило к краже всех пользовательских средств.
31 октября 2008 года был опубликован официальный документ Биткойна. 3 января 2009 года родился блок генезиса BTC. Краткое изложение официального документа «Одноранговая электронная кассовая система» выглядит следующим образом:
"Абстрактный. Чисто одноранговая версия электронных денег позволит отправлять онлайн-платежи напрямую от одной стороны к другой, минуя финансовое учреждение. Цифровые подписи обеспечивают часть решения, но основные преимущества теряются, если для предотвращения двойных расходов по-прежнему требуется доверенная третья сторона.
Мы предлагаем решение проблемы двойных расходов с помощью одноранговой сети. Сеть маркирует транзакции, хешируя их в непрерывную цепочку доказательств работы на основе хеша, образуя запись, которую нельзя изменить без повторного выполнения доказательства работы. Самая длинная цепочка служит не только доказательством последовательности наблюдаемых событий, но и доказательством того, что она исходит из самого большого пула мощности процессора.
Пока большая часть мощности ЦП контролируется узлами, которые не участвуют в атаке на сеть, они будут генерировать самую длинную цепочку и опережать атакующих. Сама сеть требует минимальной структуры. Сообщения передаются по принципу «максимально возможно», и узлы могут покидать сеть и снова присоединяться к ней по своему желанию, принимая самую длинную цепочку доказательства работы как доказательство того, что произошло, пока их не было».
Из этой статьи, которая имеет большое значение для будущих поколений, люди извлекли широко признанный «Консенсус Сатоши Накамото», особенно из этого тезиса. Его основная особенность — предотвратить появление доверенной третьей стороны и реализовать надежную децентрализацию. «Центром» здесь является доверенная третья сторона. Протокол межсетевой связи по сути такой же, как у Биткойна. Это одноранговая система. Одна сторона отправляет данные напрямую из цепочки A другой стороне в цепочке B, минуя доверенную сторону.
«Консенсус Сатоши Накамото» с функциями децентрализации и доверия стал общей целью, которую преследовали все последующие разработчики инфраструктуры. Можно сказать, что кросс-чейн-протокол, который не соответствует «Консенсусу Сатоши Накамото», является поддельным децентрализованным кросс-чейн-протоколом, и такие сложные слова, как «децентрализованный» и «без доверия», нельзя использовать для описания характеристик его продукта.
А LayerZero представил себя как Omnichain-коммуникация, функциональная совместимость, децентрализованная инфраструктура. LayerZero — это протокол взаимодействия омникан, предназначенный для облегченной передачи сообщений по цепочкам. LayerZero обеспечивает аутентичную и гарантированную доставку сообщений с настраиваемой надежностью.
Фактически, LayerZero не только требует, чтобы две роли Relayer и Oracle не вступали в сговор с целью причинить зло, но также требует от пользователей доверять разработчикам, которые используют LayerZero для создания приложений, как надежной третьей стороне, а также доверенным субъектам, участвующим в «мульти- подпись» — все это заранее заданные привилегированные роли.
В то же время он не создал никаких доказательств мошенничества или доказательств действительности в течение всего кросс-чейн-процесса, не говоря уже о том, чтобы поместить эти доказательства в цепочку и выполнить внутрисетевую проверку. Таким образом, LayerZero вообще не удовлетворяет «Консенсусу Сатоши Накамото» и вообще не является децентрализованным и ненадежным.
После того, как команда L2BEAT и команда Nomad опубликовали благонамеренные статьи с точки зрения тех, кто ищет проблемы, LayerZero ответил «отрицать» и «отрицать». До Биткойна было много электронных валют, но все они потерпели неудачу. Потому что ни один из них не может достичь цели децентрализации, защиты от атак и внутренней ценности, и то же самое справедливо и для межсетевых протоколов. Вероятность того, что она закончится из-за недостаточной устойчивости к атакам.
ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: Информация на этом веб-сайте представлена в качестве общего комментария к рынку и не представляет собой инвестиционный совет. Мы рекомендуем вам провести собственное исследование, прежде чем инвестировать.
Присоединяйтесь к нам, чтобы следить за новостями: https://linktr.ee/coincu
Веб-сайт: coincu.com.
Гарольд
Новости Коинку