Adam Back, trưởng nhóm phát triển cốt lõi Bitcoin, Giám đốc điều hành BlockStream, có câu nói: “Thiết kế tuyệt vời trông rất đơn giản, nhưng quá trình thiết kế nó thực sự vô cùng phức tạp”. Tuy nhiên, không phải mọi thiết kế sản phẩm trông đơn giản đều có thể gọi là tuyệt vời, chẳng hạn như LayerZero.
Trước khi giao thức chuỗi chéo xảy ra sự cố, mọi người đều cảm thấy nó rất an toàn và không có vấn đề gì, nhưng một khi tai nạn xảy ra thì đó là một sự kiện kinh hoàng. Từ góc độ số lượng tổn thất do sự cố bảo mật xảy ra trên mỗi chuỗi trong hai năm qua, tổn thất do sự cố bảo mật trên các giao thức chuỗi chéo gây ra đứng đầu danh sách.
Tầm quan trọng và tính cấp bách của việc giải quyết các vấn đề bảo mật giao thức chuỗi chéo thậm chí còn vượt xa kế hoạch mở rộng Ethereum. Khả năng tương tác giữa các giao thức chuỗi chéo là yêu cầu cố hữu để Web3 hình thành mạng.
Những thỏa thuận như vậy thường huy động được một số tiền khổng lồ, đồng thời TVL và số lượng giao dịch cũng ngày càng bị thúc đẩy bởi nhu cầu cứng nhắc. Tuy nhiên, do mức độ công nhận của công chúng thấp nên không thể nhận ra mức độ bảo mật của các giao thức chuỗi chéo này.
Đầu tiên chúng ta hãy nhìn vào kiến trúc thiết kế sản phẩm. Quá trình liên lạc giữa Chuỗi A và Chuỗi B được thực hiện bởi Relayer và Oracle giám sát Relayer.
Trước hết, một ưu điểm của kiến trúc này là nó loại bỏ giao tiếp truyền thống giữa Chuỗi A và Chuỗi B, và chuỗi thứ ba (dApps thường không được triển khai trên chuỗi này) hoàn thành thuật toán đồng thuận và hàng tá xác minh nút, do đó nó có thể mang đến cho người dùng cuối trải nghiệm người dùng “Chuỗi chéo nhanh chóng”.
Do kiến trúc nhẹ và số lượng mã ít nên Oracle có sẵn Chainlink nên loại dự án này dễ đưa lên mạng nhưng cũng dễ bị bắt chước. Ngưỡng kỹ thuật có thể nói là bằng không.
Phiên bản cơ bản của giao thức chuỗi chéo phi tập trung giả mạo
Có ít nhất hai vấn đề với kiến trúc trên:
LayerZero giảm hàng chục xác minh nút thành một xác minh Oracle duy nhất và hệ số an toàn đương nhiên giảm đi đáng kể.
Sau khi đơn giản hóa thành một xác minh duy nhất, phải giả định rằng Relayer và Oracle là độc lập và giả định về độ tin cậy này không thể được thiết lập mãi mãi, điều này là không đủ đối với Crypto Native và về cơ bản không thể đảm bảo rằng cả hai không thể âm mưu làm điều ác.
Đây là mẫu cơ bản được LayerZero sử dụng. Là một giải pháp chuỗi chéo “siêu nhẹ” thuộc loại bảo mật độc lập, nó chỉ chịu trách nhiệm chuyển tiếp tin nhắn và không chịu trách nhiệm về bảo mật của ứng dụng cũng như không có khả năng chịu trách nhiệm.
Vậy nếu Relayer được giải phóng và mọi người đều có thể chạy rơle thì các vấn đề trên có được giải quyết không? Hình 2 tăng số lượng của Hình 1. Trước hết, Decentralized không có nghĩa là số lượng người vận hành tăng lên và bất kỳ ai cũng có thể truy cập được. Điều đó được gọi là Không được phép. Bên cầu luôn không được phép, và việc khiến bên cung cũng không được phép không phải là một sự thay đổi mang tính thời đại.
Đó là một sự thay đổi về mặt thị trường và không liên quan gì đến tính bảo mật của sản phẩm. Relayer của LayerZero chỉ là một bên trung gian chịu trách nhiệm chuyển tiếp thông tin và bản chất của nó cũng giống như Oracle, là Bên thứ ba đáng tin cậy. Cố gắng cải thiện bảo mật chuỗi chéo bằng cách tăng số lượng đối tượng đáng tin cậy từ 1 lên 30 là vô ích. Nó không những không làm thay đổi đặc tính của sản phẩm mà còn nảy sinh những vấn đề mới.
Phiên bản nâng cao của giao thức chuỗi chéo phi tập trung giả mạo
Nếu dự án mã thông báo chuỗi chéo cho phép sửa đổi nút LayerZero đã được định cấu hình, kẻ tấn công có thể thay thế nó bằng nút “LayerZero” của chính nó, do đó giả mạo các thông báo tùy ý. Kết quả là vẫn còn tồn tại những vấn đề bảo mật rất lớn trong các dự án sử dụng Layerzero và vấn đề này sẽ nghiêm trọng hơn trong các tình huống phức tạp hơn. Chỉ cần một mắt xích trong hệ thống khổng lồ được thay thế, nó có thể gây ra phản ứng dây chuyền.
Bản thân LayerZero không có khả năng giải quyết vấn đề này. Nếu xảy ra sự cố bảo mật, LayerZero đương nhiên sẽ chuyển trách nhiệm sang các ứng dụng bên ngoài. Vì người dùng cuối cần đánh giá cẩn thận tính bảo mật của từng dự án sử dụng LayerZero nên những dự án “hướng người dùng” đó sẽ truy cập cẩn thận vào LayerZero để tránh bị ô nhiễm bởi các ứng dụng độc hại thuộc cùng hệ sinh thái, nên khó khăn trong việc xây dựng hệ sinh thái là không nhỏ.
Nếu Lớp 0 không thể chia sẻ bảo mật như Lớp 1 và Lớp 2 thì Lớp 0 không thể gọi là Cơ sở hạ tầng, vì lý do cơ sở hạ tầng là “cơ bản” là vì nó có thể chia sẻ bảo mật. Nếu một bên dự án tuyên bố là Cơ sở hạ tầng, thì bên đó phải cung cấp bảo mật nhất quán cho tất cả các dự án sinh thái của mình giống như các cơ sở hạ tầng khác, nghĩa là tất cả các dự án sinh thái đều chia sẻ tính bảo mật của cơ sở hạ tầng. Vì vậy, nói chính xác thì LayerZero không phải là cơ sở hạ tầng mà là phần mềm trung gian. Các nhà phát triển ứng dụng truy cập SDK/API Middleware này thực sự được tự do xác định chính sách bảo mật của họ.
Nhóm L2BEAT đã từng xuất bản một bài báo, “Vượt qua lớp 0: Tại sao bảo mật biệt lập lại không có bảo mật?” vào ngày 5 tháng 1 năm 2023, chỉ ra rằng giả định của họ rằng chủ sở hữu ứng dụng (hoặc người có khóa riêng) không thể làm điều ác là không chính xác. Kẻ xấu, Bob, đã giành được quyền truy cập vào cấu hình LayerZero.
Anh ta có thể thay đổi oracle và bộ lặp từ các thành phần mặc định thành các thành phần do anh ta kiểm soát và thuyết phục hợp đồng thông minh sử dụng cơ chế LayerZero trên Ethereum để anh ta rút tất cả các token của anh chàng tốt bụng Alice trên Ethereum.
Nhóm Nomad đã ban hành một tài liệu vào ngày 31 tháng 1 năm 2023, chỉ ra rằng có hai lỗ hổng chính trong bộ lặp LayerZero, hiện đang ở trạng thái đa chữ ký hai bên, vì vậy những lỗ hổng này chỉ có thể bị khai thác bởi người trong cuộc hoặc nhóm đã biết các thành viên.
Lỗ hổng đầu tiên trong số này cho phép các tin nhắn lừa đảo được gửi từ nhiều chữ ký LayerZero và lỗ hổng thứ hai cho phép sửa đổi tin nhắn hoặc giao dịch sau khi chúng được ký bởi oracles và multisig, cả hai đều dẫn đến việc đánh cắp tất cả tiền của người dùng.
Vào ngày 31 tháng 10 năm 2008, sách trắng Bitcoin ra đời. Vào ngày 3 tháng 1 năm 2009, khối Genesis BTC đã ra đời. Bản tóm tắt của sách trắng Hệ thống tiền mặt điện tử ngang hàng như sau:
"Trừu tượng. Phiên bản tiền điện tử hoàn toàn ngang hàng sẽ cho phép thanh toán trực tuyến được gửi trực tiếp từ bên này sang bên khác mà không cần thông qua tổ chức tài chính. Chữ ký số cung cấp một phần giải pháp, nhưng lợi ích chính sẽ bị mất nếu vẫn cần có bên thứ ba đáng tin cậy để ngăn chặn chi tiêu gấp đôi.
Chúng tôi đề xuất giải pháp cho vấn đề chi tiêu gấp đôi bằng cách sử dụng mạng ngang hàng. Mạng đánh dấu thời gian cho các giao dịch bằng cách băm chúng thành một chuỗi bằng chứng công việc dựa trên hàm băm đang diễn ra, tạo thành một bản ghi không thể thay đổi nếu không làm lại bằng chứng công việc. Chuỗi dài nhất không chỉ đóng vai trò là bằng chứng về chuỗi sự kiện đã chứng kiến mà còn là bằng chứng cho thấy nó đến từ nguồn sức mạnh CPU lớn nhất.
Miễn là phần lớn sức mạnh của CPU được kiểm soát bởi các nút không hợp tác để tấn công mạng, chúng sẽ tạo ra những kẻ tấn công có chuỗi dài nhất và vượt xa những kẻ tấn công. Bản thân mạng yêu cầu cấu trúc tối thiểu. Các tin nhắn được phát trên cơ sở nỗ lực cao nhất và các nút có thể rời khỏi và tham gia lại mạng theo ý muốn, chấp nhận chuỗi bằng chứng công việc dài nhất làm bằng chứng về những gì đã xảy ra khi chúng rời đi.”
Từ bài báo này, có tầm quan trọng lớn đối với các thế hệ tương lai, người ta đã rút ra “Sự đồng thuận của Satoshi Nakamoto” được công nhận rộng rãi, đặc biệt là từ bản tóm tắt này. Tính năng cốt lõi của nó là ngăn chặn sự xuất hiện của Bên thứ ba đáng tin cậy và nhận ra Phân cấp không đáng tin cậy. “Trung tâm” ở đây là Bên thứ ba đáng tin cậy. Giao thức truyền thông chuỗi chéo về cơ bản giống như Bitcoin. Nó là một hệ thống ngang hàng. Một bên gửi trực tiếp từ Chuỗi A đến bên kia trong Chuỗi B mà không thông qua bất kỳ bên đáng tin cậy nào.
“Sự đồng thuận của Satoshi Nakamoto” với các tính năng Phi tập trung và Không cần tin cậy đã trở thành mục tiêu chung mà tất cả các nhà phát triển cơ sở hạ tầng tiếp theo theo đuổi. Có thể nói, một giao thức xuyên chuỗi không đáp ứng “Sự đồng thuận của Satoshi Nakamoto” là một giao thức chuỗi chéo phi tập trung giả mạo và không thể dùng những từ nâng cao như Decentralized và Trustless để mô tả đặc điểm sản phẩm của nó.
Và LayerZero tự giới thiệu mình là giao tiếp Omnichain, khả năng tương tác, cơ sở hạ tầng phi tập trung. LayerZero là một giao thức tương tác đa chuỗi được thiết kế cho các tin nhắn nhẹ truyền qua các chuỗi. LayerZero cung cấp khả năng gửi tin nhắn xác thực và đảm bảo với độ tin cậy có thể định cấu hình.
Trên thực tế, LayerZero không chỉ yêu cầu hai vai trò Relayer và Oracle không âm mưu làm điều ác mà còn yêu cầu người dùng phải tin tưởng vào các nhà phát triển sử dụng LayerZero để xây dựng ứng dụng với tư cách là bên thứ ba đáng tin cậy và các đối tượng đáng tin cậy tham gia vào “đa phương tiện”. signature” đều là vai trò đặc quyền được sắp xếp trước.
Đồng thời, nó không tạo ra bất kỳ bằng chứng gian lận hoặc bằng chứng xác thực nào trong toàn bộ quá trình xuyên chuỗi, chứ đừng nói đến việc đưa những bằng chứng này lên chuỗi và thực hiện xác minh trên chuỗi. Do đó, LayerZero hoàn toàn không đáp ứng “Sự đồng thuận của Satoshi Nakamoto” và nó hoàn toàn không phi tập trung và không đáng tin cậy.
Sau khi nhóm L2BEAT và nhóm Nomad xuất bản các bài viết có thiện chí từ góc độ của những người tìm ra vấn đề, LayerZero đã phản hồi bằng “từ chối” và “từ chối”. Đã có nhiều loại tiền điện tử ra đời trước Bitcoin nhưng đều thất bại. Bởi vì không ai trong số họ có thể đạt được mục tiêu phân quyền, chống tấn công và giá trị vốn có, và điều này cũng đúng với các giao thức chuỗi chéo. Khả năng là nó sẽ kết thúc do không đủ khả năng phục hồi trước các cuộc tấn công.
TUYÊN BỐ TỪ CHỐI TRÁCH NHIỆM: Thông tin trên trang web này được cung cấp dưới dạng bình luận chung về thị trường và không phải là lời khuyên đầu tư. Chúng tôi khuyến khích bạn tự nghiên cứu trước khi đầu tư.
Hãy cùng chúng tôi theo dõi tin tức: https://linktr.ee/coincu
Trang web: coincu.com
Harold
Tin tức Coincu