Thách thức về độ an toàn của giao thức chuỗi cross và giới hạn của LayerZero
Trong hệ sinh thái Web3, tầm quan trọng của giao thức chuỗi cross ngày càng nổi bật. Tuy nhiên, những sự kiện an ninh xảy ra trong những năm gần đây cho thấy những giao thức này tiềm ẩn rủi ro lớn. Thực tế, tổn thất do giao thức chuỗi cross gây ra đứng đầu trong các sự kiện an ninh blockchain, tầm quan trọng của nó thậm chí còn vượt qua các giải pháp mở rộng Ethereum.
Một số giao thức chuỗi cross có thiết kế có vẻ đơn giản, nhưng điều này không có nghĩa là chúng là những giải pháp xuất sắc hoặc an toàn. Lấy một giao thức chuỗi cross nổi tiếng làm ví dụ, mặc dù kiến trúc của nó đơn giản, nhưng vẫn tồn tại những nguy cơ an ninh rõ ràng.
Cấu trúc cơ bản của giao thức này là: Việc giao tiếp giữa Chain A và Chain B được thực hiện bởi Relayer, trong khi Oracle có trách nhiệm giám sát Relayer. Thiết kế này tuy đã tránh được quy trình phức tạp cần một chuỗi thứ ba để hoàn thành sự đồng thuận, cung cấp cho người dùng trải nghiệm chuỗi cross nhanh chóng, nhưng đồng thời cũng mang lại rủi ro an ninh nghiêm trọng.
Trước hết, việc đơn giản hóa xác thực đa nút thành xác thực Oracle đơn lẻ đã làm giảm đáng kể hệ số an ninh. Thứ hai, thiết kế này phải giả định rằng Relayer và Oracle hoàn toàn độc lập, giả định này trong thực tế khó có thể đảm bảo vĩnh viễn, tồn tại rủi ro thông đồng xấu.
Một số người có thể nghĩ rằng việc tăng số lượng Relayer có thể nâng cao tính bảo mật. Tuy nhiên, cách làm này không giải quyết được vấn đề từ gốc. Tăng số lượng người tham gia không đồng nghĩa với việc phi tập trung và cũng không thể thay đổi các đặc tính bản chất của sản phẩm.
Quan trọng hơn, nếu một dự án sử dụng giao thức này cho phép sửa đổi nút cấu hình, kẻ tấn công có thể thay thế bằng nút do mình kiểm soát, từ đó giả mạo tin nhắn. Rủi ro này sẽ trở nên nghiêm trọng hơn trong các tình huống phức tạp, trong khi giao thức bản thân không có khả năng giải quyết vấn đề này.
Một số nhóm nghiên cứu an ninh đã chỉ ra các lỗ hổng tiềm ẩn của giao thức này. Ví dụ, nếu chủ sở hữu ứng dụng hoặc người nắm giữ khóa riêng hành động không đúng, điều này có thể dẫn đến việc tài sản của người dùng bị đánh cắp. Một nghiên cứu khác phát hiện ra rằng các bộ lặp của giao thức có lỗ hổng nghiêm trọng, có thể bị nội bộ hoặc các thành viên trong nhóm có danh tính rõ ràng lợi dụng.
Giao thức chuỗi cross thực sự phi tập trung nên tuân theo nguyên tắc cốt lõi của "sự đồng thuận của Nakamoto", tức là loại bỏ bên thứ ba đáng tin cậy, đạt được sự phi tin cậy và phi tập trung thực sự. Tuy nhiên, một số giao thức chuỗi cross tự xưng là phi tập trung thực tế lại không đáp ứng những tiêu chuẩn này. Chúng có thể yêu cầu người dùng tin tưởng vào nhiều vai trò sẽ không thông đồng làm hại, hoặc coi các nhà phát triển ứng dụng là bên thứ ba đáng tin cậy.
Xây dựng một giao thức chuỗi cross thực sự phi tập trung là một nhiệm vụ khó khăn. Nó không chỉ cần phải tránh việc đưa vào bên thứ ba đáng tin cậy trong thiết kế mà còn phải có khả năng tạo ra bằng chứng gian lận hoặc bằng chứng tính hợp lệ, và đưa những bằng chứng này lên chuỗi để xác minh. Chỉ có như vậy, mới có thể thực sự đạt được sự phi tập trung và không cần tin cậy.
Khi đánh giá giao thức chuỗi cross, chúng ta không nên bị đánh lừa bởi thiết kế đơn giản bề mặt hoặc số tiền tài trợ khổng lồ. Giải pháp chuỗi cross thực sự an toàn và phi tập trung cần nỗ lực nhiều hơn trong thiết kế và triển khai công nghệ, có thể cần áp dụng các công nghệ tiên tiến như chứng minh không kiến thức để nâng cao mức độ an toàn và phi tập trung.
Trong tương lai, chỉ có những giao thức có thể đạt được an toàn phi tập trung thực sự mới có thể nổi bật trong cuộc cạnh tranh gay gắt, cung cấp cơ sở hạ tầng chuỗi cross đáng tin cậy cho hệ sinh thái Web3.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
12 thích
Phần thưởng
12
6
Chia sẻ
Bình luận
0/400
DefiVeteran
· 8giờ trước
layer0 không được, chuỗi cross làm tôi nghẹt thở quá..
Xem bản gốcTrả lời0
ForumMiningMaster
· 8giờ trước
Lên là đã giảm, thua lỗ quá rồi.
Xem bản gốcTrả lời0
ZenMiner
· 8giờ trước
Đơn giản ≠ an toàn. Đã thấy nhiều thảm án như vậy rồi.
Xem bản gốcTrả lời0
wrekt_but_learning
· 8giờ trước
Tôi đã cảm thấy LayerZero không đáng tin cậy từ lâu... chỉ đang chờ bị lừa thôi.
Xem bản gốcTrả lời0
PrivacyMaximalist
· 8giờ trước
chuỗi cross rủi ro thực sự quá lớn ai dám ai chết
Xem bản gốcTrả lời0
AirdropGrandpa
· 8giờ trước
Làm đơn giản không chắc đã tốt, cái nồi này phải gánh nhiều năm.
Lỗ hổng bảo mật LayerZero và thách thức phi tập trung của giao thức chuỗi cross
Thách thức về độ an toàn của giao thức chuỗi cross và giới hạn của LayerZero
Trong hệ sinh thái Web3, tầm quan trọng của giao thức chuỗi cross ngày càng nổi bật. Tuy nhiên, những sự kiện an ninh xảy ra trong những năm gần đây cho thấy những giao thức này tiềm ẩn rủi ro lớn. Thực tế, tổn thất do giao thức chuỗi cross gây ra đứng đầu trong các sự kiện an ninh blockchain, tầm quan trọng của nó thậm chí còn vượt qua các giải pháp mở rộng Ethereum.
Một số giao thức chuỗi cross có thiết kế có vẻ đơn giản, nhưng điều này không có nghĩa là chúng là những giải pháp xuất sắc hoặc an toàn. Lấy một giao thức chuỗi cross nổi tiếng làm ví dụ, mặc dù kiến trúc của nó đơn giản, nhưng vẫn tồn tại những nguy cơ an ninh rõ ràng.
Cấu trúc cơ bản của giao thức này là: Việc giao tiếp giữa Chain A và Chain B được thực hiện bởi Relayer, trong khi Oracle có trách nhiệm giám sát Relayer. Thiết kế này tuy đã tránh được quy trình phức tạp cần một chuỗi thứ ba để hoàn thành sự đồng thuận, cung cấp cho người dùng trải nghiệm chuỗi cross nhanh chóng, nhưng đồng thời cũng mang lại rủi ro an ninh nghiêm trọng.
Trước hết, việc đơn giản hóa xác thực đa nút thành xác thực Oracle đơn lẻ đã làm giảm đáng kể hệ số an ninh. Thứ hai, thiết kế này phải giả định rằng Relayer và Oracle hoàn toàn độc lập, giả định này trong thực tế khó có thể đảm bảo vĩnh viễn, tồn tại rủi ro thông đồng xấu.
Một số người có thể nghĩ rằng việc tăng số lượng Relayer có thể nâng cao tính bảo mật. Tuy nhiên, cách làm này không giải quyết được vấn đề từ gốc. Tăng số lượng người tham gia không đồng nghĩa với việc phi tập trung và cũng không thể thay đổi các đặc tính bản chất của sản phẩm.
Quan trọng hơn, nếu một dự án sử dụng giao thức này cho phép sửa đổi nút cấu hình, kẻ tấn công có thể thay thế bằng nút do mình kiểm soát, từ đó giả mạo tin nhắn. Rủi ro này sẽ trở nên nghiêm trọng hơn trong các tình huống phức tạp, trong khi giao thức bản thân không có khả năng giải quyết vấn đề này.
Một số nhóm nghiên cứu an ninh đã chỉ ra các lỗ hổng tiềm ẩn của giao thức này. Ví dụ, nếu chủ sở hữu ứng dụng hoặc người nắm giữ khóa riêng hành động không đúng, điều này có thể dẫn đến việc tài sản của người dùng bị đánh cắp. Một nghiên cứu khác phát hiện ra rằng các bộ lặp của giao thức có lỗ hổng nghiêm trọng, có thể bị nội bộ hoặc các thành viên trong nhóm có danh tính rõ ràng lợi dụng.
Giao thức chuỗi cross thực sự phi tập trung nên tuân theo nguyên tắc cốt lõi của "sự đồng thuận của Nakamoto", tức là loại bỏ bên thứ ba đáng tin cậy, đạt được sự phi tin cậy và phi tập trung thực sự. Tuy nhiên, một số giao thức chuỗi cross tự xưng là phi tập trung thực tế lại không đáp ứng những tiêu chuẩn này. Chúng có thể yêu cầu người dùng tin tưởng vào nhiều vai trò sẽ không thông đồng làm hại, hoặc coi các nhà phát triển ứng dụng là bên thứ ba đáng tin cậy.
Xây dựng một giao thức chuỗi cross thực sự phi tập trung là một nhiệm vụ khó khăn. Nó không chỉ cần phải tránh việc đưa vào bên thứ ba đáng tin cậy trong thiết kế mà còn phải có khả năng tạo ra bằng chứng gian lận hoặc bằng chứng tính hợp lệ, và đưa những bằng chứng này lên chuỗi để xác minh. Chỉ có như vậy, mới có thể thực sự đạt được sự phi tập trung và không cần tin cậy.
Khi đánh giá giao thức chuỗi cross, chúng ta không nên bị đánh lừa bởi thiết kế đơn giản bề mặt hoặc số tiền tài trợ khổng lồ. Giải pháp chuỗi cross thực sự an toàn và phi tập trung cần nỗ lực nhiều hơn trong thiết kế và triển khai công nghệ, có thể cần áp dụng các công nghệ tiên tiến như chứng minh không kiến thức để nâng cao mức độ an toàn và phi tập trung.
Trong tương lai, chỉ có những giao thức có thể đạt được an toàn phi tập trung thực sự mới có thể nổi bật trong cuộc cạnh tranh gay gắt, cung cấp cơ sở hạ tầng chuỗi cross đáng tin cậy cho hệ sinh thái Web3.