Adam Back, chef de l'équipe de développement principale de Bitcoin et PDG de BlockStream, a un dicton : « Un bon design semble très simple, mais le processus de conception est en réalité extrêmement compliqué. » Cependant, toutes les conceptions de produits qui semblent simples ne peuvent pas être qualifiées d'excellentes, comme LayerZero.

Avant que le protocole inter-chaînes n'ait un accident, tout le monde sent qu'il est très sûr et qu'il n'y a aucun problème, mais une fois qu'un accident se produit, c'est un événement d'horreur. Du point de vue du nombre de pertes causées par des incidents de sécurité survenus sur chaque chaîne au cours des deux dernières années, les pertes causées par des incidents de sécurité sur les protocoles inter-chaînes arrivent en tête de liste.

L’importance et l’urgence de résoudre les problèmes de sécurité des protocoles inter-chaînes dépassent même le plan d’expansion d’Ethereum. L'interopérabilité entre les protocoles inter-chaînes est une exigence inhérente au Web3 pour former un réseau.

De tels accords permettent souvent de récolter d’énormes sommes d’argent, et le TVL et le nombre de transactions sont également de plus en plus dictés par une demande rigide. Cependant, en raison du faible degré de reconnaissance publique, il est impossible de reconnaître le niveau de sécurité de ces protocoles inter-chaînes.

Examinons d’abord une architecture de conception de produits. Le processus de communication entre la chaîne A et la chaîne B est effectué par Relayer et Oracle supervise Relayer.

Tout d'abord, l'un des avantages de cette architecture est qu'elle élimine la communication traditionnelle entre la chaîne A et la chaîne B, et la troisième chaîne (les dApps ne sont généralement pas déployées sur cette chaîne) complète l'algorithme de consensus et des dizaines de vérifications de nœuds, elle peut donc apporter aux utilisateurs finaux une expérience utilisateur « inter-chaînes rapide ».

En raison de l'architecture légère et de la petite quantité de code, Oracle dispose d'un Chainlink prêt à l'emploi, ce type de projet est donc facile à mettre en ligne, mais il est également facile à imiter. Le seuil technique peut être considéré comme nul.

La version de base du faux protocole inter-chaînes décentralisé

Il y a au moins deux problèmes avec l'architecture ci-dessus :

  1. LayerZero réduit des dizaines de vérifications de nœuds à une seule vérification Oracle, et le facteur de sécurité est naturellement considérablement réduit.

  2. Après avoir simplifié à une seule vérification, il faut supposer que le Relayer et Oracle sont indépendants, et cette hypothèse de confiance ne peut pas être établie pour toujours, ce qui n'est pas suffisant pour Crypto Native et ne peut fondamentalement garantir que les deux ne peuvent pas conspirer pour faire le mal.

Il s'agit du modèle de base utilisé par LayerZero. En tant que solution cross-chain « ultra-légère » de type de sécurité indépendante, elle est uniquement responsable du transfert des messages et n'est pas responsable de la sécurité des applications, ni n'a la capacité d'en être responsable.

Alors si le Relayer est publié et que tout le monde peut exécuter le relais, les problèmes ci-dessus seront-ils résolus ? La figure 2 augmente le nombre de la figure 1. Tout d'abord, décentralisé ne signifie pas que le nombre d'opérateurs augmente et que tout le monde peut y accéder. C'est ce qu'on appelle sans autorisation. Le côté demande a toujours été sans autorisation, et rendre l’offre également sans autorisation n’est pas un changement historique.

Il s’agit d’un changement du côté du marché et n’a rien à voir avec la sécurité du produit lui-même. Le Relayer de LayerZero n'est qu'un intermédiaire chargé de transmettre les informations, et son essence est la même qu'Oracle, qui est un tiers de confiance. Essayer d'améliorer la sécurité inter-chaînes en augmentant le nombre de sujets de confiance de 1 à 30 est vain. Non seulement cela ne modifie pas les caractéristiques du produit, mais de nouveaux problèmes surgiront également.

Version avancée du faux protocole inter-chaînes décentralisé

Si un projet de jeton inter-chaînes permet la modification du nœud LayerZero configuré, il est possible pour un attaquant de le remplacer par son propre nœud « LayerZero », falsifiant ainsi des messages arbitraires. En conséquence, d’énormes problèmes de sécurité subsistent dans les projets utilisant Layerzero, et ce problème sera encore plus grave dans des scénarios plus complexes. Tant qu’un maillon de cet immense système est remplacé, cela peut provoquer une réaction en chaîne.

LayerZero lui-même n'a pas la possibilité de résoudre ce problème. En cas d'incident de sécurité, LayerZero transférera naturellement la responsabilité aux applications externes. Parce que les utilisateurs finaux doivent évaluer soigneusement la sécurité de chaque projet utilisant LayerZero, ces projets « orientés utilisateur » accéderont soigneusement à LayerZero pour éviter d'être pollués par des applications malveillantes appartenant à la même écologie, la difficulté de la construction écologique n'est donc pas minime.

Si la couche 0 ne peut pas partager la sécurité comme la couche 1 et la couche 2, alors la couche 0 ne peut pas être appelée infrastructure, car la raison pour laquelle l'infrastructure est « de base » est qu'elle peut partager la sécurité. Si une partie au projet prétend être une infrastructure, elle doit assurer une sécurité cohérente pour tous ses projets écologiques comme les autres infrastructures, c'est-à-dire que tous les projets écologiques partagent la sécurité de l'infrastructure. Donc, pour être précis, LayerZero n'est pas une infrastructure, mais un middleware. Les développeurs d’applications accédant à ce SDK/API Middleware sont en effet libres de définir leurs politiques de sécurité.

L'équipe L2BEAT a publié un article intitulé « Contourner la couche zéro : pourquoi la sécurité isolée n'est pas une sécurité ? » le 5 janvier 2023, soulignant que leur hypothèse selon laquelle le propriétaire de l'application (ou quelqu'un possédant la clé privée) ne peut pas faire le mal est incorrecte. Le méchant, Bob, a eu accès à la configuration LayerZero.

Il peut changer l'oracle et le répéteur des composants par défaut en composants contrôlés par lui et persuader le contrat intelligent en utilisant le mécanisme LayerZero sur Ethereum de lui permettre de retirer tous les jetons du gentil Alice sur Ethereum.

L'équipe Nomad a publié un document le 31 janvier 2023, soulignant qu'il existe deux vulnérabilités clés dans le répéteur LayerZero, qui est actuellement dans un état multi-signature bipartite, de sorte que ces vulnérabilités ne peuvent être exploitées que par des initiés ou une équipe connue. membres.

La première de ces vulnérabilités permettait l'envoi de messages frauduleux à partir de LayerZero multisigs, et la seconde permettait la modification de messages ou de transactions après leur signature par oracles et multisigs, toutes deux entraînant le vol de tous les fonds des utilisateurs.

Le 31 octobre 2008, le livre blanc Bitcoin est sorti. Le 3 janvier 2009, le bloc de genèse BTC est né. Un résumé du livre blanc Un système de paiement électronique peer-to-peer est le suivant :

"Abstrait. Une version purement peer-to-peer de la monnaie électronique permettrait d’envoyer des paiements en ligne directement d’une partie à une autre sans passer par une institution financière. Les signatures numériques constituent une partie de la solution, mais les principaux avantages sont perdus si un tiers de confiance est toujours requis pour éviter les doubles dépenses.

Nous proposons une solution au problème de la double dépense en utilisant un réseau peer-to-peer. Le réseau horodate les transactions en les hachant dans une chaîne continue de preuves de travail basées sur le hachage, formant ainsi un enregistrement qui ne peut pas être modifié sans refaire la preuve de travail. La chaîne la plus longue sert non seulement de preuve de la séquence d’événements observée, mais aussi de preuve qu’elle provient du plus grand pool de puissance CPU.

Tant que la majorité de la puissance du processeur est contrôlée par des nœuds qui ne coopèrent pas pour attaquer le réseau, ils généreront la chaîne la plus longue et devanceront les attaquants. Le réseau lui-même nécessite une structure minimale. Les messages sont diffusés au mieux, et les nœuds peuvent quitter et rejoindre le réseau à volonté, acceptant la plus longue chaîne de preuve de travail comme preuve de ce qui s'est passé pendant leur absence.

De cet article, qui revêt une grande importance pour les générations futures, les gens ont extrait le « consensus Satoshi Nakamoto » largement reconnu, en particulier de ce résumé. Sa fonctionnalité principale est d'empêcher l'apparition d'un tiers de confiance et de réaliser une décentralisation sans confiance. Le « centre » ici est un tiers de confiance. Le protocole de communication inter-chaînes est essentiellement le même que celui du Bitcoin. Il s'agit d'un système Peer-to-Peer. Une partie envoie directement de la chaîne A à l’autre partie de la chaîne B sans passer par une partie de confiance.

Le « Consensus Satoshi Nakamoto » avec des fonctionnalités décentralisées et sans confiance est devenu l'objectif commun poursuivi par tous les développeurs d'infrastructures ultérieurs. On peut dire qu'un protocole inter-chaînes qui ne répond pas au « Consensus de Satoshi Nakamoto » est un faux protocole inter-chaînes décentralisé, et des mots avancés tels que Décentralisé et Trustless ne peuvent pas être utilisés pour décrire les caractéristiques de son produit.

Et LayerZero s'est présenté comme une communication Omnichain, une interopérabilité et une infrastructure décentralisée. LayerZero est un protocole d'interopérabilité omnichain conçu pour les messages légers transitant à travers les chaînes. LayerZero fournit une livraison de messages authentique et garantie avec une absence de confiance configurable.

En fait, LayerZero exige non seulement que les deux rôles de Relayer et Oracle ne conspirent pas pour faire le mal, mais exige également que les utilisateurs fassent confiance aux développeurs qui utilisent LayerZero pour créer des applications en tant que tiers fiable et aux sujets de confiance participant au « multi- signature »sont tous des rôles privilégiés pré-arrangés.

Dans le même temps, il n'a généré aucune preuve de fraude ou de validité pendant tout le processus inter-chaînes, et encore moins mis ces preuves sur la chaîne et effectué une vérification en chaîne. Par conséquent, LayerZero ne satisfait pas du tout au « consensus Satoshi Nakamoto », et il n’est pas du tout décentralisé et sans confiance.

Après que l'équipe L2BEAT et l'équipe Nomad ont publié des articles bien intentionnés du point de vue des chercheurs de problèmes, LayerZero a répondu par « refuser » et « refuser ». Il existait de nombreuses monnaies électroniques avant Bitcoin, mais elles ont toutes échoué. Parce qu'aucun d'entre eux ne peut atteindre l'objectif de décentralisation, de lutte contre les attaques et de valeur inhérente, et il en va de même pour les protocoles inter-chaînes. Il est probable que cela prendra fin en raison d’une résilience insuffisante face aux attaques.

AVIS DE NON-RESPONSABILITÉ : Les informations contenues sur ce site Web sont fournies à titre de commentaire général du marché et ne constituent pas un conseil en investissement. Nous vous encourageons à faire vos propres recherches avant d’investir.

Rejoignez-nous pour suivre l'actualité : https://linktr.ee/coincu

Site Web : coincu.com

Harold

Actualités Coincu