المخاطر الأمنية لبروتوكول عبر السلاسل: مثال على LayerZero

في مجال Web3، كانت بروتوكولات عبر السلاسل دائمًا بنية تحتية مهمة حظيت باهتمام كبير. ومع ذلك، فإن الحوادث الأمنية المتكررة في السنوات الأخيرة قد كشفت عن المخاطر الكبيرة المحتملة لبروتوكولات عبر السلاسل. ستتناول هذه المقالة LayerZero كمثال، لاستكشاف بعض المشكلات الموجودة في تصميم بروتوكولات عبر السلاسل الحالية.

إن أمان بروتوكول عبر السلاسل أمر بالغ الأهمية، بل إن أهميته تفوق حتى خطط توسيع الإيثريوم. تعتبر قابلية التشغيل البيني عبر السلاسل مطلبًا جوهريًا لشبكة Web3، وغالبًا ما تتمكن المشاريع ذات الصلة من الحصول على تمويل كبير، حيث تواصل القيمة الإجمالية المقفلة (TVL) وحجم التداول في الزيادة. ومع ذلك، يجد المستخدمون العاديون صعوبة في التعرف على مستويات الأمان المختلفة لبروتوكولات عبر السلاسل، مما يزيد من المخاطر المحتملة.

تستخدم LayerZero حلاً "خفيف الوزن" عبر السلاسل. البنية الأساسية لها هي: يتم تنفيذ الاتصال بين Chain A وChain B بواسطة Relayer، وتقوم Oracle بمراقبة Relayer. هذه التصميم بالمقارنة مع التحقق من الإجماع عبر سلاسل متعددة التقليدية، يمكن أن يوفر تجربة عبر السلاسل أسرع للمستخدمين. لكن هذه التبسيط جلب أيضاً مشاكل جديدة:

1. تم تبسيط التحقق من العقد المتعددة إلى تحقق Oracle واحد، مما أدى إلى خفض الأمان بشكل كبير.

2. افترض أن الريبلاير والأوراكل مستقلان إلى الأبد، فإن فرضية الثقة هذه يصعب أن تستمر على المدى الطويل، ولا تتماشى مع الفكر الأصلي للعملات المشفرة.

تتحمل LayerZero مسؤولية نقل الرسائل فقط، ولا تتحمل مسؤولية أمان التطبيقات. حتى مع فتح Relayer لتمكين المزيد من الأشخاص من المشاركة، فإنه من الصعب حل هذه المشكلات بشكل جذري. إن زيادة عدد الكيانات الموثوقة لا تعني بالضرورة اللامركزية، بل قد تؤدي إلى مخاطر جديدة.

إذا لم يتمكن LayerZero من مشاركة الأمان مثل Layer 1/2، فمن الصعب اعتباره بنية تحتية حقيقية. إنه يشبه أكثر middleware ( Middleware )، مما يسمح لمطوري التطبيقات بتعريف سياسات الأمان بأنفسهم. تنقل هذه الممارسة مخاطر الأمان إلى جانب التطبيقات.

أشارت بعض فرق البحث إلى الثغرات المحتملة في LayerZero. على سبيل المثال، قد يقوم المهاجمون بتعديل Oracle وRelayer بعد الحصول على صلاحيات التكوين، مما يؤدي إلى سرقة أصول المستخدمين. كما أن آلية التوقيع المتعدد التي تعتمدها LayerZero حاليًا تحمل أيضًا مخاطر الاستغلال من قبل الموظفين الداخليين أو أعضاء الفريق المعروفين.

عند مراجعة ورقة البيتكوين البيضاء، يمكننا أن نرى أن النظام اللامركزي الحقيقي يجب أن يتجنب الأطراف الثالثة الموثوقة، لتحقيق عدم الثقة واللامركزية. ومع ذلك، فإن LayerZero يتطلب من المستخدمين الثقة بـ Relayer و Oracle وكذلك مطوري التطبيقات الذين يستخدمون SDK الخاص بها، وهذا يتعارض مع الفكرة الأساسية لـ "إجماع ساتوشي".

على الرغم من أن LayerZero تدعي أنها بنية تحتية عبر السلاسل لامركزية، إلا أنها في الواقع لا تفي بالمعايير الحقيقية للامركزية وعدم الثقة. تفتقر عملية عبر السلاسل بأكملها إلى إثبات الاحتيال أو إثبات الصحة، ولم يتم التحقق من هذه الإثباتات على السلسلة.

لا يزال بناء بروتوكول عبر السلاسل غير مركزي حقيقي يواجه العديد من التحديات. يحتاج المطورون إلى إعادة التفكير في كيفية تحقيق اتصالات عبر السلاسل فعالة وآمنة دون إدخال طرف ثالث موثوق. قد يتطلب ذلك الاستفادة من تقنيات جديدة مثل إثباتات المعرفة الصفرية، من أجل إيجاد توازن بين اللامركزية والأداء.

بشكل عام، تتعلق أمان بروتوكولات عبر السلاسل بالصحة العامة لتطوير نظام Web3 البيئي. نحن بحاجة إلى تقييم مختلف حلول عبر السلاسل بحذر أكبر، ولا يمكننا الاعتماد فقط على حجم التمويل أو بيانات المرور لتحديد موثوقيتها. فقط البروتوكولات التي تحقق الأمان اللامركزي حقًا يمكن أن تظل في موقع غير قابل للهزيمة في المنافسة عبر السلاسل في المستقبل.