Vulnerabilidades de seguridad en protocolos cross-chain: el caso de LayerZero

En el ámbito de Web3, los protocolos de cross-chain han sido una infraestructura fundamental de gran interés. Sin embargo, los frecuentes incidentes de seguridad en los últimos años también han expuesto los enormes riesgos potenciales de los protocolos de cross-chain. Este artículo tomará como ejemplo a LayerZero para explorar algunos de los problemas existentes en el diseño actual de los protocolos de cross-chain.

La seguridad del protocolo cross-chain es crucial, su importancia incluso supera la de las soluciones de escalado de Ethereum. La interoperabilidad cross-chain es una necesidad intrínseca de la red Web3, los proyectos relacionados a menudo pueden obtener grandes financiamientos, el valor total de los activos bloqueados (TVL) y el volumen de transacciones también están en constante crecimiento. Sin embargo, los usuarios comunes tienen dificultades para identificar los niveles de seguridad de los diferentes protocolos cross-chain, lo que aumenta el riesgo potencial.

LayerZero adopta una solución de "ultra ligera" para el cross-chain. Su arquitectura básica es la siguiente: la comunicación entre la Cadena A y la Cadena B es ejecutada por el Relayer, y el Oracle supervisa al Relayer. Este diseño, en comparación con la validación de consenso multi-cadena tradicional, realmente puede ofrecer a los usuarios una experiencia de cross-chain más rápida. Sin embargo, esta simplificación también ha traído nuevos problemas:

1. Simplificar la validación de múltiples nodos a una única validación de Oracle reduce drásticamente la seguridad.

2. Supongamos que el Relayer y el Oracle siempre son independientes, esta suposición de confianza es difícil de mantener a largo plazo y no se ajusta al pensamiento nativo de criptografía.

LayerZero solo se encarga de la mensajería y no es responsable de la seguridad de las aplicaciones. Incluso si se abre el Relayer para que más personas participen, será difícil resolver estos problemas de raíz. Aumentar la cantidad de entidades de confianza no equivale a la descentralización, y de hecho, podría traer nuevos riesgos.

Si LayerZero no puede compartir la seguridad como lo hacen Layer 1/2, es difícil considerarlo una verdadera infraestructura. Es más como un middleware (Middleware), que permite a los desarrolladores de aplicaciones definir sus propias políticas de seguridad. Esta práctica transfiere el riesgo de seguridad a la parte de la aplicación.

Algunos equipos de investigación han señalado las posibles vulnerabilidades de LayerZero. Por ejemplo, un atacante que obtenga permisos de configuración podría manipular el Oracle y el Relayer, lo que llevaría al robo de activos de los usuarios. El mecanismo de firma múltiple que LayerZero utiliza actualmente también presenta el riesgo de ser explotado por personal interno o miembros conocidos del equipo.

Al revisar el libro blanco de Bitcoin, podemos ver que un verdadero sistema descentralizado debe eliminar a los terceros de confianza, logrando la desconfianza y la descentralización. Sin embargo, LayerZero requiere que los usuarios confíen en Relayer, Oracle y en los desarrolladores de aplicaciones que utilizan su SDK, lo cual va en contra del núcleo del "consenso de Satoshi Nakamoto".

LayerZero, aunque afirma ser una infraestructura de cross-chain descentralizada, en realidad no cumple con los verdaderos estándares de descentralización y confianza. Todo su proceso cross-chain carece de pruebas de fraude o de validez, y ni siquiera tiene estas pruebas verificadas en la cadena.

Construir un verdadero protocolo de cross-chain descentralizado aún enfrenta numerosos desafíos. Los desarrolladores necesitan repensar cómo lograr una comunicación cross-chain eficiente y segura sin introducir terceros de confianza. Esto puede requerir la adopción de nuevas tecnologías como las pruebas de conocimiento cero, para buscar un equilibrio entre descentralización y rendimiento.

En general, la seguridad de los protocolos cross-chain es crucial para el desarrollo saludable de todo el ecosistema Web3. Necesitamos evaluar con más precaución las diversas soluciones cross-chain, y no podemos juzgar su fiabilidad solo por el tamaño de la financiación o los datos de tráfico. Solo los protocolos que logren una verdadera seguridad descentralizada podrán mantenerse invictos en la competencia cross-chain del futuro.