Những rủi ro về an ninh của giao thức chuỗi cross: Lấy LayerZero làm ví dụ

Trong lĩnh vực Web3, giao thức chuỗi cross luôn là cơ sở hạ tầng quan trọng được chú ý. Tuy nhiên, những sự kiện an ninh xảy ra thường xuyên trong những năm gần đây cũng đã bộc lộ ra những rủi ro tiềm ẩn lớn của giao thức chuỗi cross. Bài viết này sẽ lấy LayerZero làm ví dụ, khám phá một số vấn đề hiện tại trong thiết kế giao thức chuỗi cross.

An ninh của giao thức chuỗi cross là cực kỳ quan trọng, thậm chí còn quan trọng hơn cả các giải pháp mở rộng Ethereum. Tính tương tác chuỗi cross là một yêu cầu nội tại của mạng Web3, các dự án liên quan thường có thể nhận được nguồn tài trợ lớn, tổng giá trị khóa (TVL) và khối lượng giao dịch cũng đang tiếp tục tăng. Tuy nhiên, người dùng thông thường khó nhận diện mức độ an ninh của các giao thức chuỗi cross khác nhau, điều này làm tăng rủi ro tiềm ẩn.

LayerZero áp dụng một giải pháp chuỗi cross "siêu nhẹ". Kiến trúc cơ bản của nó là: Việc giao tiếp giữa Chain A và Chain B được thực hiện bởi Relayer, Oracle giám sát Relayer. Thiết kế này so với xác thực đồng thuận đa chuỗi truyền thống, thực sự mang lại cho người dùng trải nghiệm chuỗi cross nhanh hơn. Nhưng sự đơn giản hóa này cũng mang đến những vấn đề mới:

1. Đã đơn giản hóa xác thực nhiều nút thành xác thực Oracle đơn, giảm đáng kể độ an toàn.

2. Giả sử Relayer và Oracle mãi mãi độc lập, giả thuyết tin cậy này khó có thể tồn tại lâu dài, không phù hợp với tư duy bản địa về tiền mã hóa.

LayerZero chỉ chịu trách nhiệm về việc truyền tin, không chịu trách nhiệm về an toàn ứng dụng. Ngay cả khi mở Relayer để cho nhiều người tham gia, cũng khó có thể giải quyết những vấn đề này từ gốc rễ. Việc tăng số lượng chủ thể đáng tin cậy không đồng nghĩa với việc phân quyền, mà ngược lại có thể mang lại những rủi ro mới.

Nếu LayerZero không thể chia sẻ tính bảo mật như Layer 1/2, thì rất khó để gọi nó là cơ sở hạ tầng thực sự. Nó giống như một chuỗi cross (Middleware), cho phép các nhà phát triển ứng dụng tự định nghĩa chính sách bảo mật. Cách làm này đã chuyển giao rủi ro bảo mật cho phía ứng dụng.

Một số nhóm nghiên cứu đã chỉ ra những lỗ hổng tiềm ẩn của LayerZero. Ví dụ, sau khi chiếm quyền cấu hình, kẻ tấn công có thể thao túng Oracle và Relayer, từ đó đánh cắp tài sản của người dùng. Cơ chế ký đa chữ ký mà LayerZero hiện đang áp dụng cũng có rủi ro bị nhân viên nội bộ hoặc các thành viên trong đội ngũ đã biết lợi dụng.

Nhìn lại sách trắng Bitcoin, chúng ta có thể thấy rằng một hệ thống phi tập trung thực sự nên loại bỏ bên thứ ba đáng tin cậy, thực hiện phi tin cậy hóa và phi tập trung hóa. Tuy nhiên, LayerZero yêu cầu người dùng tin tưởng vào Relayer, Oracle và các nhà phát triển ứng dụng sử dụng SDK của họ, điều này trái ngược với triết lý cốt lõi của "sự đồng thuận của Satoshi."

LayerZero tuyên bố mình là cơ sở hạ tầng chuỗi cross phi tập trung, nhưng thực tế không đáp ứng tiêu chuẩn phi tập trung và phi tin cậy thực sự. Toàn bộ quy trình chuỗi cross của nó thiếu bằng chứng gian lận hoặc bằng chứng hiệu lực, và cũng không có việc xác minh những bằng chứng này trên chuỗi.

Xây dựng một giao thức chuỗi cross thực sự phi tập trung vẫn đang đối mặt với nhiều thách thức. Các nhà phát triển cần suy nghĩ lại cách thức thực hiện giao tiếp chuỗi cross an toàn và hiệu quả mà không cần đến bên thứ ba đáng tin cậy. Điều này có thể cần tham khảo các công nghệ mới như chứng minh không kiến thức để tìm kiếm sự cân bằng giữa phi tập trung và hiệu suất.

Tổng thể mà nói, tính an toàn của giao thức chuỗi cross liên quan đến sự phát triển lành mạnh của toàn bộ hệ sinh thái Web3. Chúng ta cần đánh giá cẩn thận các giải pháp chuỗi cross khác nhau, không thể chỉ dựa vào quy mô tài trợ hoặc dữ liệu lưu lượng để xác định độ tin cậy của chúng. Chỉ có những giao thức thực sự đạt được an toàn phi tập trung mới có thể đứng vững trong cuộc cạnh tranh chuỗi cross trong tương lai.