Vulnerabilidades de seguridad del protocolo cross-chain: el caso de LayerZero

En los últimos años, los protocolos de cross-chain han desempeñado un papel cada vez más importante en el ámbito de la blockchain. Sin embargo, los problemas de seguridad de este tipo de protocolos también han ido aumentando. Este artículo tomará como ejemplo a LayerZero para explorar los desafíos de seguridad que enfrentan actualmente los protocolos de cross-chain.

Las vulnerabilidades de seguridad de los protocolos cross-chain se han convertido en un problema que no se puede ignorar en la industria de blockchain. A partir de los eventos de seguridad ocurridos en las diferentes cadenas en los últimos dos años, las pérdidas monetarias causadas por los protocolos cross-chain ocupan el primer lugar, y su importancia incluso supera a la de las soluciones de escalabilidad de Ethereum. Sin embargo, debido a la limitada comprensión pública de estos protocolos, es difícil evaluar con precisión su nivel de seguridad.

Tomando como ejemplo LayerZero, su arquitectura de diseño parece simple, pero en realidad presenta riesgos potenciales. Este protocolo utiliza Relayer para ejecutar la comunicación cross-chain, supervisado por Oracle. Aunque esta arquitectura puede ofrecer a los usuarios una experiencia de "rápida cross-chain", también presenta defectos evidentes:

1. Simplificar la verificación de múltiples nodos a una única verificación de Oracle reduce drásticamente el coeficiente de seguridad.

2. Supongamos que el Relayer y el Oracle son independientes, esta suposición de confianza es difícil de mantener a largo plazo y no puede prevenir fundamentalmente la colusión maliciosa.

Hay opiniones que sostienen que aumentar el número de Relayers puede mejorar la seguridad. Sin embargo, este enfoque no cambia fundamentalmente las características del producto, y podría generar nuevos problemas. Por ejemplo, si se permite modificar la configuración de los nodos de LayerZero, un atacante podría reemplazarlos por nodos que controla, lo que le permitiría falsificar mensajes.

Lo más importante es que LayerZero no tiene la capacidad de proporcionar una seguridad consistente para sus proyectos ecológicos. Más bien, es un middleware (Middleware), en lugar de una verdadera infraestructura (Infrastructure). Esto significa que los proyectos que utilizan LayerZero deben asumir los riesgos de seguridad por sí mismos.

Varios equipos de investigación han señalado que LayerZero presenta vulnerabilidades potenciales. Por ejemplo, el equipo de L2BEAT descubrió que la suposición de seguridad de LayerZero tiene defectos; el equipo de Nomad señaló que el relé tiene dos vulnerabilidades clave, que podrían llevar al robo de fondos de los usuarios.

Al revisar los conceptos centrales del libro blanco de Bitcoin, la descentralización y la desconfianza son la piedra angular de la tecnología blockchain. Sin embargo, LayerZero tiene deficiencias en estos dos aspectos: depende tanto de que los Relayers y Oráculos no coludan para hacer daño, como de que los usuarios confíen en los desarrolladores de aplicaciones que utilizan su protocolo. Durante todo el proceso de cross-chain, LayerZero no generó ninguna prueba de fraude o prueba de validez, y mucho menos validó estas pruebas en la cadena.

Por lo tanto, a pesar de que LayerZero se presenta como una infraestructura descentralizada, en realidad no cumple con los requisitos del "consenso de Satoshi Nakamoto". Es más como un middleware centralizado, en lugar de un verdadero protocolo de interoperabilidad descentralizado.

Construir un verdadero protocolo de cross-chain descentralizado sigue siendo un gran desafío. Algunos investigadores están explorando el uso de tecnologías como las pruebas de conocimiento cero para mejorar la seguridad de los protocolos cross-chain. Cualquiera que sea la solución adoptada, garantizar la descentralización y la seguridad de la comunicación cross-chain será clave para el desarrollo futuro de la industria blockchain.