Les risques de sécurité des protocoles cross-chain : l'exemple de LayerZero

Ces dernières années, les protocoles cross-chain jouent un rôle de plus en plus important dans le domaine de la blockchain. Cependant, les problèmes de sécurité de ces protocoles se sont également accentués. Cet article prendra LayerZero comme exemple pour explorer les défis de sécurité auxquels sont confrontés les protocoles cross-chain actuels.

Les vulnérabilités de sécurité des protocoles cross-chain sont devenues un problème que l'industrie de la blockchain ne peut ignorer. D'après les événements de sécurité survenus sur différentes chaînes au cours des deux dernières années, les pertes financières causées par les protocoles cross-chain se classent en tête, leur importance dépassant même celle des solutions d'extension d'Ethereum. Cependant, en raison de la connaissance limitée du grand public sur ces protocoles, il est difficile d'évaluer précisément leur niveau de sécurité.

Prenons LayerZero comme exemple, sa conception architecturale semble simple, mais en réalité, elle présente des risques potentiels. Ce protocole utilise des Relayer pour exécuter des communications cross-chain, supervisées par un Oracle. Bien que cette architecture puisse offrir aux utilisateurs une expérience de "cross-chain rapide", elle présente également des défauts évidents :

1. La simplification de la validation multi-nœuds en une validation Oracle unique a considérablement réduit le coefficient de sécurité.

2. Supposons que le Relayer et l'Oracle soient indépendants, cette hypothèse de confiance est difficile à établir à long terme et ne peut pas fondamentalement prévenir la collusion malveillante.

Certaines opinions estiment qu'en augmentant le nombre de Relayers, la sécurité peut être améliorée. Cependant, cette approche ne change pas fondamentalement les caractéristiques du produit, mais pourrait plutôt susciter de nouveaux problèmes. Par exemple, si la modification de la configuration des nœuds LayerZero est autorisée, un attaquant pourrait remplacer les nœuds par ceux qu'il contrôle, permettant ainsi de falsifier des messages.

Il est plus important de noter que LayerZero n'a pas la capacité d'offrir une sécurité cohérente à ses projets écologiques. C'est plus un protocole (Middleware) qu'une véritable infrastructure (Infrastructure). Cela signifie que les projets utilisant LayerZero doivent assumer eux-mêmes les risques de sécurité.

Plusieurs équipes de recherche ont signalé des vulnérabilités potentielles dans LayerZero. Par exemple, l'équipe de L2BEAT a découvert que les hypothèses de sécurité de LayerZero présentent des défauts ; l'équipe de Nomad a souligné que les relais comportent deux vulnérabilités clés, ce qui pourrait entraîner le vol des fonds des utilisateurs.

En examinant les concepts fondamentaux du livre blanc de Bitcoin, la décentralisation et la non-confiance sont les pierres angulaires de la technologie blockchain. Cependant, LayerZero présente des lacunes dans ces deux domaines : il dépend à la fois de la non-collusion des Relayer et des Oracle, et exige des utilisateurs qu'ils fassent confiance aux développeurs d'applications utilisant son protocole. Tout au long du processus cross-chain, LayerZero n'a généré aucune preuve de fraude ou preuve de validité, et n'a encore moins vérifié ces preuves sur la chaîne.

Ainsi, bien que LayerZero se présente comme une infrastructure décentralisée, il ne répond en réalité pas aux exigences du "consensus de Satoshi Nakamoto". C'est plutôt un middleware centralisé, et non un véritable protocole de cross-chain décentralisé.

Construire un véritable protocole cross-chain décentralisé reste un énorme défi. Certains chercheurs explorent l'utilisation de technologies telles que les preuves à divulgation nulle de connaissance pour améliorer la sécurité des protocoles cross-chain. Quelle que soit la solution adoptée, garantir la décentralisation et la sécurité des communications cross-chain sera la clé du développement futur de l'industrie de la blockchain.