Những rủi ro an ninh của giao thức chuỗi cross: Lấy LayerZero làm ví dụ

Trong những năm gần đây, giao thức chuỗi cross đóng vai trò ngày càng quan trọng trong lĩnh vực blockchain. Tuy nhiên, vấn đề an ninh của các giao thức này cũng ngày càng nổi bật. Bài viết này sẽ lấy LayerZero làm ví dụ, khám phá những thách thức an ninh mà các giao thức chuỗi cross hiện tại đang phải đối mặt.

Các rủi ro an ninh của giao thức chuỗi cross đã trở thành một vấn đề không thể xem nhẹ trong ngành công nghiệp blockchain. Dựa trên các sự kiện an ninh đã xảy ra trên các chuỗi trong hai năm qua, số tiền thiệt hại do giao thức chuỗi cross gây ra đứng đầu, tầm quan trọng của nó thậm chí còn vượt qua cả các giải pháp mở rộng Ethereum. Tuy nhiên, do nhận thức của công chúng về những giao thức này còn hạn chế, khó có thể đánh giá chính xác mức độ an ninh của chúng.

Lấy LayerZero làm ví dụ, kiến trúc thiết kế của nó có vẻ đơn giản, nhưng thực chất lại tồn tại những rủi ro tiềm ẩn. Giao thức này sử dụng Relayer để thực hiện giao tiếp chuỗi cross, được giám sát bởi Oracle. Mặc dù kiến trúc này có thể mang lại trải nghiệm "chuỗi cross nhanh chóng" cho người dùng, nhưng cũng có những thiếu sót rõ ràng:

1. Đơn giản hóa xác thực đa nút thành xác thực Oracle duy nhất, giảm đáng kể hệ số an toàn.

2. Giả sử Relayer và Oracle là độc lập, giả định niềm tin này khó có thể tồn tại lâu dài, không thể ngăn chặn một cách triệt để sự thông đồng làm hại.

Có quan điểm cho rằng, việc tăng số lượng Relayer có thể cải thiện tính bảo mật. Tuy nhiên, cách làm này không thay đổi bản chất của đặc tính sản phẩm, mà ngược lại có thể gây ra những vấn đề mới. Ví dụ, nếu cho phép sửa đổi cấu hình nút LayerZero, kẻ tấn công có thể thay thế bằng nút mà chúng kiểm soát, từ đó giả mạo tin nhắn.

Quan trọng hơn, LayerZero không có khả năng cung cấp tính bảo mật đồng nhất cho các dự án trong hệ sinh thái của nó. Nó giống như một chuỗi cross ( Middleware ), chứ không phải là một cơ sở hạ tầng ( Infrastructure ) thực sự. Điều này có nghĩa là, các dự án sử dụng LayerZero phải tự chịu rủi ro an ninh.

Nhiều nhóm nghiên cứu đã chỉ ra rằng LayerZero có các lỗ hổng tiềm ẩn. Ví dụ, nhóm L2BEAT phát hiện ra rằng giả định an ninh của LayerZero có những khiếm khuyết; nhóm Nomad thì chỉ ra rằng trong các bộ tiếp nhận có hai lỗ hổng chính, có thể dẫn đến việc tiền của người dùng bị đánh cắp.

Xem lại các nguyên tắc cốt lõi trong sách trắng Bitcoin, phi tập trung và không cần tin tưởng là nền tảng của công nghệ blockchain. Tuy nhiên, LayerZero có những thiếu sót trong cả hai khía cạnh này: nó vừa phụ thuộc vào việc Relayer và Oracle không thông đồng làm ác, vừa yêu cầu người dùng tin tưởng vào các nhà phát triển ứng dụng sử dụng giao thức của nó. Trong toàn bộ quá trình chuỗi cross, LayerZero không tạo ra bất kỳ bằng chứng gian lận hoặc bằng chứng tính hợp lệ nào, càng không đưa những bằng chứng này lên chuỗi để xác minh.

Do đó, mặc dù LayerZero tự xưng là cơ sở hạ tầng phi tập trung, nhưng thực tế không đáp ứng được yêu cầu "tính đồng thuận của Satoshi". Nó giống như một phần mềm trung gian tập trung, chứ không phải là một giao thức chuỗi cross phi tập trung thực sự.

Xây dựng một giao thức chuỗi cross thực sự phi tập trung vẫn là một thách thức lớn. Một số nhà nghiên cứu đang khám phá việc sử dụng các công nghệ như bằng chứng không kiến thức để nâng cao tính bảo mật của giao thức chuỗi cross. Dù áp dụng giải pháp nào, đảm bảo tính phi tập trung và an ninh trong giao tiếp chuỗi cross sẽ là chìa khóa cho sự phát triển trong tương lai của ngành công nghiệp blockchain.