跨鏈協議的安全隱患:以LayerZero爲例

近年來,跨鏈協議在區塊鏈領域扮演着越來越重要的角色。然而,這類協議的安全性問題也日益凸顯。本文將以LayerZero爲例,探討當前跨鏈協議面臨的安全挑戰。

跨鏈協議的安全隱患已成爲區塊鏈行業不容忽視的問題。從過去兩年各鏈上發生的安全事件來看,跨鏈協議造成的損失金額位居榜首,其重要性甚至超過了以太坊擴容方案。然而,由於大衆對這些協議的認知有限,難以準確評估其安全等級。

以LayerZero爲例,其設計架構看似簡單,實則存在潛在風險。該協議採用Relayer執行跨鏈通信,由Oracle進行監督。這種架構雖然能爲用戶帶來"快速跨鏈"的體驗,但也存在明顯缺陷:

1. 將多節點驗證簡化爲單一Oracle驗證,大幅降低了安全系數。

2. 假設Relayer和Oracle是獨立的,這種信任假設難以長期成立,無法從根本上防止合謀作惡。

有觀點認爲,通過增加Relayer數量可以提高安全性。然而,這種做法並未從本質上改變產品特性,反而可能引發新的問題。例如,如果允許修改LayerZero節點配置,攻擊者可能替換爲自己控制的節點,從而僞造消息。

更重要的是,LayerZero並不具備爲其生態項目提供一致安全性的能力。它更像是一個中間件(Middleware),而非真正的基礎設施(Infrastructure)。這意味着,使用LayerZero的項目需自行承擔安全風險。

多個研究團隊已經指出LayerZero存在潛在漏洞。例如,L2BEAT團隊發現,LayerZero的安全假設存在缺陷;Nomad團隊則指出其中繼器存在兩個關鍵漏洞,可能導致用戶資金被盜。

回顧比特幣白皮書中的核心理念,去中心化和去信任化是區塊鏈技術的基石。然而,LayerZero在這兩方面都存在不足:它既依賴Relayer和Oracle不合謀作惡,又要求用戶信任使用其協議的應用開發者。整個跨鏈過程中,LayerZero並未生成任何欺詐證明或有效性證明,更未將這些證明上鏈驗證。

因此,盡管LayerZero自稱是去中心化的基礎設施,但實際上並不滿足"中本聰共識"的要求。它更像是一個中心化的中間件,而非真正的去中心化跨鏈協議。

構建真正去中心化的跨鏈協議仍是一個巨大挑戰。一些研究者正在探索使用零知識證明等技術來提升跨鏈協議的安全性。無論採用何種方案,確保跨鏈通信的去中心化和安全性都將是區塊鏈行業未來發展的關鍵。