Adam Back (Bitcoin 코어 개발팀 리더, BlockStream CEO)은 저에게 인상 깊은 한 문구가 있습니다. "훌륭한 디자인은 매우 단순해 보이지만, 그 디자인을 만드는 과정은 굉장히 복잡합니다." 그렇지만 LayerZero처럼 단순해 보이는 제품 디자인이 모두 훌륭한 것은 아닙니다.
Frederick Kang의 Fox Tech 및 Way Network 창업자이자 Danyang 투자의 회장입니다.
모든 사람들은 크로스체인 프로토콜이 다운될 때까지 안전하다고 생각하지만, 다운되면 큰 공포스러운 일입니다. 지난 2년간 발생한 각 체인에서의 보안 사고로 인한 금액을 기준으로, 크로스체인 프로토콜의 보안 사건이 목록 상단에 있습니다. 크로스체인 프로토콜 보안 문제를 해결하는 중요성과 긴급성은 이더리움 스케일링보다 더 큽니다. 크로스체인 프로토콜 간의 상호 운용성은 Web3 연결의 본질적인 요구 사항입니다. 이러한 협정에 대한 자금은 종종 거대하며, TVLS 및 거래 수는 엄격한 수요에 촉발되어 증가하고 있습니다. 그러나 대중의 인식도 부족하며, 이러한 크로스체인 프로토콜의 보안 수준을 인식할 수 없습니다.
제품 설계 아키텍처부터 시작합시다. Chain A와 Chain B 간의 통신 프로세스는 Relayer에 의해 이루어지며 Oracle이 Relayer를 감독합니다. 먼저, 이 아키텍처의 장점은 세 번째 체인을 통한 ChainA와 ChainB 간의 전통적인 통신을 회피함으로써 일반적으로 이 체인에 배포되지 않은 dApp을 통해 합의 알고리즘 및 수십 노드의 검증을 완료하는 것을 피할 수 있기 때문에 최종 사용자에게 "빠른 크로스체인" 사용자 경험을 제공할 수 있습니다. 아키텍처가 가벼우며 코드 양이 최소화되고 Oracle이 Chainlink를 포함하고 있기 때문에 이러한 유형의 프로젝트는 쉽게 출시할 수 있지만, 모방도 쉽고 기술 장벽이 없습니다.
위 아키텍처에는 적어도 두 가지 문제점이 있습니다:
이것이 LayerZero가 채택하는 기본 패턴입니다. 별도의 보안 유형으로서의 "초경량" 크로스체인 솔루션으로, 메시지 전달만을 담당하며 응용 프로그램의 보안은 담당하지 않으며 담당할 수도 없습니다.
모두가 중계기를 실행할 수 있도록 Relayer를 해제하는 것은 어떨까요? 그림 2는 그림 1의 도형 수를 확대한 것입니다. 먼저, 탈중앙화는 모든 사람이 참여할 수 있도록 탈중앙화된 운영자의 수를 뜻하지 않습니다. 이를 'Permissionless'라고 합니다. 수요 측은 항상 Permissionless이며, 공급 측도 Permissionless이며 이는 시대를 초월하는 변화가 아닙니다. 이것은 시장 측면의 변화로, 암호화에 기초한 두 사람이 사악한 일을 할 수 없다는 것을 근본적으로 보장하지 않습니다.
제품 자체의 보안. LayerZero의 Relayer는 기본적으로 Oracle과 같이 신뢰할 수 있는 제삼자로서 정보를 전달하는 중개자에 불과했습니다. 1에서 30개의 신뢰할 수 있는 원칙을 증가시켜 크로스체인 보안을 개선하려는 시도는 어리석은 짓입니다. 제품 기능을 변경하는 대신 새로운 문제가 발생할 것입니다.
크로스체인 토큰 프로젝트가 구성된 LayerZero 노드를 수정할 수 있게 허용하면, 공격자가 자체 "Layerzero" 노드로 교체하여 임의의 메시지를 위조할 수 있습니다. 결과적으로, Layerzero를 사용하는 프로젝트는 여전히 매우 복잡한 시나리오에서 더 나빠진 엄청난 보안 문제를 안고 있습니다. 대규모 시스템에서 딱 한 개의 링크를 교체하는 것만으로도 연쇄 반응을 일으킬 수 있습니다. LayerZero 자체로는 이 문제를 해결할 잠재력이 없습니다. 보안 사태가 발생하면 LayerZero는 자연히 외부 응용 프로그램에 책임을 전가합니다. 최종 사용자는 각 LayerZero 프로젝트의 보안을 신중히 판단해야 하며, 해당 "사용자 중심" 프로젝트는 동일한 생태계에 속하는 악성 응용 프로그램에 오염되지 않도록 LayerZero에 접근할 때 조심해야 합니다. 이는 생태계를 구축하기 어렵게 만듭니다.
Layer0가 Layer1이나 Layer2와 같이 보안을 공유할 수 없다면, Layer0는 인프라로 불릴 수 없습니다. 왜냐하면 인프라는 "기본적인"이기 때문에 보안을 공유할 수 있어야 하기 때문입니다. 프로젝트 당사자가 자신을 인프라라고 부르면, 다른 모든 인프라와 마찬가지로 모든 생태계 프로젝트에 일관된 보안을 제공해야 합니다. 즉, 모든 생태계 프로젝트는 인프라의 보안을 공유해야 합니다. 따라서 LayerZero는 명백히 인프라가 아니라 미들웨어입니다. 미들웨어 SDK/API에 접근하는 앱 개발자는 자체 보안 정책을 정의할 수 있습니다.
L2BEAT 팀은 2023년 1월 5일에 발행한 'Layer Zero 우회: 격리된 보안이란 보안이 아닌 이유'에서 앱 소유자(또는 개인 키를 가진 사람)가 악을 행할 수 없다는 가정이 잘못되었다고 주장했습니다. 나쁜 놈인 밥이 LayerZero 구성에 액세스할 수 있습니다. 나쁜 놈인 밥은 시어와 중계자를 기본 구성 요소에서 자신이 제어하는 구성 요소로 변경하여 이더리움의 LayerZero 스마트 계약을 속여 좋은 놈 앨리스의 이더리움 토큰 전부를 인출하게 할 수 있습니다. 원본 링크: https://medium.com/l2beat/circumventing-layer-zero-5e9f652a5d3e
Nomad 팀은 2023년 1월 31일에 발행한 레이어 제로 중계기에는 현재 두 당사자 간에 서명된 상태로 두 개의 심각한 취약점이 있어 내부자 또는 알려진 신분을 가진 팀 멤버만 악용할 수 있습니다. 첫 번째 취약점은 LayerZero에서 부정한 메시지를 전송할 수 있게 합니다.
다중 서명 및 두 번째는 예언 기계 및 다중 서명이 메시지 또는 거래에 서명한 후에도 메시지를 수정할 수 있게 하는 것을 허용하며, 둘 다 사용자 자금의 모든 도용을 야기합니다. 원본 링크: https://prestwich.substack.com/p/zero-validation
고급 시계에 혼동 될 때, 기본으로 돌아가보세요.
2008년 10월 31일, 비트코인 화이트 페이퍼가 등장했습니다. 2009년 1월 3일, BTC Genesis 블록이 탄생했습니다. 화이트 페이퍼의 일부인 "비트코인: 동료간 전자 화폐 시스템":
요약. 순수한 동료 간 전자 현금 버전은 금융 기관을 거치지 않고 한 당사자에서 다른 당사자로 직접 온라인 결제를 보낼 수 있게 합니다. 디지털 서명은 해결책의 일부를 제공하지만, 신뢰할 수 있는 제3자가 두 번 소비를 방지하려면 여전히 필요합니다. 우리는 동료 간 네트워크를 사용하여 이중 소비 문제에 대한 해결책을 제안합니다. 네트워크는 트랜잭션에 타임스탬프를 찍어 지속적인 해시 기반 작업 증명 체인으로 해싱하여 레코드를 형성합니다. 해싱되지 않고는 proof-of-work를 다시 하지 않고는 변경할 수 없습니다. 가장 긴 체인은 겪은 사건의 순서를 증명뿐만 아니라 가장 큰 CPU 성능 풀에서온 것을 증명합니다. CPU 파워의 상대적 다수가 네트워크를 공격할 협력적인 노드에 의해 제어되지 않는 한, 그들은 최장 체인을 생성하고 공격자를 앞지를 것입니다. 네트워크 자체는 최소한의 구조를 필요로 합니다. 메시지는 최선을 다해 방송되며, 노드는 원하는대로 네트워크를 나가거나 다시 참여할 수 있습니다. 그들이 떠난 동안 일어난 일의 증명으로 최장 proof-of-work 체인을 수락하는 것입니다.
앱으로
