BTC
ETH
HTX
SOL
BNB
시장 동향 보기
简中
繁中
English
日本語
한국어
ภาษาไทย
Tiếng Việt
플래시 뉴스
심층 분석
기사
핫스팟
특집
이벤트
관점
도구
다운로드
설정
API
Theme Switch
로그인

Jump Crypto: LayerZero, Wormhole 및 기타 교차 체인 브리지의 보안에 대한 자세한 분석

区块律动BlockBeats
特邀专栏作者
2022-08-15 13:30
이 기사는 약 7019자로, 전체를 읽는 데 약 11분이 소요됩니다
크로스 체인 브리지를 평가할 때 보안이 최우선 순위입니다.
AI 요약
펼치기
크로스 체인 브리지를 평가할 때 보안이 최우선 순위입니다.

원래 제목: "Security Stack-Up: How Bridges Compare"

소개

원본 편집: 0x9F, 0x214, BlockBeats

소개

물리적 세계와 암호화된 세계 모두에서 브리지는 장벽으로 분리된 두 장소를 연결하기 위한 것입니다. 물리적 브리지는 계곡, 강과 같은 자연 장벽으로 분리된 땅을 연결하는 반면, 교차 체인 브리지 프로토콜은 통신 및 동기화할 방법이 없는 블록체인을 연결합니다. 다리가 파괴되고 공격받을 때마다 다리의 중요성이 입증됩니다. 물리적 세계에서는역사적으로 기록된 재앙적인 다리 붕괴다리가 얼마나 중요한지, 제대로 설계되거나 건설되지 않은 다리가 얼마나 위험한지 말하는 것으로 충분합니다.

암호화된 세계의 교차 체인 브리지 프로토콜도 마찬가지입니다. 크로스 체인 브리지는 보안 위험 측면에서 표적이 되기가 매우 쉽습니다. 스마트 계약의 가능한 취약성과 공격 규모의 관점에서 크로스 체인 브리지는 2차 위험 측면을 나타냅니다. 브리지된 블록체인의 수가 증가함에 따라 크로스 체인의 운영을 유지하는 데 필요한 스마트 계약의 수가 증가합니다. 브리지도 증가합니다.성장력(적어도 P2P 모델에서는). 사용자 지정 구성을 기반으로 서로 다른 런타임에서 더 많은 스마트 계약이 작성되면 교차 체인 브리지 위험도 빠르게 증가합니다. 허브 앤 스포크 모델에서 중앙 체인/네트워크와 관련된 취약성은 비대칭 위험으로 이어집니다.

최근에유목민 공격 사건그림과 같이 한 번의 실수로 브리지 자금의 대부분 또는 전부를 잃을 수 있습니다. 그러나 이 취약점은 크로스 체인 브리지와 관련이 없으며 작동 오류로 인한 것일 수 있습니다. 로닌 크로스체인 브릿지의 경우,열악한 운영 보안피싱 공격이 악용하도록 허용, 해커네트워크를 보호하는 대부분의 유효성 검사기에 대한 제어권 확보, 그래서 그들은 5 억 위안 이상의 자금으로 탈출 할 수있었습니다. 지난 2월 발생한 웜홀 공격 역시 인증 심사 미흡으로 인해 공격자가가짜 서명을 만들어 3억 2천만 달러 이상을 훔칩니다.

보안에 주의를 기울이지 않으면 더 많은 부주의가 발생하여 공격과 손실이 발생할 수밖에 없습니다. 해커에게는 크로스 체인 브리지의 거대한 TVL이 일반 프로토콜보다 더 매력적입니다.

위에서 언급한 공격 이벤트는 프로토콜의 브리징 논리와 관련이 없지만 스마트 계약 취약성 및 운영 과실과 관련이 있습니다. 가장 잘 작성된 코드, 최고의 보안 감사, 연결된 블록체인의 수가 증가하고 활성화된 기능이 있어도 놓치는 버그가 있을 수 밖에 없습니다. 이러한 이유로 교차 체인 브리지는 정상적인 상황에서 안전하게 작동할 뿐만 아니라 더 중요한 것은 극한 상황을 처리하도록 구성해야 합니다.

크로스 체인 브리지를 사용할 때 사용자는 주로 우수한 사용자 경험, 낮은 미끄러짐, 고효율 및 자산 보안과 같은 기능에 중점을 둡니다. 그 중에서도 크로스체인 브릿지를 평가할 때 보안이 최우선 순위입니다.

이를 염두에 두고 서로 다른 교량이 어떻게 안전을 위해 쌓이는지 살펴보겠습니다. 서로 다른 교차 체인 브리지의 보안을 비교하기 위해 다음 세 가지 수준에서 논의할 것입니다.

1. 신뢰 가정

2. 코드 보증

3. 보안 기능

처음 두 사람은 크로스 체인 브리지가 신뢰 계층과 소스 코드의 두 가지 수준에서 취약성/취약성의 근원을 충분히 고려했는지 여부에 대해 논의할 것입니다. 마지막 요점은 프로토콜이 아무리 신중하게 코딩하고 감사하더라도 버그가 불가피하다는 것을 인식하고 그에 따라 사용자의 잠재적 손실을 최소화하기 위한 추가 보호 장치를 구축하는지 여부에 관한 것입니다.

첫 번째 레벨 제목

신뢰 가정

핵심 구성에서 크로스 체인 브리지는 세 가지 구성 요소로 나눌 수 있습니다.

1. 스마트 컨트랙트: 블록체인 정보 하나하나 보내기/받기

2. 오라클: 정보가 원래 체인에서 온 것인지 확인

3. Relayer: 대상 체인에 메시지 제출

실제로 교차 체인 브리지는 오라클에 대한 합의(정보가 유효한지 여부)를 달성하는 측면에서 크게 다를 수 있으며, 이는 중계자에게 더 많은 영향을 미칩니다.

보조 제목

Axelar

Axelar는 Cosmos PoS 네트워크에서 운영되며, Validator는 Token 보유자에 의해 선출되어 비례적으로 의결권을 얻습니다.투표 가중치는 권리와 이익을 위임하여 계산됩니다. Axelar 네트워크는 서명자의 의결권과 가중치를 n으로 정규화한 (t,n) 임계값 서명 방식을 통해 크로스체인 정보를 검증하며, 메시지에 서명하려면 n이 프로토콜 임계값인 t보다 커야 합니다. . Axelar 네트워크에는 현재 최대 50명의 검증자가 있으며 메시지에 서명하려면 66.67% 이상의 득표율을 얻어야 합니다(두 변수 모두 거버넌스 투표를 통해 수정할 수 있음).

이론적으로 검증인의 수는 무한할 수 있지만 실제로는 검증인이 블록체인마다 노드를 실행할 필요가 없기 때문에 투표력이 왜곡될 수 있습니다. Axelar의 현재유효성 검사기 목록보조 제목

LayerZero

LayerZero는 블록체인 간의 무신뢰 통신 문제를 Oracle(오라클)과 Relayer(Relayer)라는 두 개체 간의 독립성 문제로 단순화하는 교차 체인 상호 운용성 프로토콜입니다. 오라클은 블록 헤더를 대상 체인에 전달하고 중계자는 트랜잭션 증명을 대상 체인에 전달하며 두 사람은 함께 메시지가 유효하고 정보가 실제로 원래 체인에 제출되었음을 증명합니다. 사용자 응용 프로그램(UA)은 LayerZero의 기본 오라클 및 반복기를 자유롭게 사용하거나 자체 오라클 및 반복기를 생성하고 실행할 수 있습니다.

기본 오라클은 세 참가자(FTX, Polygon 및 Sequoia) 간에 임계값 서명 체계(Threshold signature)를 사용하는 Chainlink Decentralized Oracle Network(DON)입니다. 작성 당시에는 LayerZero 코드베이스의 폐쇄 소스 특성으로 인해 구현에 대한 지식이 부족했습니다. 애플리케이션별 버전 오라클의 경우 LayerZero의 자체 Ackee심사유효하지 않은 트랜잭션 증명 및 블록 헤더를 성공적으로 제출하기 위해 애플리케이션이 자체 오라클 및 릴레이어를 생성하고 실행하는 것이 어렵지 않다는 점을 지적하십시오. 그러나 이 모듈성은 미래의 모든 취약성이 영향을 받는 오라클-릴레이 쌍을 사용하는 애플리케이션에만 영향을 미친다는 이점을 제공합니다.

보조 제목

Multichain

Multichain은 이전 Anyswap에서 파생된 교차 체인 정보 전송 프로토콜입니다. 멀티체인은 SMPC(Secure Multi-Party Computation)를 사용하여 임계값 서명 체계를 실행하고 공개 키를 생성하며 체인에서 체인으로 전달되는 메시지에 서명합니다. 이들 노드는 신뢰할 수 없는 방식으로 사용자 계정(EOA)을 제어하며, 지갑 주소는 분할된 개인 키에 하나씩 대응됩니다. 이 계정은 자산을 저장하고 대상 체인으로 자산을 전송하는 데 사용되며 메시지 자체를 확인하지 않고 발신자의 주소를 신뢰할 수 있는지 여부만 확인하면 됩니다.

보조 제목

Nomad

Nomad는 낙관적 메커니즘을 사용하여 메시지를 확인하는 EVM 중심의 교차 체인 메시징 프로토콜입니다. 여기서 메시지는 Merkle 트리에 추가되고 새 루트로 해시되며 업데이터가 원본 체인에 게시합니다. 업데이터는 보증금을 게시해야 하므로 유효한 증명을 발행하고 중단 시간을 최소화하도록 장려합니다. 그런 다음 감시자는 새 루트에 대해 이의를 제기하고 사기 증거를 제출할 시간이 있습니다. 시간 프레임이 초과되면 이 Merkle 루트는 유효한 것으로 간주되고 게시를 위해 대상 체인으로 전달되어 원래 메시지(Merkle 루트는 메시지의 "화신"일 뿐이므로)가 대상 체인에 게시되도록 합니다.

이 낙관적 모델에서는 잘못된 업데이트가 게시되었는지 여부를 확인하기 위해 정직한 관찰자만 필요합니다. 이 보안 모델의 대가는 관찰자가 사기 증거를 제출하는 데 약 30분이 주어져 메시지 전송이 30분 지연된다는 것입니다. 옵저버는 사기에 대한 거짓 증거를 대상 계약에 전송하여 메시지가 처리되는 것을 방지할 수 있으므로 Nomad는 애플리케이션에 지정된 허가된 옵저버 집합을 사용합니다. 프로토콜의 보안은 적어도 한 명의 정직한 관찰자가 존재할 확률과 악의적인 행동으로 인해 업데이터를 삭감하는 경제적 보안을 기반으로 합니다.

Nomad 스마트 계약은 다음을 통해 액세스할 수 있습니다.다중 서명 거버넌스 모델업그레이드의 경우 서명자 5명 중 3명이 거버넌스 변경을 수행하고 복구 관리를 처리해야 합니다.

최근 Nomad 해킹은 합의 메커니즘의 보안과는 아무런 관련이 없다는 점에 유의해야 합니다.잘못된 계약 구성보조 제목

Wormhole

Wormhole은 PoA(Proof-of-Authority) 가디언 네트워크를 오라클로 활용하고 무허가 중계자 네트워크를 사용하여 체인을 통해 메시지를 전송합니다. 19명의 가디언은 각각 Wormhole이 지원하는 각 체인에 대해 전체 노드를 실행하고 각 체인에서 Wormhole 핵심 계약의 메시지를 수신합니다. 이 보호자는 메시지를 확인하고 서명한 다음 P2P 네트워크에서 서로에게 전달됩니다. 가디언의 2/3 이상(최소 13명)이 서명한 메시지는 대상 체인으로 전달됩니다. 이 설계의 부산물은 완전히 신뢰할 수 없는 중계자 네트워크가 대상 체인에 메시지를 게시할 수 있다는 것입니다. 메시지는 가디언이 서명하기 때문에 누구나 실행할 수 있기 때문에 메시지 내용을 변경하거나 검열할 수 없습니다. 정보를 제출하는 중계자.

프로토콜의 보안은 보호자의 평판 권한에서 비롯됩니다. 웜홀의 경우는Web3의 19개 최대 스테이킹 및 인프라 제공업체첫 번째 레벨 제목

코드 보증

코드 보증은 코드를 온체인에 배포하기 전에 완료해야 하는 작업을 말합니다. 여기에는 다음과 같은 측면이 포함될 수 있습니다.

1. 감사: 게시된 핵심 및 새로운 기능에 대한 여러 개의 독립적인 품질 감사

2. 포상금: 취약점 공개자에 대한 매력적인 포상금 제공 및 많은 포상금을 즉시 지불할 수 있다는 업계 평판 포함

3. 테스트: 각 코드 변경에서 가능한 한 많은 프로토콜 스택을 테스트하여 성장하는 소프트웨어 생태계에서 회귀 테스트를 가능하게 합니다.

4. 배포 보안: 개방형 환경에서 개발, 병합 전 코드 검토, 계약 바이트코드 검증, 업그레이드 전 시뮬레이션 테스트

보조 제목

Axelar

Axelar는 여러 공개 및 평판이 있습니다.심사, CI(지속적인 통합) 및 CD(지속적인 배포) 실행, bash 빌드 스크립트 및 체크섬 유효성 검사와 같은 상당히 강력한(최근 몇 달 동안은 활동이 적었지만) 테스트 스위트를 실행합니다. Axelar는 Immunefi와 제휴하여버그 바운티 프로그램, 중대한 취약점 공개에 대해 최대 100만 달러의 보상이 있지만 다른 수준의 보상은 상대적으로 작습니다. Axelar 리포지토리에는 정기적으로 코드를 커밋하는 기여자가 있습니다.Pull Request보조 제목

LayerZero

LayerZero는 코드 배포와 관련하여 다소 불투명해 보입니다. 최고 감사원의 여러 차례가 있었지만공개 감사보조 제목

Multichain

멀티체인이 여러 공개됨심사, Immunefi를 통해 최대 200만 달러의 바운티 프로그램이 있습니다. 멀티체인수행된 테스트정체되어 있어 일반적인 ABI 및 단순 전송 테스트에 국한된 것으로 보입니다. CI(지속적인 통합) 및 CD(지속적인 배포) 실행과 제한된 단위 및 통합 테스트가 있지만 배포 프로세스는 대부분 수동인 것으로 보입니다. 멀티체인repo보조 제목

Nomad

Nomad는 최근 Quantstamp의 공개를 수락했습니다.심사, 최대 100만 달러의 보상을 제공하는 Immunefi 버그 바운티 프로그램이 있습니다. 유목민의테스트 스위트보조 제목

Wormhole

웜홀보안 페이지업계 최고의 감사 회사에서 완료되고 진행 중인 감사를 강조 표시합니다. Wormhole은 Immunefi에 하나 있습니다.천만 달러의 현상금 프로그램. Wormhole은 2월에 해킹을 당한 이후 5월 화이트 햇 해커에게 지불한 금액을 포함하여 버그 바운티로 1,100만 달러 이상을 지불했습니다.천만 달러. Wormhole의 저장소는 단위 테스트와 통합 테스트를 혼합하여 사용하고 확장 가능한 CI(지속적인 통합) 및 CD(지속적인 배포) 제품군을 보유하고 일련의 모의 테스트를 실행하여 이전 버전과의 호환성 및향후 업그레이드 가능성. 또한 Wormhole은 공개 구성에 대한 적극적인 커밋 및 기여자 제출을 통해 투명한 코드 검토 및 책임 있는 공개를 가능하게 합니다. Wormhole의 풀 리퀘스트는 코드를 병합하기 위해 최소 세 당사자가 필요합니다(원래 개발자와 2명의 독립 검토자).

첫 번째 레벨 제목

보안 기능

보조 제목

Axelar

백서에서 Axelar는 거버넌스 제어를 위한 보호 및 백업 메커니즘으로 네트워크에서 할당한 자금 풀을 설명하여 사용자에게 Axelar 중단 시 거버넌스 복원 지침을 제공합니다. 이러한 위기 상황에서 임계값 계약(Axelar 검증자가 관리)이 예치한 "비상 잠금 해제 키"는 보조 복구 사용자 세트와 공유됩니다. 필요한 경우 이 코호트는 잠재적으로 수천 명의 개인 및 기관으로 확장될 수 있으며, 이들은 집단적으로 네트워크를 제어하여 다음을 수행할 수 있습니다.

1. 특정 체인 안팎으로 이체할 수 있는 자금의 양에 대한 비율 제한을 설정합니다.

2. 체인에서 네이티브 자산의 패키징 형태를 결정하는 상황

보조 제목

LayerZero

LayerZero의 브리징 모델에는 대상 체인에서 릴레이어를 선택하기 위한 트랜잭션 애플리케이션에 대한 요구 사항이 포함됩니다. 따라서 이 모델에서 프로토콜의 보안 기능의 핵심은 리피터이다.

블로그 게시물블로그 게시물사전 범죄가 어떻게 작동하는지에 대한 단서를 제공합니다. 범죄 전 모델은 기본적으로 사용자 애플리케이션(UA)이 릴레이어가 인증해야 하는 특정 상태 집합을 정의할 수 있도록 합니다. 이러한 상태가 확인되지 않으면 릴레이어는 트랜잭션을 릴레이하지 않습니다.

보조 제목

Multichain

폭로폭로브리징 구성의 일부 보안 기능을 언급하는 것을 포함하여 일부 보안 조치가 언급됩니다.

1. 거래량 제한 및 총 거래량 제한: 거래량이 많은 블록체인을 특정 상한선으로 제한할 수 있는 기능입니다. 또한 거래량이 적은 블록체인의 경우 총 거래량을 제한하는 방식을 채택하고 있습니다.

2. 온체인 모니터링: 이 모드에는 모니터링 소프트웨어 및 온체인 워치독이 포함되어 비정상적인 동작을 감지하고 사고 대응 조치를 트리거합니다.

3. 제품 일시 중단: 이 기능을 사용하면 모든 제품을 일시 중단할 수 있으며 사고 대응 조치가 시행되는 동안 모든 제품을 효과적으로 일시 중단할 수 있습니다.

보조 제목

Nomad

유목민 사용optimistic verification model즉, 메시지는 원본 체인에서 서명되고 대상 체인에서 시행될 기본 제공 기간이 있습니다. 어떻게 보면 "이 편지를 이 시간보다 일찍 개봉하지 말라"는 말과 비슷하다는 것을 알 수 있습니다. 이 기간은 "자동 회로 차단기"를 구현하고 Merkle 루트가 유효한 것으로 간주될 때까지 자산 전송을 중지하는 데 유용합니다. 이것은 안에 있다노매드 문서보조 제목

Wormhole

Wormhole의 메시징 모델은 멀티캐스트입니다. 즉, 메시지는 원본 체인의 보호자/오라클 네트워크에 의해 공증되며 해당 메시지를 대상 체인으로 가져오는 중계자는 신뢰할 수 없습니다. 이 모델에는 기본적으로 프로토콜 내 보안 기능이 의존하는 매우 강력한 오라클 네트워크가 필요합니다.

Wormhole 프로젝트에는 거버넌스, 회계 및 비상 종료라는 세 가지 주요 프로토콜 내 보안 기능이 개발되고 있습니다. 이러한 기능은 대중의 가시성을 고려하여 개발되었으며 궁극적으로 작동 방식에 대한 통찰력을 제공했습니다. 이러한 기능은 Guardians에서 개발하고 채택하기를 기다리고 있습니다.

1. 수탁: 이 기능은 가디언/오라클에서 구현되어 가디언이 시간 범위 내에서 모든 관리 체인에서 가치 흐름의 명목 금액을 모니터링할 수 있습니다. 가디언은 각 체인에 대해 허용 가능한 상한을 설정할 수 있으며 이 상한에 도달하면 이 체인을 넘어 자산의 흐름이 방지됩니다.

2. 회계: 이 기능은 가디언/오라클에서 구현되어 가디언이 서로 다른 체인 간에 교차 체인 원장 역할을 하는 자체 블록체인(일명 "웜체인")을 유지할 수 있도록 합니다. 이 원장은 가디언이 온체인 검증자 역할을 할 수 있을 뿐만 아니라 회계 플러그인 역할도 합니다. 가디언은 원래 체인에 충분한 자금이 없는 교차 체인 거래를 거부할 수 있습니다(검증은 스마트 계약 논리와 무관함).

발문

발문

원본 링크

원본 링크

안전
크로스체인
Odaily 공식 커뮤니티에 가입하세요
구독 그룹
https://t.me/Odaily_News
채팅 그룹
https://t.me/Odaily_CryptoPunk
공식 계정
https://twitter.com/OdailyChina
채팅 그룹
https://t.me/Odaily_CryptoPunk
검색
기사 목차
작성자 라이브러리
区块律动BlockBeats
오늘 출시된 WLFI의 가치는 얼마일까요?
시장 추세를 거스르고 급등한 ZEC는 앞으로도 계속 상승할 수 있을까?
3개월 만에 20배나 증가한 ZEC의 "비트코인 실버" 주장은 타당할까?
기사 인기 순위
일간 순위
주간 순위
바이낸스의 공동 CEO가 된 이후 첫 인터뷰에서 허이는 소매 투자자의 이익을 우선시하는 것이 바이낸스의 성공에 근본적이라고 말했습니다.
바이낸스의 공동 CEO가 된 이후 첫 인터뷰에서 허이는 소매 투자자의 이익을 우선시하는 것이 바이낸스의 성공에 근본적이라고 말했습니다.
바이낸스의 실시간 거래 플랫폼에서 4,500만 달러의 수익을 냈다고 보고한 블로거는 "경험이 부족한 트레이더는 지금 당장 데이 트레이딩을 중단하세요!"라고 댓글을 남겼습니다.
세일러의 두바이 연설(전문): 비트코인이 글로벌 디지털 자본의 기반 자산이 될 이유
CZ와 피터 쉬프 간의 격렬한 논쟁 전문: 3억 명의 사용자는 폰지 사기를 지지하는 것이 아니라 새로운 세대의 금융적 합의를 지지하고 있습니다.
발레 무용수이자 MIT 졸업생에서 29세 여성 억만장자가 된 칼시의 창립자는 불과 6년 만에 놀라운 삶의 변화를 이루었습니다.
Odaily 플래닛 데일리 앱 다운로드
일부 사람들이 먼저 Web3.0을 이해하게 하자
IOS
Android
회사 소개
연락처
채용 정보
파트너 링크
광고 협력
이용약관
개인정보 보호정책
면책 조항
미디어 키트
하이난성 모디 문화 미디어 유한책임회사
琼ICP备 2022000863号