Jump Crypto: Phân tích chi tiết về tính bảo mật của LayerZero, Wormhole và các cầu nối chuỗi chéo khác
Tiêu đề gốc: "Security Stack-Up: How Bridges So sánh"
Giới thiệu
Biên dịch gốc: 0x9F, 0x214, BlockBeats
Giới thiệu
Trong cả thế giới vật lý và thế giới được mã hóa, các cây cầu được dùng để kết nối hai nơi được ngăn cách bởi một rào cản. Các cây cầu vật lý kết nối các vùng đất bị ngăn cách bởi các rào cản tự nhiên như thung lũng và sông, trong khi các giao thức cầu nối chuỗi chéo kết nối các chuỗi khối không có cách nào để giao tiếp và đồng bộ hóa. Mỗi khi cầu bị phá hủy và tấn công, tầm quan trọng của chúng được chứng minh. Trong thế giới vật chất,Những vụ sập cầu thảm khốc được lịch sử ghi lạiĐủ để nói rằng chúng quan trọng như thế nào và những cây cầu nguy hiểm như thế nào nếu chúng không được thiết kế hoặc xây dựng đúng cách.
Điều này cũng đúng đối với các giao thức cầu nối chuỗi chéo trong thế giới được mã hóa. Cầu nối chuỗi chéo cực kỳ dễ trở thành mục tiêu về rủi ro bảo mật. Từ góc độ các lỗ hổng có thể có của hợp đồng thông minh và quy mô của các cuộc tấn công, cầu nối chuỗi chéo thể hiện khía cạnh rủi ro bậc hai: khi số lượng chuỗi khối bắc cầu tăng lên, số lượng hợp đồng thông minh cần thiết để duy trì hoạt động của chuỗi chéo cầu cũng tăng.Sức mạnh của tăng trưởng (ít nhất là trong mô hình ngang hàng). Nhiều hợp đồng thông minh hơn được viết ở các thời gian chạy khác nhau dựa trên cấu hình tùy chỉnh cũng làm tăng nhanh rủi ro cầu nối chuỗi chéo. Trong mô hình hub-and-spoke, một lỗ hổng liên quan đến chuỗi/mạng trung tâm dẫn đến rủi ro bất đối xứng.
như gần đâySự cố tấn công du mụcNhư đã trình bày, một sai lầm có thể dẫn đến việc mất phần lớn hoặc toàn bộ số tiền của cây cầu. Tuy nhiên, lỗ hổng không liên quan gì đến cầu nối chuỗi chéo và có thể chỉ xuất phát từ lỗi vận hành. Trong trường hợp cầu nối chéo Ronin,bảo mật hoạt động kémCho phép các cuộc tấn công lừa đảo khai thác, tin tặcGiành quyền kiểm soát đối với phần lớn các trình xác nhận bảo mật mạng, để họ có thể trốn thoát với số tiền trị giá hơn 500 triệu nhân dân tệ. Cuộc tấn công Wormhole xảy ra vào tháng 2 cũng do thiếu sự xem xét xác thực, cho phép kẻ tấn côngTạo chữ ký giả, đánh cắp hơn 320 triệu USD。
Nếu không chú ý đến bảo mật, chắc chắn sẽ xảy ra nhiều sơ suất hơn, dẫn đến các cuộc tấn công và tổn thất. Đối với tin tặc, TVL khổng lồ của cầu nối chuỗi chéo hấp dẫn hơn các giao thức thông thường.
Các sự kiện tấn công được đề cập ở trên không liên quan đến logic bắc cầu của giao thức, mà liên quan đến các lỗ hổng hợp đồng thông minh và sơ suất trong hoạt động. Ngay cả với mã được viết tốt nhất, với kiểm tra bảo mật tốt nhất, khi số lượng chuỗi khối được kết nối và chức năng được kích hoạt tăng lên, chắc chắn sẽ có những lỗi bị bỏ sót. Vì lý do này, cầu nối chuỗi chéo cần được cấu hình không chỉ để hoạt động an toàn trong các trường hợp bình thường mà quan trọng hơn là để xử lý các tình huống khắc nghiệt.
Khi sử dụng cầu nối chuỗi chéo, người dùng chủ yếu tập trung vào các tính năng sau: trải nghiệm người dùng tốt, độ trượt giá thấp, hiệu quả cao và bảo mật tài sản. Trong số đó, bảo mật là ưu tiên hàng đầu trong việc đánh giá các cầu nối chuỗi chéo.
Với suy nghĩ này, chúng ta hãy xem các cây cầu khác nhau xếp chồng lên nhau như thế nào để đảm bảo an toàn cho chúng. Chúng tôi sẽ thảo luận từ ba cấp độ sau để so sánh tính bảo mật của các cầu nối chuỗi chéo khác nhau.
1. Giả định niềm tin
2. Mã bảo hành
3. Tính năng bảo mật
Hai phần đầu tiên sẽ thảo luận: liệu cầu nối chuỗi chéo đã xem xét đầy đủ nguồn gốc của lỗ hổng/lỗ hổng của nó ở hai cấp độ lớp tin cậy và mã nguồn hay chưa. Điểm cuối cùng liên quan đến việc liệu một giao thức có nhận ra rằng, bất kể được mã hóa và kiểm tra cẩn thận đến đâu, các lỗi là không thể tránh khỏi và theo đó xây dựng các biện pháp bảo vệ bổ sung để giảm thiểu tổn thất có thể xảy ra cho người dùng.
tiêu đề cấp đầu tiên
giả định tin tưởng
Từ thành phần cốt lõi của nó, cầu nối chuỗi chéo có thể được chia thành ba thành phần:
1. Hợp đồng thông minh: gửi/nhận từng mẩu thông tin chuỗi khối
2. Oracle: xác minh xem thông tin có đến từ chuỗi gốc hay không
3. Người chuyển tiếp: gửi tin nhắn đến chuỗi mục tiêu
Trên thực tế, các cầu nối chuỗi chéo có thể khác nhau rất nhiều về mặt đạt được sự đồng thuận về lời tiên tri (xung quanh việc thông tin có hợp lệ hay không), điều này càng ảnh hưởng đến những người chuyển tiếp.
tiêu đề phụ
Axelar
Axelar chạy trên mạng Cosmos PoS. Người xác thực được bầu chọn bởi chủ sở hữu Token và nhận quyền biểu quyết theo tỷ lệ. Trọng số biểu quyết được tính bằng cách ủy thác các quyền và lợi ích. Mạng Axelar xác minh thông tin chuỗi chéo thông qua sơ đồ chữ ký ngưỡng (t,n), trong đó quyền biểu quyết và trọng số của người ký được chuẩn hóa thành n và n phải lớn hơn t, là ngưỡng giao thức, để ký một thông báo . Mạng Axelar hiện có tối đa 50 người xác thực và phải đạt được đa số hơn 66,67% phiếu bầu để ký thông báo (cả hai biến có thể được sửa đổi thông qua phiếu bầu quản trị).
Về lý thuyết, số lượng trình xác nhận có thể là vô hạn, nhưng trên thực tế, vì trình xác nhận không cần chạy các nút cho mỗi chuỗi khối nên quyền biểu quyết có thể bị sai lệch. Trong Axelar hiện tạidanh sách người xác thựctiêu đề phụ
LayerZero
LayerZero là một giao thức có khả năng tương tác xuyên chuỗi giúp đơn giản hóa vấn đề giao tiếp không tin cậy giữa các chuỗi khối thành vấn đề độc lập giữa hai thực thể, nhà tiên tri (Oracle) và người chuyển tiếp (Relayer). Nhà tiên tri chuyển tiếp tiêu đề khối tới chuỗi mục tiêu và bộ chuyển tiếp chuyển tiếp bằng chứng giao dịch tới chuỗi mục tiêu và cả hai cùng nhau chứng minh rằng thông báo là hợp lệ và thông tin thực sự đã được gửi tới chuỗi ban đầu. Ứng dụng Người dùng (UA) được tự do sử dụng các bộ lặp và bộ lặp mặc định của LayerZero hoặc để tạo và chạy các bộ lặp và bộ lặp của riêng họ.
Tiên tri mặc định là Mạng Oracle phi tập trung Chainlink (DON) sử dụng lược đồ chữ ký ngưỡng (Chreshold signature) giữa ba người tham gia (FTX, Polygon và Sequoia). Tại thời điểm viết bài này, do bản chất mã nguồn đóng của cơ sở mã LayerZero, tôi không biết cách triển khai nó. Đối với phiên bản dành riêng cho ứng dụng, Ackee của riêng LayerZerokiểm toánChỉ ra rằng không khó để một ứng dụng tạo và chạy các tiên tri và trình chuyển tiếp của riêng mình để gửi thành công tiêu đề khối và bằng chứng giao dịch không hợp lệ. Tuy nhiên, tính mô-đun này mang lại lợi ích là bất kỳ lỗ hổng nào trong tương lai sẽ chỉ ảnh hưởng đến những ứng dụng sử dụng các cặp chuyển tiếp tiên tri bị ảnh hưởng.
tiêu đề phụ
Multichain
Multichain là một giao thức truyền thông tin xuyên chuỗi, bắt nguồn từ Anyswap trước đó. Multichain sử dụng Tính toán đa bên an toàn (SMPC) để chạy các sơ đồ chữ ký ngưỡng, tạo khóa chung và ký các thông báo được truyền từ chuỗi này sang chuỗi khác. Các nút này kiểm soát tài khoản người dùng (EOA) theo cách không đáng tin cậy và địa chỉ ví tương ứng với từng khóa riêng tư được phân chia. Các tài khoản này được sử dụng để lưu trữ tài sản và chuyển tài sản đến chuỗi mục tiêu, chuỗi này chỉ cần kiểm tra xem địa chỉ của người gửi có đáng tin cậy hay không mà không cần xác minh chính thư.
tiêu đề phụ
Nomad
Nomad là một giao thức nhắn tin chuỗi chéo tập trung vào EVM, sử dụng cơ chế lạc quan để xác minh tin nhắn, trong đó các tin nhắn được thêm vào cây Merkle và được băm vào một gốc mới, được Trình cập nhật xuất bản trên chuỗi gốc. Những người cập nhật phải gửi một khoản tiền gửi bảo mật, do đó khuyến khích họ đưa ra bằng chứng hợp lệ và giảm thiểu thời gian ngừng hoạt động. Sau đó, Người theo dõi sẽ có thời gian để tranh luận về quyền root mới và gửi bằng chứng gian lận. Sau khi vượt quá khung thời gian, gốc Merkle này được coi là hợp lệ và được chuyển tiếp đến chuỗi mục tiêu để xuất bản, khiến thông báo ban đầu (vì gốc Merkle chỉ là "hiện thân" của thông báo) được xuất bản trên chuỗi mục tiêu.
Mô hình lạc quan này chỉ yêu cầu một người quan sát trung thực để xác minh xem một bản cập nhật không hợp lệ đã được xuất bản hay chưa. Cái giá của mô hình bảo mật này là người quan sát có khoảng 30 phút để gửi bằng chứng gian lận, điều này làm chậm quá trình truyền tin nhắn trong 30 phút. Bởi vì các quan sát viên có thể ngăn không cho các thông báo được xử lý bằng cách gửi bằng chứng gian lận giả đến hợp đồng mục tiêu, Nomad sử dụng một tập hợp các quan sát viên được phép, được chỉ định bởi ứng dụng. Tính bảo mật của giao thức dựa trên xác suất tồn tại ít nhất một người quan sát trung thực và tính bảo mật kinh tế của việc cắt giảm các trình cập nhật do hành vi nguy hiểm.
Hợp đồng thông minh Nomad có thể được truy cập thông quaMô hình quản trị đa chữ kýĐể nâng cấp, 3 trong số 5 người ký được yêu cầu thực hiện các thay đổi về quản trị và xử lý việc quản lý khôi phục.
Cần lưu ý rằng vụ hack Nomad gần đây không liên quan gì đến tính bảo mật của cơ chế đồng thuận của nó; đó là một sự cố đáng tiếc.cấu hình sai hợp đồngtiêu đề phụ
Wormhole
Wormhole sử dụng một mạng lưới những người bảo vệ Bằng chứng về quyền hạn (PoA) như những nhà tiên tri và một mạng lưới những người chuyển tiếp không được phép để truyền thông điệp qua các chuỗi. Mỗi người trong số 19 Người bảo vệ chạy một nút đầy đủ cho mỗi chuỗi mà Wormhole hỗ trợ và lắng nghe các thông báo từ hợp đồng lõi của Wormhole trên mỗi chuỗi. Những người bảo vệ này xác minh và ký vào các tin nhắn, sau đó các tin nhắn này được chuyển cho nhau trên mạng P2P. Khi một tin nhắn được ký bởi hơn 2/3 số người giám hộ (ít nhất 13), nó sẽ được chuyển tiếp đến chuỗi mục tiêu. Một sản phẩm phụ của thiết kế này là nó cho phép một mạng chuyển tiếp hoàn toàn không đáng tin cậy xuất bản thông báo trên chuỗi mục tiêu và vì thông báo được ký bởi người giám hộ nên nội dung của thông báo không thể bị thay đổi hoặc kiểm duyệt, bởi vì Bất kỳ ai cũng có thể chạy một người chuyển tiếp để gửi bất kỳ thông tin.
Tính bảo mật của giao thức đến từ cơ quan danh tiếng của người giám hộ. Trong trường hợp của Wormhole, đó là một19 nhà cung cấp cơ sở hạ tầng và đặt cược lớn nhất trong Web3tiêu đề cấp đầu tiên
Mã bảo hành
Đảm bảo mã đề cập đến công việc cần được thực hiện trước khi mã có thể được triển khai trên chuỗi. Điều này có thể liên quan đến các khía cạnh sau:
1. Kiểm tra: Nhiều cuộc kiểm tra chất lượng độc lập đối với các tính năng mới và cốt lõi đã xuất bản
2. Tiền thưởng: bao gồm cung cấp phần thưởng hấp dẫn cho người tiết lộ lỗ hổng và danh tiếng trong ngành về việc có thể dễ dàng trả tiền thưởng lớn
3. Thử nghiệm: Thử nghiệm càng nhiều ngăn xếp giao thức càng tốt trên mỗi lần thay đổi mã, cho phép thử nghiệm hồi quy trong hệ sinh thái phần mềm đang phát triển
4. Bảo mật triển khai: phát triển trong môi trường mở, xem xét mã trước khi hợp nhất, xác minh mã byte hợp đồng, thử nghiệm mô phỏng trước khi nâng cấp
tiêu đề phụ
Axelar
Axelar có nhiều công chúng và uy tínkiểm toánvà chạy bộ thử nghiệm khá mạnh mẽ (mặc dù ít hoạt động hơn trong những tháng gần đây): chạy tích hợp liên tục (CI) và phân phối liên tục (CD), tập lệnh xây dựng bash và xác thực tổng kiểm tra. Axelar hợp tác với Immunefi để thiết lậpChương trình tiền thưởng lỗi, với phần thưởng lên tới 1 triệu đô la cho việc tiết lộ lỗ hổng nghiêm trọng, nhưng các mức phần thưởng khác tương đối nhỏ. Axelar repo có những người đóng góp cam kết mã thường xuyên,Pull Requesttiêu đề phụ
LayerZero
LayerZero dường như hơi mờ khi triển khai mã. Mặc dù đã có một số dịp từ các kiểm toán viên hàng đầukiểm toán côngtiêu đề phụ
Multichain
Multichain được công khaikiểm toánvà có chương trình tiền thưởng lên tới 2 triệu đô la với Immunefi. đa chuỗikiểm tra thực hiệnCó vẻ trì trệ, dường như bị giới hạn đối với ABI chung và các thử nghiệm chuyển đơn giản. Mặc dù có các lần chạy tích hợp liên tục (CI) và phân phối liên tục (CD) cũng như thử nghiệm tích hợp và đơn vị hạn chế, quá trình triển khai dường như chủ yếu là thủ công. đa chuỗirepotiêu đề phụ
Nomad
Nomad gần đây đã chấp nhận công khai của Quantstampkiểm toánvà có chương trình tiền thưởng lỗi Immunefi với phần thưởng lên tới 1 triệu USD. người du mụcbộ kiểm tratiêu đề phụ
Wormhole
lỗ giuntrang bảo mậtLàm nổi bật các cuộc kiểm toán đã hoàn thành và đang diễn ra của họ từ các công ty kiểm toán hàng đầu trong ngành. Lỗ sâu có một cái trên ImmunefiChương trình tiền thưởng 10 triệu USD. Kể từ khi bị tấn công vào tháng 2, Wormhole đã trả hơn 11 triệu USD tiền thưởng tìm lỗi, bao gồm cả khoản thanh toán cho một hacker mũ trắng vào tháng 5.10 triệu USD. Kho lưu trữ của Wormhole sử dụng kết hợp các thử nghiệm đơn vị và tích hợp, có bộ tích hợp liên tục (CI) và phân phối liên tục (CD) có thể mở rộng, đồng thời chạy một loạt thử nghiệm giả để xác minh khả năng tương thích ngược vàkhả năng nâng cấp trong tương lai. Ngoài ra, Wormhole giúp cho việc xem xét mã minh bạch và tiết lộ có trách nhiệm thông qua các cam kết tích cực và đệ trình của người đóng góp để xây dựng mở. Yêu cầu kéo của Wormhole yêu cầu ít nhất ba bên hợp nhất mã (nhà phát triển ban đầu cộng với 2 người đánh giá độc lập).
tiêu đề cấp đầu tiên
chức năng bảo mật
tiêu đề phụ
Axelar
Trong sách trắng, Axelar mô tả một nhóm quỹ được phân bổ bởi mạng như một cơ chế bảo vệ và sao lưu để kiểm soát quản trị nhằm cung cấp cho người dùng hướng dẫn khôi phục quản trị trong trường hợp Axelar ngừng hoạt động. Trong trường hợp khủng hoảng như vậy, "khóa mở khóa khẩn cấp" được gửi bởi hợp đồng ngưỡng (được quản lý bởi trình xác thực Axelar) sẽ được chia sẻ với nhóm người dùng khôi phục phụ trợ. Nếu cần, nhóm này có khả năng mở rộng tới hàng nghìn cá nhân và tổ chức, những người có thể cùng nhau kiểm soát mạng để:
1. Đặt giới hạn tỷ lệ cho số tiền có thể được chuyển vào/ra khỏi một chuỗi cụ thể
2. Tình hình xác định hình thức đóng gói tài sản bản địa trên chuỗi
tiêu đề phụ
LayerZero
Mô hình cầu nối của LayerZero bao gồm một yêu cầu đối với các ứng dụng giao dịch để chọn các bộ chuyển tiếp trên chuỗi mục tiêu. Do đó, trong mô hình này, điểm mấu chốt của chức năng bảo mật trong giao thức là bộ lặp.
bài viết trên blogbài viết trên blogcung cấp manh mối về cách hoạt động của tiền tội phạm. Mô hình tiền tội phạm về cơ bản cho phép ứng dụng người dùng (UA) xác định một tập hợp các trạng thái cụ thể mà bộ chuyển tiếp phải xác thực. Nếu các trạng thái này không được xác minh, các bộ chuyển tiếp sẽ không chuyển tiếp các giao dịch.
tiêu đề phụ
Multichain
tiết lộtiết lộMột số biện pháp bảo mật của họ được đề cập, bao gồm đề cập đến một số tính năng bảo mật của cấu hình bắc cầu của họ:
1. Giới hạn khối lượng giao dịch và tổng giới hạn khối lượng giao dịch: Tính năng này cho phép các chuỗi khối có khối lượng giao dịch lớn bị giới hạn ở một giới hạn trên cụ thể. Ngoài ra, đối với các chuỗi khối có khối lượng giao dịch thấp, phương pháp giới hạn tổng số tiền giao dịch được áp dụng.
2. Giám sát trên chuỗi: Chế độ này liên quan đến phần mềm giám sát và cơ quan giám sát trên chuỗi để phát hiện hành vi bất thường và kích hoạt các hành động ứng phó sự cố.
3. Tạm ngưng sản phẩm: Tính năng này cho phép tạm ngưng tất cả các sản phẩm và tạm ngưng tất cả các sản phẩm một cách hiệu quả trong khi có hành động Ứng phó sự cố.
tiêu đề phụ
Nomad
du mục sử dụngoptimistic verification model, nghĩa là, thông báo được ký trên chuỗi gốc và có một cửa sổ thời gian tích hợp sẽ được thực thi trên chuỗi mục tiêu. Theo một cách nào đó, chúng ta có thể nhận thấy rằng điều này giống như "không mở bức thư này sớm hơn thời gian này". Khoảng thời gian này rất hữu ích để triển khai "bộ ngắt mạch tự động" và ngừng chuyển tài sản cho đến khi gốc Merkle được coi là hợp lệ. đây là trongTài liệu du mụctiêu đề phụ
Wormhole
Mô hình nhắn tin của Wormhole là đa diễn viên, tức là các tin nhắn được công chứng bởi một mạng lưới những người bảo vệ/nhà tiên tri từ chuỗi gốc và những người chuyển tiếp mang tin nhắn đó đến chuỗi đích không được tin cậy. Mô hình này về cơ bản yêu cầu một mạng lưới tiên tri rất mạnh mà các tính năng bảo mật trong giao thức phụ thuộc vào.
Dự án Wormhole có ba tính năng bảo mật trong giao thức chính đang được phát triển: quản trị, kế toán và tắt máy khẩn cấp. Các tính năng này được phát triển với khả năng hiển thị công khai, giúp chúng tôi hiểu rõ hơn về cách cuối cùng chúng sẽ hoạt động. Những tính năng này đang chờ Guardians phát triển và áp dụng.
1. Lưu ký: Chức năng này được triển khai trong người giám hộ/nhà tiên tri, cho phép người giám hộ giám sát lượng giá trị đáng chú ý chảy từ bất kỳ chuỗi hành trình ký nào trong một khoảng thời gian. Người bảo vệ có thể đặt giới hạn trên có thể chấp nhận được cho mỗi chuỗi và khi đạt đến giới hạn trên này, dòng tài sản vượt ra ngoài chuỗi này sẽ bị ngăn chặn.
2. Kế toán: Chức năng này được triển khai trong người giám hộ/nhà tiên tri, cho phép người giám hộ duy trì chuỗi khối của riêng họ (còn gọi là "chuỗi sâu") đóng vai trò là sổ cái liên chuỗi giữa các chuỗi khác nhau. Sổ cái này không chỉ cho phép người giám hộ đóng vai trò là người xác thực trên chuỗi mà còn hoạt động như một plugin kế toán. Người bảo vệ có thể từ chối các giao dịch xuyên chuỗi trong đó chuỗi ban đầu không có đủ tiền (việc xác thực độc lập với logic hợp đồng thông minh).
phần kết
phần kết
liên kết gốc
