Bài viết này thảo luận về cơ chế bảo mật của 5 dự án xuyên chuỗi thông điệp
Tác giả: Ailsa
Sự thịnh vượng của hệ sinh thái đa chuỗi đã làm nảy sinh nhu cầu về chuỗi chéo của người dùng. Tương tác xuyên chuỗi giữa các chuỗi ngày càng tăng, nhưng đồng thời, các sự cố bảo mật xuyên chuỗi thường xuyên xảy ra và bảo mật xuyên chuỗi đã trở thành tâm điểm của thị trường. Theo "Báo cáo tình hình bảo mật chuỗi khối Web3 toàn cầu năm 2022 và Tóm tắt chính sách giám sát ngành mã hóa" do Thành Đô Lianan và những người khác đồng phát hành, tổng thiệt hại do các cuộc tấn công khác nhau trong lĩnh vực Web3 vào năm 2022 sẽ lên tới 3,6 tỷ đô la Mỹ, trong đó thiệt hại chéo bảo mật ứng dụng chuỗi Tổn thất do sự cố chiếm 52,5%, đứng đầu trong các loại dự án.
Mô tả hình ảnh
Hình 1 Top 10 dự án xuyên chuỗi theo số tiền thua lỗ
Thông thường, các dự án chuỗi chéo tập hợp một số lượng lớn tài sản và TVL (Tổng giá trị bị khóa) của chúng vượt xa so với các giao thức chuỗi khối chung, điều này khiến các dự án chuỗi chéo dễ dàng trở thành lựa chọn hàng đầu của tin tặc. Bảo mật xuyên chuỗi là điều tối quan trọng.
Bảo mật không chỉ đến từ tính bảo mật do chính giải pháp chuỗi chéo mang lại mà còn bắt nguồn từ các chính sách bảo mật do những người ra quyết định dự án thiết kế để ngăn chặn và ngăn chặn các cuộc khủng hoảng bảo mật.
Nhu cầu thị trường hiện tại đối với chuỗi chéo chủ yếu dành cho các tài sản kỹ thuật số, nhưng chuỗi chéo không giới hạn ở việc chuyển và trao đổi tài sản. dữ liệu vào chuỗi chéo của dữ liệu chung.
tiêu đề cấp đầu tiên
1. Bảo mật do các giải pháp chuỗi chéo mang lại
Công nghệ chuỗi chéo chủ yếu giải quyết vấn đề không thể trao đổi tài sản hoặc thông tin giữa các chuỗi khối khác nhau. Một quy trình xuyên chuỗi bao gồm nhiều giao dịch chuỗi khối khác nhau, chạy trên các hệ thống chuỗi khối khác nhau. Do sự khác biệt về cơ chế đồng thuận và quy tắc giữa các chuỗi khác nhau nên trong quy trình xuyên chuỗi, cần phải xác minh nội dung để đảm bảo bảo mật của quá trình xuyên chuỗi.
tiêu đề phụ
1.Axelar
Mô tả hình ảnh
Hình 2 Sơ đồ ngăn xếp công nghệ Axelar
Bản thân mạng Axelar là một chuỗi khối L1 dựa trên sự đồng thuận của PoS. Axelar bao gồm các trình xác nhận mạng phi tập trung, hợp đồng cổng bảo mật, bản dịch thống nhất, kiến trúc định tuyến và một bộ giao diện lập trình (API) cho các giao thức và ứng dụng.
Axelar chạy các nút của các chuỗi khác nhau thông qua trình xác thực của nó để lấy và đồng bộ hóa thông tin trạng thái trong mỗi hệ thống chuỗi khối. Người xác thực được bầu chọn bởi chủ sở hữu Token và có quyền biểu quyết theo tỷ lệ. Trọng số biểu quyết được tính bằng trọng số của các quyền và lợi ích được ủy thác. Hiện có 70 trình xác thực đang hoạt động trên mạng Axelar và phải đạt được đa số phiếu bầu hơn 66,67% để ký thông báo.
tiêu đề phụ
2.Celer IM
Celer IM là cơ sở hạ tầng và công cụ hướng đến nhà phát triển của Celer Network và cBridge có thể được coi là cầu nối tài sản được xây dựng trên Celer IM.
Celer đã thiết lập bảo mật kép cho tất cả người dùng.
Đầu tiên là tính bảo mật của cBridge được đảm bảo bởi State Guardian Network (viết tắt là SGN). SGN là một chuỗi khối PoS dựa trên thầu.Các sản phẩm khác của Mạng Celer, bao gồm cBridge và Celer IM, sử dụng rất nhiều tính năng bảo mật PoS, xác nhận nhanh và chi phí thấp của SGN trong các giao dịch xuyên chuỗi.
SGN có 21 người xác minh và một tin nhắn phải được chấp thuận bởi 2/3 số người xác minh. Người xác minh muốn trở thành SGN cần đặt cược mã thông báo CELER. Ngoài ra, Axelar đã thiết lập cơ chế cầm cố và cắt giảm. Nếu quá trình xác minh không thành công hoặc bị hư hỏng một cách ác ý, nó sẽ có nguy cơ bị tịch thu. CELR càng được cam kết, mạng sẽ càng an toàn.
Hiện tại, Celer State Guardian Network 2.0 đã được nâng cấp thành công. So với SGN 1.0, SGN 2.0 tập trung vào việc tối ưu hóa khả năng nắm bắt giá trị từ các giao dịch: đối với cBridge, giá trị do SGN thu được dựa trên quy mô của từng giao dịch mà nó xử lý trong chế độ nhóm quỹ cBridge; đối với Celer IM, việc nắm bắt giá trị là dựa trên kích thước của thông điệp xuyên chuỗi.
tiêu đề phụ
3.Layerzero
Mô tả hình ảnh
Hình 3 Quá trình giao tiếp Layerzero (nguồn: Layerzero white paper)
tiêu đề phụ
4.Multichain anyCall
Multichain, trước đây gọi là Anyswap, là một cơ sở hạ tầng tập trung vào các tuyến đường xuyên chuỗi và cam kết trở thành bộ định tuyến cuối cùng cho Web 3. anyCall là một thế hệ mới của giao thức tương tác xuyên chuỗi thông báo toàn diện được Multichain trừu tượng hóa dựa trên các sản phẩm Bridge và Router của nó.
Giải pháp công nghệ chuỗi chéo của Multichain áp dụng giải pháp Tính toán đa bên an toàn (SMPC). Thông qua công nghệ phân đoạn khóa duy nhất, các phân đoạn khóa được phân phối trên các nút khác nhau và mỗi nút sở hữu độc lập một phần của khóa riêng và khóa riêng hoàn chỉnh sẽ không xuất hiện trong toàn bộ vòng đời của mạng MPC. Thông qua tính toán đa bên an toàn SMPC + công nghệ chữ ký ngưỡng TSS, toàn bộ quá trình tạo khóa, lưu trữ và xác minh được đảm bảo và trong đảm bảo an ninh này Dựa trên việc thực hiện khả năng tương tác giữa các nút .
Mô tả hình ảnh
Hình 4 kiến trúc kỹ thuật của anyCall (nguồn sách trắng của anyCall)
Máy tin cậy phi tập trung fastMPC cơ bản đảm bảo tính chất phi tập trung của giao thức tương tác xuyên chuỗi thông điệp toàn diện của anyCall. Hiện tại, mạng Multichain bao gồm 21 nút, được điều hành bởi các tổ chức khác nhau và yêu cầu phần lớn các nút cùng xác minh thông báo. Tính bảo mật của Multichain dựa vào danh tiếng của các nút. Các thành viên nút SMPC không cần cam kết và tương đối cố định. Tính bảo mật của AnyCall dựa trên giả định về sự tin cậy trong các nút SMPC.
tiêu đề phụ
5.Wormhole
Mô tả hình ảnh
Hình 5 Bảo mật do các giải pháp chuỗi chéo mang lại
tiêu đề cấp đầu tiên
2. Chính sách ứng phó sự cố bảo mật
Bản thân giải pháp chuỗi chéo của dự án chuỗi chéo không có nghĩa là có thể tránh được mọi rủi ro, cần bổ sung các chính sách bảo mật khác để chủ động phòng ngừa và ứng phó với các rủi ro bảo mật. Việc thiết kế chính sách bảo mật có thể cung cấp cho người dùng các đảm bảo bảo mật mạnh mẽ hơn và chính sách bảo mật sẽ được thực hiện trước, trong và sau khi xảy ra sự cố bảo mật.
Trước sự cố bảo mật: Có thể có rủi ro bảo mật trong dự án ở giai đoạn này, nhưng chúng chưa được phát hiện hoặc khai thác. Dự án thực hiện các hoạt động bảo mật của dự án theo chính sách bảo mật được xác định trước.
Một sự cố bảo mật đang xảy ra: một sự cố bảo mật đang xảy ra ở giai đoạn này, nhưng bên dự án có thể không biết về nó, điều rất quan trọng là phải thực hiện các biện pháp để cho phép dự án phát hiện ra sự cố bảo mật kịp thời.
tiêu đề phụ
1.Axelar
Chính sách ứng phó sự cố bảo mật của Axelar chủ yếu tập trung vào các sự cố bảo mật trước khi chúng xảy ra.
(1) Kiểm toán an ninh. Hiện tại, phạm vi kiểm toán bảo mật của Axelar bao gồm giao thức cốt lõi, hợp đồng thông minh, thư viện mật mã, mã giao diện người dùng và mã back-end, v.v. Từ tháng 8 năm 2021 đến tháng 8 năm 2022, Axelar đã thực hiện hơn 27 cuộc kiểm tra và các cơ quan kiểm toán bao gồm Ackee Blockchain , Chaintroopers , Certik, v.v. Xem chi tiếthttps://github.com/axelarnetwork/audits。
(2) Tiền thưởng lỗi. Bắt đầu từ ngày 10 tháng 3 năm 2022, sự hợp tác giữa Axelar và Immunefi đã thiết lập một chương trình tiền thưởng với giá trị tối đa là 2,25 triệu đô la Mỹ, xemhttps://immunefi.com/bounty/axelarnetwork/. Axelar cũng làm rõ cách gửi các lỗ hổng trong tài liệu chính thức của mình, nhưng bằng cách gửi tớisecurity@axelar.networklỗ hổng bảo mật, Axelar đã tuyên bố rõ ràng rằng phần thưởng tối đa là 100 đô la. Để biết chi tiết, hãy xemhttps://docs.axelar.dev/bug-bounty。
(3) Xoay phím thường xuyên. Những kẻ tấn công có thể cố gắng tích lũy các khóa độc hại bằng cách thỏa hiệp tuần tự các trình xác thực Việc xoay vòng khóa có thể bảo vệ mạng Axelar khỏi những kẻ tấn công dai dẳng.
tiêu đề phụ
2.Celer Network
Chính sách ứng phó sự cố bảo mật của Celer Network tập trung vào các sự cố trước và trong khi xảy ra sự cố bảo mật.
Các biện pháp chính của Celer trước sự cố bảo mật bao gồm tiến hành kiểm tra bảo mật, cho phép tiền thưởng lỗi, xây dựng hệ thống kiểm soát rủi ro, hạn chế lưu lượng truy cập lớp ứng dụng, giám sát 24 giờ và kiểm tra tính toàn vẹn DNS và giao diện người dùng đang hoạt động.
(1) Kiểm toán an ninh. Đối với Cbridge, Celer mới chỉ thực hiện 3 cuộc kiểm toán cho đến nay và các cơ quan kiểm toán hợp tác là CertiK, PeckShield và SlowMist. Xem chi tiếthttps://cbridge-docs.celer.network/reference/audit-reports. cho CelerIM, Celer hiện có 2 cuộc kiểm toán với PeckShield và SlowMist. Xem chi tiếthttps://im-docs.celer.network/audit-reports。
(2) Tiền thưởng lỗi. Kể từ ngày 18 tháng 11 năm 2021, Celer đã hợp tác với Immunefi để thiết lập một chương trình tiền thưởng lên đến 2 triệu đô la. Xem chi tiếthttps://immunefi.com/bounty/celer/。
(3) Xây dựng hệ thống kiểm soát rủi ro. Tính thanh khoản tổng thể, thông tin tài sản và những thay đổi của cây cầu có thể được theo dõi thông qua hệ thống kiểm soát gió.
(4) Chức năng giới hạn dòng điện. Hàng rào bảo mật do Celer đặt ở lớp ứng dụng khiến nó không thể vượt quá một ngưỡng nhất định trên mỗi đơn vị thời gian và nếu vượt quá, thời gian giao hàng sẽ bị hoãn lại.
(5) Cơ chế giám sát 24/24 giờ. Những vấn đề đáng ngờ có thể được tìm thấy trong lần đầu tiên.
(6) Chủ động kiểm tra tính toàn vẹn của giao diện người dùng và DNS. Đây là một tính năng mà Celer đã thêm vào để đối phó với cuộc tấn công xảy ra vào tháng 8 năm 2022 nhằm ngăn chặn các vụ việc tương tự xảy ra lần nữa.
tiêu đề phụhttps://mp.weixin.qq.com/s/SInU_o 3 Ct-7 A 6 pFbKLqzHQ。
3.Layerzero
Chính sách ứng phó sự cố bảo mật của Layerzero chủ yếu tập trung vào các sự cố bảo mật trước khi chúng xảy ra và các biện pháp chính bao gồm tiến hành kiểm tra bảo mật và mở tiền thưởng lỗi.
(1) Kiểm toán an ninh. LayerZero Labs tuyên bố rằng họ đã thực hiện hơn 35 cuộc kiểm tra, nhưng LayerZero tương đối mờ nhạt về mặt triển khai mã và nội dung kiểm tra bảo mật của nó không thể được truy vấn công khai trên Github.https://github.com/LayerZero-Labs/Audits。
(2) Tiền thưởng lỗi. Trong tài liệu chính thức của layerero, có tuyên bố rằng chương trình tiền thưởng lỗi thời gian thực với phần thưởng tối đa là 15 triệu đô la Mỹ sẽ được thiết lập và địa chỉ gửi báo cáo được cung cấp. Xem chi tiếthttps://layerzero.gitbook.io/docs/bug-bounty/bug-bounty-program。
tiêu đề phụ
4.Multichain
Vào tháng 8 năm 2022, Giám đốc An ninh & Thuật toán Multichain X Chang đã đề cập rõ ràng về chiến lược bảo mật của Multichain trong blog chính thức của mình, chia thời gian bị hack thành ba giai đoạn, đó là: trước khi xảy ra, khi xảy ra và sau khi xảy ra, và mỗi giai đoạn có tương ứng các bước và chiến lược đối phó.
Các biện pháp bảo mật trước sự cố bảo mật bao gồm kiểm toán của công ty bảo mật và kiểm toán nội bộ của nhà phát triển, mở tiền thưởng lỗi, giám sát dư luận về sự cố bảo mật, giới hạn số lượng chuỗi chéo, giới hạn dòng vốn và tổng số tiền của chuỗi.
(1) Kiểm toán toàn công ty và kiểm toán nội bộ của nhà phát triển. Cho đến nay, Multichain đã thực hiện một số lượng lớn các cuộc kiểm toán bên ngoài, các đối tác kiểm toán bên ngoài bao gồm BlockSec, Certik, Dedaub, PeckShield, SlowMist, TrailofBits, Verichain và nhiều tổ chức nổi tiếng khác. AnyCall, Router V 7, VeMulti, Multichain V 6, Threshold-DSA, V 5 ERC 20, Cross Chain-Bridge và các sản phẩm khác do Multichain tung ra đều đã trải qua quá trình kiểm tra bên ngoài nghiêm ngặt. Xem chi tiếthttps://github.com/anyswap/Anyswap-Audit/. Đồng thời, nhóm Multichain đã thiết lập các cuộc họp kiểm toán nội bộ định kỳ, ít nhất mỗi tháng một lần.
(2) Tiền thưởng lỗi. Multichain chạy hai chương trình tiền thưởng lỗi, thứ nhất là kể từ ngày 16 tháng 3 năm 2022, Multichain đã chính thức thiết lập hợp tác với Immunefi, thiết lập chương trình tiền thưởng với giá trị tối đa là 2 triệu đô la Mỹ và theo phân tích cụ thể về mức độ nghiêm trọng của lỗi. các lỗi đã gửi, phần thưởng Không có giới hạn về vàng. Xem chi tiếthttps://immunefi.com/bounty/multichain/. Ngoài ra, Multichain cũng cung cấp một chương trình tiền thưởng lỗi tùy chọn, MultichainPhần thưởng lên tới 1 triệu đô la sẽ được trao cho những khám phá lỗ hổng đủ điều kiện. Xem chi tiếthttps://docs.multichain.org/getting-started/security/bug-bounty-alternative。
(3) Dư luận giám sát các sự cố an ninh. Bằng cách đặt các từ khóa để theo dõi dư luận trên các nền tảng truyền thông lớn, chúng tôi hy vọng có được các sự cố bảo mật mới nhất trong ngành càng sớm càng tốt, rút ra các suy luận từ một trường hợp, phản ánh xem liệu có các vấn đề tương tự trong các sản phẩm Multichain hay không và ứng phó với các sự cố trong một cách kịp thời.
(4) Giới hạn số lượng chuỗi chéo và dòng vốn chuỗi và tổng giới hạn. Đối với các giao dịch liên chuỗi với số tiền lớn, nền tảng áp dụng quy tắc trì hoãn việc chuyển tiền. Đối với chuỗi mới được phát triển hoặc chuỗi có xếp hạng bảo mật thấp hơn một chút, trong một khoảng thời gian nhất định, tổng số lần gạch chéo vào hoặc gạch chéo bị giới hạn trong một phạm vi nhất định.
Các biện pháp bảo mật trong trường hợp xảy ra sự cố bảo mật bao gồm giám sát các bất thường trên chuỗi và huy động sức mạnh của cộng đồng và DAO để phản hồi các hành vi bất thường của các sản phẩm nền tảng.
(1) Giám sát các điều kiện bất thường trên dây chuyền. Bằng cách thiết lập một loạt các chiến lược giám sát trên chuỗi Watchdogs, hy vọng rằng các bất thường về dữ liệu có thể được phát hiện kịp thời.
(2) Huy động sức mạnh của cộng đồng và DAO, đồng thời phản hồi hành vi bất thường của các sản phẩm nền tảng. Phân phối sức mạnh của người dùng cộng đồng và DAO để đưa ra phản hồi về tình trạng bất thường của các sản phẩm Multichain và nhóm sẽ đưa ra các biện pháp ứng phó kịp thời sau khi phân tích xác minh hành vi bất thường.
Các biện pháp bảo mật sau sự cố bảo mật bao gồm đình chỉ tất cả các sản phẩm nền tảng có liên quan và quỹ bảo mật để bù đắp rủi ro tài sản của người dùng.
(1) Tạm dừng tất cả các sản phẩm nền tảng có liên quan. Sau khi biết sự tồn tại của lỗ hổng trong lần đầu tiên, hãy tắt sản phẩm một cách kịp thời và hiệu quả.
tiêu đề phụhttps://medium.com/multichainorg/detailed-disclosure-of-multichain-security-policy-bde 0397 accf 5 。
5.Wormhole
Chính sách ứng phó sự cố bảo mật của Wormhole tập trung chủ yếu vào các sự cố trước và sau sự cố bảo mật. Các biện pháp bảo mật trước sự cố bảo mật bao gồm kiểm tra bảo mật, cho phép tiền thưởng lỗi, giám sát phương tiện truyền thông xã hội, thiết lập chính sách giám sát không đồng nhất và triển khai các chức năng của Thống đốc.
(1) Kiểm toán an ninh. Wormhole cũng rất coi trọng kiểm toán bảo mật và đã hợp tác với Certik, Coinspect, Hacken, Halborn, Kudelski, Neodyme, OtterSec, Trail of Bits và Zellic trong kiểm toán bảo mật. Xem chi tiếthttps://medium.com/@wormholecrypto/wormhole-security-program-end-of-year-update-212116 ecfb 91 。
(2) Tiền thưởng lỗi. Dự án Wormhole cũng chạy hai chương trình tiền thưởng lỗi, chương trình đầu tiên với Immunefi bắt đầu từ ngày 11 tháng 2 năm 2022, với chương trình tiền thưởng tối đa là 2,5 triệu đô la. Xem chi tiếthttps://immunefi.com/bounty/wormhole/. Ngoài ra, bạn cũng có thể duyệt thông tin liên quan và gửi báo cáo trên trang web chính thức của nó. Xem https://wormhole.com/bounty/ để biết chi tiết. Ngoài ra, Wormhole cung cấp việc sử dụngDanh sách các chiến lược của Wormhole, có thể hạ thấp ngưỡng để tin tặc mũ trắng tìm thấy các lỗ hổng bảo mật trong Wormhole.
(3) Giám sát phương tiện truyền thông xã hội. Wormhole duy trì một chương trình giám sát phương tiện truyền thông xã hội để dự án Wormhole được thông báo về các lỗ hổng trong các phần phụ thuộc có thể tác động tiêu cực đến Wormhole, người dùng của nó hoặc các chuỗi mà Wormhole được kết nối.
(4) Đặt chiến lược giám sát không đồng nhất. Lỗ sâu thiết lập các chính sách giám sát không đồng nhất trong Guardian, tăng khả năng phát hiện hoạt động gian lận. Hố sâu mong muốn tất cả những Người bảo vệ phát triển và duy trì chiến lược giám sát an ninh của riêng họ.
(5) Giới thiệu chức Thống đốc. Lý do cốt lõi để tạo và triển khai tính năng này là để giúp bảo vệ chống lại rủi ro tồn tại của hợp đồng thông minh hoặc thỏa hiệp L1. Tính năng này cho phép Người bảo vệ lỗ sâu có khả năng tùy chọn để xếp hạng giới hạn dòng giá trị danh nghĩa của bất kỳ tài sản đã đăng ký nào trên cơ sở mỗi chuỗi.
Các biện pháp bảo mật của Wormhole trong trường hợp xảy ra sự cố bảo mật là không rõ ràng, nhưng cuộc tấn công Wormhole vào tháng 2 năm 2022 là một lỗ hổng được xác định bởi những người đóng góp cho mạng Wormhole, những người đã nhận thấy sự khác biệt về số tiền chưa thanh toán trong quá trình kiểm tra định kỳ và ngay lập tức tiến hành một cuộc điều tra.
Các biện pháp bảo mật sau sự cố bảo mật bao gồm thiết lập cơ chế ứng phó sự cố và tạm dừng khẩn cấp.
(1) Cơ chế ứng phó sự cố. Wormhole duy trì một chương trình ứng phó sự cố để đối phó với các lỗ hổng hoặc các mối đe dọa đang hoạt động đối với Wormhole, người dùng hoặc hệ sinh thái được kết nối của nó.
(2) Thời gian chờ khẩn cấp. Dự án Wormhole đánh giá các khái niệm với các tính năng an toàn cho phép các hợp đồng thông minh của Wormhole bị đình chỉ trong các trạng thái khủng hoảng tồn tại mà không cần nâng cấp hợp đồng.
Mô tả hình ảnh
tiêu đề cấp đầu tiên
3. Khám phá các giải pháp đáng tin cậy hơn
Hiện tại, các phương thức xác minh trên thị trường chuỗi chéo có thể được chia thành ba loại, đó là xác minh gốc, xác minh cục bộ và xác minh bên ngoài. Ba loại phương thức xác minh này có những hạn chế riêng và rất khó để cân bằng giữa tính tin cậy, khả năng mở rộng và tính linh hoạt.
Sơ đồ xác minh bên ngoài là một sơ đồ tính toán chuỗi chéo rất linh hoạt và có thể mở rộng, có thể hỗ trợ các ứng dụng chuỗi chéo phức tạp hơn. Axelar, Celer Network, Layerzero, Multichain và Wormhole được đề cập trong bài viết này đều thuộc danh mục trình xác minh bên ngoài. Chúng có thể hoàn thành quá trình xác minh theo chuỗi, có khả năng mở rộng cao, có thể bao gồm các chuỗi khối với các kiến trúc kỹ thuật khác nhau và có thể Nhận ra chung thông điệp xuyên chuỗi. Tuy nhiên, vì người dùng phải tin tưởng vào mạng chuyển tiếp bao gồm một nhóm các nút bên ngoài, tính bảo mật của nó yếu hơn so với các sơ đồ xác thực cục bộ và xác thực gốc không tin cậy.
Thiết kế cầu chuỗi chéo an toàn nhất nên giảm thiểu sự tin tưởng. Tuy nhiên, các sơ đồ xác minh gốc hiện có trên thị trường, chẳng hạn như Hop và Connext, có tính linh hoạt kém và không phù hợp với chuỗi chéo thông điệp chung. chuỗi khối. , khó tương thích với nhiều chuỗi không đồng nhất như Ethereum và Solana.
Công nghệ ZKP mang đến một con đường mới cho giao tiếp xuyên chuỗi an toàn. Hoạt động xuyên chuỗi của ZKP có ưu điểm là không tin cậy, tính linh hoạt mạnh mẽ và chi phí thấp. So với giải pháp chuỗi chéo hiện tại đạt được giao tiếp xuyên chuỗi bằng cách tin tưởng vào bên thứ ba, chuỗi chéo ZKP không đưa ra bất kỳ giả định tin cậy nào. Người dùng chỉ cần tin tưởng vào sự đồng thuận của chuỗi nguồn và sự đồng thuận của chuỗi đích, thuộc danh mục của các chương trình xác minh bản địa. Hơn nữa, ZKP giảm nhu cầu về phí Gas bằng cách tạo bằng chứng ZKP ngắn gọn, để chuỗi mục tiêu có thể xác minh hiệu quả các giao dịch chuỗi mục tiêu và giảm chi phí xác minh trên chuỗi.
Mô tả hình ảnh
Hình 7 Bố cục mới chuỗi chéo ZKP
Ngoài ra, thông qua thông tin được tiết lộ bởi Axelar, Celer, Layerzero, Multichain và Wormhole, đồng thời kết hợp các chính sách phản hồi của họ với các sự cố bảo mật, có thể phát hiện ra các vấn đề sau.
(1) Các giải pháp sáng tạo rất khan hiếm. Multichain thiết lập một quỹ bảo mật để bồi thường cho người dùng về bất kỳ tổn thất tiềm ẩn nào do lỗ hổng dịch vụ và hệ thống multichain gây ra. Loại giải pháp bảo mật có tính chất từ dưới lên này vẫn còn hiếm trong ngành.
(2) Không phải mọi dự án chuỗi chéo đều bao gồm các chính sách bảo mật trước, trong và sau. Trong số năm dự án được chọn trong bài viết này, chỉ có Multichain có chính sách bảo mật rõ ràng trước và sau.
(3) Cơ chế đảm bảo an toàn chưa hoàn thiện. Mở tiền thưởng lỗi và tiến hành kiểm tra bảo mật là những hoạt động phổ biến trước khi xảy ra sự cố bảo mật. Tuy nhiên, các dự án xuyên chuỗi thiếu cơ chế bảo mật và giải pháp ứng phó bảo mật tổng thể và toàn diện, các biện pháp bảo mật liên quan thường được đưa ra sau khi xảy ra sự cố bảo mật và không có tiêu chuẩn bảo mật hoàn chỉnh và quy trình ứng phó khủng hoảng trước. Ví dụ: Wormhole và Multichain đã hợp tác với Immunefi để bắt đầu chương trình tiền thưởng lỗi sau khi sự cố bảo mật xảy ra.
liên kết gốc
người giới thiệu:
https://axelar.network/blog/an-introduction-to-the-axelar-network
https://axelar.network/blog/security-at-axelar-core
https://docs.axelar.dev/learn/security
https://celer.network/technology#top
https://twitter.com/CelerNetworkcn/status/1560911682339508224
https://mp.weixin.qq.com/s/SInU_o3Ct-7A6pFbKLqzHQ
https://blog.celer.network/2023/03/21/brevis-a-zk-omnichain-data-attestation-platform/
https://layerzero.network/pdf/LayerZero_Whitepaper_Release.pdf
https://drive.google.com/file/d/1NFFFecAjStbGMyvJVDez3xmsGSHYvNYv/view
https://medium.com/multichainorg/detailed-disclosure-of-multichain-security-policy-bde0397accf5
https://medium.com/multichainorg/multichain-contract-vulnerability-post-mortem-d37bfab237c8
https://drive.google.com/file/d/1ibuHChcYcYCN6JelRAQPnM4rkaB9EgAM/view
https://github.com/wormhole-foundation/wormhole/blob/dev.v2/SECURITY.md#3 rd-party-security-audits
https://wormholecrypto.medium.com/wormhole-incident-report-02-02-22-ad9b8f21eec6
https://medium.com/@wormholecrypto/wormhole-security-program-end-of-year-update-212116ecfb91
