تحديات أمان بروتوكولات عبر السلاسل و أزمة اللامركزية

في السنوات الأخيرة، أصبحت بروتوكولات عبر السلاسل تلعب دورًا متزايد الأهمية في مجال البلوك تشين. ومع ذلك، كانت سلامة هذه البروتوكولات محور اهتمام الصناعة. من البيانات التي تم جمعها على مدار العامين الماضيين، كانت الأضرار الناجمة عن الحوادث الأمنية التي تسببت بها بروتوكولات عبر السلاسل تتصدر القائمة، وأهميتها تفوق حتى حلول توسيع الإيثريوم.

تعتبر قابلية التشغيل المتداخل لبروتوكولات عبر السلاسل حاجة جوهرية لتطور النظام البيئي Web3. وغالبًا ما تحصل هذه الأنواع من المشاريع على تمويلات كبيرة، حيث تزداد القيمة الإجمالية المقفلة (TVL) وحجم التداول باستمرار. ومع ذلك، لا يزال وعي الجمهور بمستوى أمان هذه البروتوكولات محدودًا.

على سبيل المثال، يبدو أن بنية تصميم منتج LayerZero بسيطة. يتم تنفيذ الاتصال بين Chain A وChain B بواسطة Relayer، ويقوم Oracle بالإشراف على Relayer. تتجنب هذه البنية العملية المعقدة التي تتطلب وجود سلسلة ثالثة لإكمال خوارزمية الإجماع والتحقق من العقد المتعددة في الاتصالات التقليدية عبر السلاسل، مما يوفر للمستخدمين تجربة "عبر السلاسل السريعة".

ومع ذلك، فإن هذا الهيكل المبسط يحتوي على مشكلتين على الأقل:

1. تم تبسيط التحقق من العقد المتعددة إلى تحقق Oracle واحد، مما قلل بشكل كبير من عامل الأمان.
2. افترض أن Relayer و Oracle مستقلان، فإن فرضية الثقة هذه يصعب أن تستمر على المدى الطويل، ولا تكفي اللامركزية، ولا يمكنها أن تمنع بشكل جذري التآمر للقيام بالأعمال السيئة.

LayerZero كحل "خفيف للغاية" عبر السلاسل، مسؤول فقط عن نقل الرسائل، ولا يتحمل مسؤولية أمان التطبيقات. حتى مع فتح Relayer لمزيد من الأشخاص للمشاركة في التشغيل، لا يمكن حل المشكلة المذكورة من جذورها. زيادة عدد المشاركين لا تعني اللامركزية، هذا التغيير يؤثر بشكل رئيسي على جانب السوق، ولا علاقة له كثيرًا بأمان المنتج نفسه.

الأهم من ذلك، أن هيكل LayerZero قد يؤدي إلى مخاطر أمان خطيرة. إذا كان مشروع يستخدم LayerZero يسمح بتعديل عقد التكوين، فقد يتمكن المهاجم من استبدال العقد بعقد يتحكم فيه، مما يمكنه من تزوير أي رسالة. هذه المخاطر تكون أكثر حدة في السيناريوهات المعقدة.

تدعي LayerZero أنها البنية التحتية، لكنها في الواقع تشبه إلى حد كبير الوسيطة. يجب أن توفر البنية التحتية الحقيقية أمانًا متسقًا لجميع مشاريع النظام البيئي، لكن LayerZero لا تستطيع تحقيق ذلك.

لقد أشار بعض فرق الأمان إلى المخاطر المحتملة لـ LayerZero. على سبيل المثال، اكتشف فريق L2BEAT أن افتراضات الأمان لـ LayerZero بها مشاكل، حيث يمكن أن يقوم المهاجمون الخبيثون بسرقة أصول المستخدمين من خلال التحكم في التكوين. بينما أشار فريق Nomad إلى وجود ثغرتين رئيسيتين في موصل LayerZero، مما قد يؤدي إلى إرسال رسائل احتيالية وتعديل الرسائل.

عند مراجعة ورقة عمل البيتكوين، يمكننا أن نرى أن النظام الحقيقي اللامركزي يجب أن يتجنب الاعتماد على طرف ثالث موثوق، لتحقيق عدم الحاجة إلى الثقة (Trustless) واللامركزية (Decentralized). ومع ذلك، تتطلب تصميم LayerZero أن يثق المستخدمون في Relayer وOracle وكذلك المطورين الذين يبنون التطبيقات باستخدام LayerZero، وهو ما يتعارض مع جوهر "إجماع ساتوشي".

بشكل عام، على الرغم من أن LayerZero تدعي أنها بنية تحتية لامركزية عبر السلاسل، إلا أن تصميمها لم يحقق حقًا خصائص اللامركزية وعدم الثقة. في المستقبل، قد تحتاج بروتوكولات عبر السلاسل الآمنة واللامركزية حقًا إلى اعتماد تقنيات أكثر تقدمًا، مثل إثباتات المعرفة الصفرية، لمعالجة التحديات الحالية.