ro 配置的访问权限。坏人Bob可以将预言机和中继器从默认的组件更改为由他控制的组件,说服以太坊上使用LayerZero机制的智能合约让他将好人Alice在以太坊上的代币全部提走。 Nomad团队在2023年1月31日发文指出,LayerZero 中继器存在两个关键漏洞,目前处于两方多重签名状态,所以这些漏洞只能由内部人员或已知身份的团队成员利用。其中第一个漏洞允许从 LayerZero 多重签名发送欺诈性消息,第二个漏洞允许在预言机和多重签名签署消息或事务后修改消息,都可导致所有用户资金被盗。原文链接:https://prestwich.substack.com/p/zero-validation 当被花哨表相迷惑的时候,那就试着回溯本源。 2008 年10 月31 日,比特币白皮书问世。 2009 年1 月3 日,BTC 创世区块诞生。《比特币:一种点对点电子货币系统》白皮书里的摘要如下: Abstract. A purely peer-to-peer version of electronic cash would allow online payments to be sent directly from one party to another without going through a financial institution. Digital signatures provide part of the solution, but the main benefits are lost if a trusted third party is still required to prevent double-spending. We propose a solution to the double-spending problem using a peer-to-peer network. The network timestamps transactions by hashing them into an ongoing chain of hash-based proof-of-work, forming a record that cannot be changed without redoing the proof-of-work. The longest chain not only serves as proof of the sequence of events witnessed, but proof that it came from the largest pool of CPU power. As long as a majority of CPU power is controlled by nodes that are not cooperating to attack the network, they'll generate the longest chain and outpace attackers. The network itself requires minimal structure. Messages are broadcast on a best effort basis, and nodes can leave and rejoin the network at will, accepting the longest proof-of-work chain as proof of what happened while they were gone. 摘要中文翻译如下: 一种完全的点对点电子货币应当允许在线支付从一方直接发送到另一方 而不需要通过一个金融机构。数字签名提供了部分解决方案,但如果仍需一个 可信任第三方来防止双重支付,那就失去了电子货币的主要优点。我们提出一 种使用点对点网络解决双重支付问题的方案。该网络通过将交易“哈希”(动词)进一条持续增长的基于哈希的工作量证明链来给交易打上时间戳,形成一条除非重做工 作量证明否则不能更改的记录。最长的链不仅是被见证事件序列的证据,而且也是它本身是由最大 CPU 算力池产生的证据。只要多数的 CPU 算力被不打算联合攻击网络的节点控制,这些节点就将生成最长的链而超过攻击者。这种网络本身只需极简的架构。信息将被尽力广播,节点可以随时离开和重新加入网络,只需接受最长的工作量证明链作为它们离开时发生事件的证据。 人们从这篇对后世有着举足轻重的论文里,尤其从这段摘要里提炼出后来广为认知的“中本聪共识”,其核心特点是杜绝出现A Trusted Third Party,实现去信任化Trustless,去中心化Decentralized。这里的“中心”即为A Trusted Third Party。跨链通信协议本质上与比特币一样,都是一个Peer to Peer的系统,一方从Chain A直接发送到ChainB的另一方,而不需要通过任何trusted party。 具备Decentralized和Trustless特性“中本聪共识”已经成为后来所有做基础设施的开发者共同追求的目标。可以说,不满足“中本聪共识”的跨链协议,即为假去中心化跨链协议,不能使用Decentralized、Trustless这种高级字眼来形容自己的产品特性。而LayerZero介绍自己说是Omnichain communication, interoperability, decentralized infrastructure. LayerZero is an omnichain interoperability protocol designed for lightweight message passing across chains. LayerZero provides authentic and guaranteed message delivery with configurable trustlessness. 事实上,LayerZero既要求Relayer、Oracle这两个角色不会合谋做恶,又要求用户将使用LayerZero构建应用的开发者作为可信赖的第三方来信任,而且参与“多签”的受信主体都是被事先安排好的特权角色;与此同时,在它整个跨链过程没有产生任何欺诈证明或有效性证明,更别说将这些证明上链并做链上验证。因此,LayerZero根本就不满足“中本聪共识”,压根就不是Decentralized和Trustless。 在L2BEAT团队以及Nomad团队以问题发现者的角度发表善意文章之后,LayerZero的回应态度是“否认”再“否认”。比特币之前就有了很多电子货币了,但是都失败了。因为它们都没有能达成去中心化,抗攻击和自带内在价值的目标,跨链协议也是如此,哪怕融资再多、流量再大、“血统再纯正”,只要产品无法实现Real Decentralized Security,大概率是会因为抗攻击韧性不足而宣告结束。 曾经有一个立场本应该和LayerZero保持高度一致的朋友问我一个问题:“如果LayerZero想要像Way Network一样使用零知识证明来升级他们的跨链协议,那难度高不高,会有什么障碍?”这是一个令人玩味的问题,而问题的关键是他们不认为自己有问题。 来源:金色财经lg...
北美站
