Основатель Summa Джеймс Прествич обвинил мостовой протокол LayerZero стоимостью 382 миллиона долларов в том, что он содержит «критическую уязвимость».
Согласно сообщению Prestwich от 30 января, эта уязвимость «может привести к краже всех средств пользователей». Генеральный директор LayerZero Брайан Пеллегрино назвал обвинение Прествича «абсолютно шокирующим» и «крайне нечестным», заявив, что уязвимость относится только к приложениям, которые не изменяют конфигурацию по умолчанию.
LayerZero — это протокол, используемый для создания мостов между блокчейнами. Его наиболее известным приложением является Stargate Bridge, который можно использовать для перемещения монет между несколькими различными сетями блокчейн, включая Ethereum, BNB Chain (BNB), Avalanche (AVAX), Polygon (MATIC) и другие. По данным DeFi Llama, по состоянию на 30 января у Stargate заблокирована общая стоимость (TVL) в смарт-контрактах на сумму 382 миллиона долларов.
Согласно официальному документу, протокол LayerZero обеспечивает надежный способ перемещения криптовалют из одной сети в другую. Он делает это, используя Oracle и Relayer для проверки того, что монеты заблокированы в одной цепочке, прежде чем разрешать чеканку монеты в другой цепочке. До тех пор, пока Оракул и Релейер независимы и не вступают в сговор друг с другом, чеканка монет в цепочке назначения невозможна без предварительной блокировки в исходной цепочке.
Однако Прествич заявил в своем блоге от 30 января, что Stargate и другие мосты, использующие «конфигурацию по умолчанию» для LayerZero, страдают от критической уязвимости. Он заявил, что эта уязвимость позволяет команде LayerZero удаленно изменить «Library получателя по умолчанию» или «произвольно изменить полезную нагрузку сообщений», что может позволить команде обойти Oracle и Relayer для передачи любого сообщения, которое они хотят, через мост. Это означает, что, когда LayerZero используется с конфигурацией по умолчанию, его безопасность зависит от доверия к команде LayerZero, а не к децентрализованному протоколу.
Прествич также заявил, что Stargate страдает от этой уязвимости, поскольку использует конфигурацию по умолчанию. Чтобы уменьшить эту уязвимость, Prestwich советует разработчикам приложений, которые используют LayerZero, изменить свои смарт-контракты, чтобы изменить конфигурацию. Однако он говорит, что большинство приложений LayerZero по-прежнему используют конфигурацию по умолчанию, что подвергает их риску.
Связанный: межсетевое взаимодействие остается препятствием для массового принятия криптовалюты
Генеральный директор LayerZero Брайан Пеллегрино решительно опроверг утверждения Прествича, назвав их «крайне нечестными» в твите от 30 января.
В разговоре с Cointelegraph 31 января Пеллегрино заявил, что все проверочные Libraries «неизменны навсегда, и точка». Команда может добавлять новые библиотеки Libraries, но «никогда не может изменять, удалять или что-либо делать с уже существующими». Несмотря на то, что команда может добавлять новые библиотеки Libraries в реестр, если приложение уже выбрало конкретную библиотеку Library или набор Libraries для использования, это не может быть изменено командой LayerZero.
Пеллегрино признал, что Library, на которую «указывает» приложение, может быть изменена командой LayerZero, если разработчик приложения использует настройки по умолчанию, но не в том случае, если он уже отошел от конфигурации по умолчанию.
Что касается утверждения Прествича о том, что Stargate находится под угрозой, Пеллегрино ответил, сказав, что 3 января StargateDAO проголосовала за изменение своей Library со стандартной на конкретную, более экономичную. Он ожидает, что это изменение Library будет реализовано «на этой неделе (вероятно, сегодня)». Как только это обновление будет сделано, «это никогда не сможет измениться для них, если Stargate не проголосует и не изменит его самостоятельно».
Безопасность кроссчейн-моста была горячей темой в криптовалютном сообществе за последние несколько лет, так как миллионы долларов были потеряны из-за взломов моста. В мае 2022 года злоумышленник использовал Axie Infinity Ronin Bridge за 600 миллионов долларов, который украл ключи от мультиподписного кошелька разработчиков и использовал его для чеканки монет без какой-либо поддержки. Аналогичная атака произошла на Harmony Horizon Bridge 24 июня 2022 года. В результате атаки Horizon было потеряно более 100 миллионов долларов. С тех пор команда Harmony перезапустила мост, используя протокол LayerZero.
