Основатель Summa Джеймс Прествич обвинил мостовой протокол LayerZero в том, что он содержит критическую уязвимость.
Согласно сообщению от 30 января, эта уязвимость может привести к краже всех средств пользователей. Генеральный директор LayerZero Брайан Пеллегрино назвал обвинение Прествича абсолютно шокирующим и крайне нечестным, заявив, что уязвимость относится только к приложениям, которые не изменяют конфигурацию по умолчанию.
LayerZero — это протокол, используемый для создания межсетевых мостов между блокчейнами, использующий технологию Omnichain. Его наиболее заметным приложением является Stargate Bridge, который можно использовать для перемещения монет между несколькими различными сетями блокчейнов, включая Ethereum, BNB Chain, Avalanche, Polygon и другие. По данным DefiLlama, по состоянию на 30 января Stargate имеет заблокированную общую стоимость (TVL) в смарт-контрактах на сумму $382 миллиона.
Согласно официальному документу, протокол LayerZero обеспечивает надежный способ перемещения криптовалют из одной сети в другую. Он делает это, используя Оракул и Релейер для проверки того, что монеты заблокированы в одном блокчейне, прежде чем разрешать чеканку монеты в другой блокчейне. До тех пор, пока Оракул и Релейер независимы и не вступают в сговор друг с другом, чеканка монет в блокчейне назначения невозможна без предварительной блокировки в исходном блокчейне.
Однако Прествич заявил в своем блоге, что Stargate и другие мосты, использующие конфигурацию по умолчанию для LayerZero, имеют критическую уязвимость. Он говорит, что эта уязвимость позволяет команде LayerZero удаленно изменять библиотеку получения по умолчанию или произвольно изменять полезную нагрузку сообщений, что может позволить команде обойти Оракул и Релейер для передачи любого сообщения, которое они хотят, через мост. Это означает, что, когда LayerZero используется с конфигурацией по умолчанию, его безопасность зависит от доверия к команде LayerZero, а не к децентрализованному протоколу.
Прествич также заявил, что Stargate страдает от этой уязвимости, поскольку использует конфигурацию по умолчанию. Чтобы уменьшить эту уязвимость, он советует разработчикам приложений, которые используют LayerZero, изменить свои смарт-контракты, чтобы изменить конфигурацию. Однако он говорит, что большинство приложений LayerZero по-прежнему используют конфигурацию по умолчанию, что подвергает их риску.
Генеральный директор LayerZero Брайан Пеллегрино решительно опроверг утверждения Прествича, назвав их крайне нечестными в твите от 30 января.
31 января Пеллегрино заявил, что все библиотеки проверки неизменны навсегда, и точка. Команда может добавлять новые библиотеки, но никогда не может изменять, удалять или что-либо делать с уже существующими. Хотя команда может добавлять новые библиотеки в реестр, если приложение уже выбрало конкретную библиотеку или набор библиотек для использования, это не может быть изменено командой LayerZero.
Пеллегрино признал, что библиотека, на которую указывает приложение, может быть изменена командой LayerZero, если разработчик приложения использует настройки по умолчанию, но не в том случае, если он уже отошел от конфигурации по умолчанию.
Что касается утверждения Прествича о том, что Stargate находится под угрозой, Пеллегрино ответил, что 3 января StargateDAO проголосовала за изменение своей библиотеки со стандартной на конкретную, более экономичную. Он ожидает, что это изменение библиотеки будет реализовано на этой неделе. Как только это обновление будет сделано, это никогда не сможет измениться для них, если Stargate не проголосует и не изменит его самостоятельно.
Читайте также: