Основатель Summa Джеймс Прествич обвинил мостовой протокол LayerZero стоимостью 382 миллиона долларов в том, что он содержит «критическую уязвимость».
Согласно сообщению Prestwich от 30 января, эта уязвимость «может привести к краже всех средств пользователей». Генеральный директор LayerZero Брайан Пеллегрино назвал обвинение Прествича «абсолютно шокирующим» и «крайне нечестным», заявив, что уязвимость относится только к приложениям, которые не изменяют конфигурацию по умолчанию.
Совершенно шокирует тот факт, что конкурент опубликовал крайне нечестный пост о нас. Рад, что @zellic_io @osec_io @ZOKYO_io или любая другая аудиторская фирма приходят комментировать и опровергать, но позвольте мне подвести итоги.
Если вы настроили свой собственный конфиг, абсолютно ничего из этого не соответствует действительности https://t.co/zXdqkqO4rZ
— Брайан Пеллегрино (@PrimordialAA) 30 января 2023 г.
LayerZero — это протокол, используемый для создания мостов между блокчейнами. Его наиболее известным приложением является Stargate Bridge, который можно использовать для перемещения монет между несколькими различными сетями блокчейнов, включая Ethereum, BNB Chain (BNB), Avalanche (AVAX), Polygon (MATIC) и другие. По данным DeFi Llama, по состоянию на 30 января у Stargate заблокирована общая стоимость (TVL) в смарт-контрактах на сумму 382 миллиона долларов.
Согласно официальному документу, протокол LayerZero обеспечивает надежный способ перемещения криптовалют из одной сети в другую. Он делает это, используя Oracle и Relayer для проверки того, что монеты заблокированы в одной цепочке, прежде чем разрешать чеканку монеты в другой цепочке. До тех пор, пока Оракул и Релейер независимы и не вступают в сговор друг с другом, чеканка монет в цепочке назначения невозможна без предварительной блокировки в исходной цепочке.
Однако Прествич заявил в своем блоге от 30 января, что Stargate и другие мосты, использующие «конфигурацию по умолчанию» для LayerZero, страдают от критической уязвимости. Он заявил, что эта уязвимость позволяет команде LayerZero удаленно изменить «библиотеку получения по умолчанию» или «произвольно изменить полезную нагрузку сообщений», что может позволить команде обойти Oracle и Relayer для передачи любого сообщения, которое они хотят, через мост. Это означает, что, когда LayerZero используется с конфигурацией по умолчанию, его безопасность зависит от доверия к команде LayerZero, а не к децентрализованному протоколу.
Прествич также заявил, что Stargate страдает от этой уязвимости, поскольку использует конфигурацию по умолчанию. Чтобы уменьшить эту уязвимость, Prestwich советует разработчикам приложений, которые используют LayerZero, изменить свои смарт-контракты, чтобы изменить конфигурацию. Однако он говорит, что большинство приложений LayerZero по-прежнему используют конфигурацию по умолчанию, что подвергает их риску.
Связанный с этим: межсетевое взаимодействие остается препятствием для массового внедрения криптовалюты
Генеральный директор LayerZero Брайан Пеллегрино решительно опроверг утверждения Прествича, назвав их «крайне нечестными» в твите от 30 января.
В разговоре с 31 января Пеллегрино заявил, что все библиотеки проверки «неизменны навсегда, и точка». Команда может добавлять новые библиотеки, но «никогда не может изменять, удалять или что-либо делать с уже существующими». Хотя команда может добавлять новые библиотеки в реестр, если приложение уже выбрало конкретную библиотеку или набор библиотек для использования, это не может быть изменено командой LayerZero.
Пеллегрино признал, что библиотека, на которую «указывает» приложение, может быть изменена командой LayerZero, если разработчик приложения использует настройки по умолчанию, но не в том случае, если он уже отошел от конфигурации по умолчанию.
Что касается утверждения Прествича о том, что Stargate находится под угрозой, Пеллегрино ответил, что 3 января StargateDAO проголосовала за изменение своей библиотеки со стандартной на конкретную, более экономичную. Он ожидает, что это изменение библиотеки будет реализовано «на этой неделе (вероятно, сегодня)». Как только это обновление будет сделано, «это никогда не сможет измениться для них, если Stargate не проголосует и не изменит его самостоятельно».
Безопасность кроссчейн-моста была горячей темой в криптосообществе за последние несколько лет, так как миллионы долларов были потеряны из-за взлома моста. В мае 2022 года злоумышленник использовал Axie Infinity Ronin Bridge за 600 миллионов долларов, который украл ключи от мультиподписного кошелька разработчиков и использовал его для чеканки монет без какой-либо поддержки. Аналогичная атака произошла на Harmony Horizon Bridge 24 июня 2022 года. В результате атаки Horizon было потеряно более 100 миллионов долларов. С тех пор команда Harmony перезапустила мост, используя протокол LayerZero.
Источник: Сointеlеgrаph
