CEO Coinspeaker LayerZero odmítá tvrzení o kritické zranitelnosti jako „nepodložené“
V sérii vášnivých výměn na X (dříve Twitter) spoluzakladatel a generální ředitel LayerZero Labs Bryan Pellegrino odmítl tvrzení o kritické zranitelnosti v protokolu LayerZero jako „zcela nepodložené“.
Kontroverze začala, když pseudonymní výzkumník zabezpečení blockchainu 0x52 odhalil to, co tvrdil, že je kritická chyba v protokolu zpráv LayerZero. Od té doby 0x52 smazal jeho původní tweet a omluvil se za falešný poplach.
Smazal jsem své předchozí příspěvky. Před odesláním jsem měl dále ověřit všechny aspekty.
Omlouváme se @LayerZero_Labs. Mnohokrát děkuji @PrimordialAA za to, že jsem udělal to, co jsem nedokázal, a za opravu mé chyby.
— 0x52 (@IAm0x52) 1. července 2024
Podrobnosti o údajné chybě zabezpečení
Odhalení 0x52 pocházela z jeho auditu UXDProtocol v rámci auditního programu SherlockDefi. Tvrdil, že smlouva koncového bodu LayerZero, která zpracovává zprávy mezi protokoly, neomezuje velikost zpráv ani cílové adresy.
Varoval, že hacker může poslat zprávu s velmi velkou cílovou adresou, což způsobí chyby a potenciálně zastaví komunikaci mezi různými blockchainovými sítěmi. To by mohlo vést k významným finančním ztrátám pro dotčené protokoly.
Podle 0x52 by tato chyba zabezpečení mohla ovlivnit mnoho protokolů používajících LayerZero, zejména ty, které zahrnují jak EVM (Ethereum Virtual Machine) řetězce, tak i non-EVM řetězce, jako je Solana, které používají různé velikosti adres.
Response and Design Philosophy CEO společnosti LayerZero
V reakci na 0x52 Pellegrino kontroval tím, že možnost konfigurovat limity užitečného zatížení je záměrná konstrukční volba. Vysvětlil, že prosazení pevného limitu by mohlo umožnit cenzuru, což je v rozporu s cílem LayerZero vytvořit systém odolný proti cenzuře.
Nejen, že to není chyba, je to záměrné v protokolu
Jakýkoli protokol pro zasílání zpráv, který tuto konfiguraci zakotvuje, může nyní cenzurovat jakoukoli aplikaci. Nemůžete mít jedno bez druhého. Věříme v technologické kolejnice odolné vůči cenzuře.
— Bryan Pellegrino (@PrimordialAA) 1. července 2024
Pellegrino dále objasnil, že kód, na který odkazuje 0x52, pochází z roku 2022 a týká se konfigurace aplikace, nikoli základního protokolu. Uvedl, že limit velikosti užitečného zatížení je součástí nastavení zabezpečení aplikace a může být upraven samotnou aplikací. Pellegrino poznamenal, že pokud by aplikace nemohla tuto konfiguraci přepsat, LayerZero by potenciálně mohla blokovat zasílání zpráv aplikací nastavením limitu užitečného zatížení na nulu, což by bylo v rozporu s principy návrhu protokolu.
Pellegrino povzbuzoval skeptiky, aby systém sami rozvětvovali a testovali, přičemž trval na tom, že k problému může dojít pouze v případě, že se aplikace konkrétně rozhodla nakonfigurovat jej tímto způsobem, podobně jako může mít individuální aplikace na Ethereu špatné konfigurace smlouvy.
Jak se LayerZero neustále vyvíjí, tato diskuse zdůrazňuje potřebu neustálého zkoumání jejich bezpečnostních protokolů.
Spuštění tokenu ZRO čelí smíšeným reakcím
LayerZero Labs zůstává přesvědčena o síle a spolehlivosti své technologie interoperability mezi řetězci, která umožňuje inteligentním kontraktům na různých blockchainech komunikovat a přenášet hodnotu napříč izolovanými decentralizovanými sítěmi.
Nedávno společnost LayerZero začala distribuovat své nativní tokeny ZRO prostřednictvím airdropu. Hlavní kryptoburzy jako Binance a Upbit zalistovaly ZRO, ale spuštění se setkalo se smíšenými reakcemi. Mnoho účastníků bylo zklamaných odměnami za výsadek. Od této chvíle se ZRO obchoduje za přibližně 3,5 USD, což je 15% pokles od svého spuštění.
další
Generální ředitel společnosti LayerZero odmítá tvrzení o kritické zranitelnosti jako „nepodložené“
