CEO von Coinspeaker LayerZero weist Vorwürfe kritischer Sicherheitslücke als „unbegründet“ zurück

In einer Reihe hitziger Wortwechsel auf X (früher Twitter) wies Bryan Pellegrino, Mitbegründer und CEO von LayerZero Labs, Behauptungen über eine kritische Sicherheitslücke im LayerZero-Protokoll als „völlig unbegründet“ zurück.

Die Kontroverse begann, als der unter Pseudonym agierende Blockchain-Sicherheitsforscher 0x52 einen seiner Meinung nach kritischen Fehler im Messaging-Protokoll von LayerZero offenlegte. Seitdem hat 0x52 seinen ursprünglichen Tweet gelöscht und sich für den Fehlalarm entschuldigt.

Ich habe meine vorherigen Beiträge gelöscht. Ich hätte alle Aspekte vor dem Posten noch einmal prüfen sollen.

Entschuldigung an @LayerZero_Labs. Vielen Dank an @PrimordialAA, dass er das getan hat, was ich versäumt habe, und meinen Fehler korrigiert hat.

– 0x52 (@IAm0x52) 1. Juli 2024

Details zur angeblichen Sicherheitslücke

0x52s Enthüllungen resultierten aus seiner Prüfung des UXDProtocol im Rahmen des SherlockDefi-Auditprogramms. Er behauptete, dass der Endpunktvertrag von LayerZero, der Nachrichten zwischen Protokollen verarbeitet, die Größe von Nachrichten oder Zieladressen nicht begrenzt.

Er warnte, dass ein Hacker eine Nachricht mit einer sehr großen Zieladresse senden könnte, was zu Fehlern führen und möglicherweise die Kommunikation zwischen verschiedenen Blockchain-Netzwerken stoppen könnte. Dies könnte zu erheblichen finanziellen Verlusten für betroffene Protokolle führen.

Laut 0x52 könnte diese Sicherheitslücke viele Protokolle betreffen, die LayerZero verwenden, insbesondere solche, an denen sowohl EVM-Ketten (Ethereum Virtual Machine) als auch Nicht-EVM-Ketten wie Solana beteiligt sind, die unterschiedliche Adressgrößen verwenden.

Antwort und Designphilosophie des LayerZero-CEO

In seiner Antwort auf 0x52 entgegnete Pellegrino, dass die Möglichkeit, Nutzlastgrenzen zu konfigurieren, eine bewusste Designentscheidung sei. Er erklärte, dass die Durchsetzung einer festen Grenze Zensur ermöglichen könnte, was dem Ziel von LayerZero, ein zensurresistentes System zu schaffen, zuwiderläuft.

Dies ist nicht nur kein Fehler, sondern so beabsichtigt im Protokoll

Jedes Messaging-Protokoll, das diese Konfiguration beinhaltet, kann nun jede Anwendung zensieren. Das eine geht nicht ohne das andere. Wir glauben an zensurresistente Technologieschienen.

– Bryan Pellegrino (@PrimordialAA) 1. Juli 2024

Pellegrino stellte weiter klar, dass der von 0x52 referenzierte Code aus dem Jahr 2022 stammt und sich auf die Anwendungskonfiguration bezieht, nicht auf das Kernprotokoll. Er erklärte, dass die Nutzlastgrößenbeschränkung Teil der Sicherheitseinstellungen der App ist und von der App selbst angepasst werden kann. Pellegrino merkte an, dass LayerZero, wenn eine App diese Konfiguration nicht außer Kraft setzen könnte, möglicherweise die Nachrichtenübermittlung der Anwendung blockieren könnte, indem es die Nutzlastbeschränkung auf Null setzt, was den Designprinzipien des Protokolls widersprechen würde.

Pellegrino forderte Skeptiker dazu auf, das System selbst zu forken und zu testen, und betonte, dass das Problem nur dann auftreten könne, wenn eine Anwendung sich ausdrücklich für diese Konfiguration entscheide, ähnlich wie eine einzelne Anwendung auf Ethereum falsche Vertragskonfigurationen aufweisen könne.

Im Zuge der Weiterentwicklung von LayerZero wird durch diese Diskussion die Notwendigkeit einer ständigen Überprüfung der Sicherheitsprotokolle deutlich.

Einführung des ZRO-Tokens stößt auf gemischte Reaktionen

LayerZero Labs ist weiterhin von der Stärke und Zuverlässigkeit seiner kettenübergreifenden Interoperabilitätstechnologie überzeugt, die es Smart Contracts auf verschiedenen Blockchains ermöglicht, über isolierte dezentrale Netzwerke hinweg zu kommunizieren und Werte zu übertragen.

Vor Kurzem hat LayerZero damit begonnen, seine nativen ZRO-Token über einen Airdrop zu verteilen. Große Kryptobörsen wie Binance und Upbit haben ZRO gelistet, aber der Start stieß auf gemischte Reaktionen. Viele Teilnehmer waren von den Airdrop-Belohnungen enttäuscht. Derzeit wird ZRO bei etwa 3,5 $ gehandelt, ein Rückgang von 15 % seit seinem Start.

nächste

CEO von LayerZero weist Vorwürfe kritischer Sicherheitslücke als „unbegründet“ zurück