Le PDG de Coinspeaker LayerZero rejette les allégations de vulnérabilité critique comme étant « sans fondement »

Dans une série d’échanges houleux sur X (anciennement Twitter), le co-fondateur et PDG de LayerZero Labs, Bryan Pellegrino, a rejeté les allégations d’une vulnérabilité critique dans le protocole LayerZero comme étant « totalement sans fondement ».

La controverse a commencé lorsque le chercheur pseudonyme en sécurité blockchain 0x52 a révélé ce qu'il prétendait être une faille critique dans le protocole de messagerie de LayerZero. Depuis, 0x52 a supprimé son tweet original et s'est excusé pour la fausse alerte.

J'ai supprimé mes messages précédents. J'aurais dû valider davantage tous les aspects avant de poster.

Toutes mes excuses à @LayerZero_Labs. Un grand merci à @PrimordialAA pour avoir fait ce que je n'ai pas réussi à faire et pour avoir corrigé mon erreur.

– 0x52 (@IAm0x52) 1er juillet 2024

Détails de la vulnérabilité présumée

Les révélations de 0x52 découlent de son audit du protocole UXD dans le cadre du programme d'audit SherlockDefi. Il a affirmé que le contrat de point final de LayerZero, qui gère les messages entre protocoles, ne limitait pas la taille des messages ou les adresses de destination.

Il a averti qu'un pirate informatique pourrait envoyer un message avec une adresse de destination très volumineuse, provoquant des erreurs et potentiellement interrompant la communication entre les différents réseaux blockchain. Cela pourrait entraîner des pertes financières importantes pour les protocoles concernés.

Selon 0x52, cette vulnérabilité pourrait affecter de nombreux protocoles utilisant LayerZero, notamment ceux impliquant à la fois des chaînes EVM (Ethereum Virtual Machine) et des chaînes non-EVM comme Solana, qui utilisent des tailles d'adresse différentes.

Réponse et philosophie de conception du PDG de LayerZero

En réponse à 0x52, Pellegrino a répliqué en affirmant que la possibilité de configurer les limites de charge utile est un choix de conception délibéré. Il a expliqué que l’application d’une limite fixe pourrait permettre la censure, ce qui va à l’encontre de l’objectif de LayerZero de créer un système résistant à la censure.

Non seulement ce n’est pas un bug, mais c’est intentionnel dans le protocole.

Tout protocole de messagerie qui consacre cette configuration peut désormais censurer n'importe quelle application. Tu ne peux pas en avoir un sans avoir l'autre. Nous croyons aux rails technologiques résistants à la censure.

– Bryan Pellegrino (@PrimordialAA) 1er juillet 2024

Pellegrino a en outre précisé que le code référencé par 0x52 remonte à 2022 et concerne la configuration de l'application, et non le protocole principal. Il a déclaré que la taille limite de la charge utile fait partie des paramètres de sécurité de l’application et peut être ajustée par l’application elle-même. Pellegrino a noté que si une application ne pouvait pas remplacer cette configuration, LayerZero pourrait potentiellement bloquer la messagerie de l'application en définissant la limite de charge utile à zéro, ce qui contredirait les principes de conception du protocole.

Pellegrino a encouragé les sceptiques à tester le système eux-mêmes, insistant sur le fait que le problème ne pourrait se produire que si une application choisissait spécifiquement de le configurer de cette façon, de la même manière qu'une application individuelle sur Ethereum pourrait avoir de mauvaises configurations de contrat.

Alors que LayerZero continue de se développer, cette discussion souligne la nécessité d'un examen constant de leurs protocoles de sécurité.

Le lancement du jeton ZRO fait face à des réactions mitigées

LayerZero Labs reste confiant dans la force et la fiabilité de sa technologie d'interopérabilité inter-chaînes, qui permet aux contrats intelligents sur différentes blockchains de communiquer et de transférer de la valeur à travers des réseaux décentralisés isolés.

Récemment, LayerZero a commencé à distribuer ses jetons ZRO natifs via un airdrop. Les principales bourses de cryptographie comme Binance et Upbit ont répertorié ZRO, mais le lancement a suscité des réactions mitigées. De nombreux participants ont été déçus par les récompenses du parachutage. À l'heure actuelle, ZRO se négocie à environ 3,5 $, soit une baisse de 15 % depuis son lancement.

suivant

Le PDG de LayerZero rejette les allégations de vulnérabilité critique comme étant « sans fondement »