Il CEO di LayerZero di Coinspeaker respinge le accuse di vulnerabilità critica come "prive di fondamento"

In una serie di accesi scambi su X (ex Twitter), il co-fondatore e CEO di LayerZero Labs, Bryan Pellegrino, ha respinto le affermazioni di una vulnerabilità critica nel protocollo LayerZero come "del tutto infondate".

La controversia è iniziata quando il ricercatore di sicurezza blockchain pseudonimo 0x52 ha rivelato quello che secondo lui era un difetto critico nel protocollo di messaggistica di LayerZero. Da allora, 0x52 ha cancellato il suo tweet originale e si è scusato per il falso allarme.

Ho cancellato i miei post precedenti. Avrei dovuto convalidare ulteriormente tutti gli aspetti prima di pubblicare.

Ci scusiamo con @LayerZero_Labs. Mille grazie a @PrimordialAA per aver fatto ciò che non sono riuscito a fare e per aver corretto il mio errore.

– 0x52 (@IAm0x52) 1 luglio 2024

Dettagli della presunta vulnerabilità

Le rivelazioni di 0x52 derivano dal suo audit del protocollo UXD nell'ambito del programma di audit SherlockDefi. Ha affermato che il contratto endpoint di LayerZero, che gestisce i messaggi tra protocolli, non limita la dimensione dei messaggi o gli indirizzi di destinazione.

Ha avvertito che un hacker potrebbe inviare un messaggio con un indirizzo di destinazione molto grande, causando errori e potenzialmente interrompendo la comunicazione tra diverse reti blockchain. Ciò potrebbe portare a perdite finanziarie significative per i protocolli interessati.

Secondo 0x52, questa vulnerabilità potrebbe colpire molti protocolli che utilizzano LayerZero, in particolare quelli che coinvolgono sia catene EVM (Ethereum Virtual Machine) che catene non EVM come Solana, che utilizzano dimensioni di indirizzi diverse.

La risposta e la filosofia di progettazione del CEO di LayerZero

In risposta a 0x52, Pellegrino ha ribattuto dicendo che la possibilità di configurare i limiti di carico utile è una scelta progettuale deliberata. Ha spiegato che l’applicazione di un limite fisso potrebbe consentire la censura, il che va contro l’obiettivo di LayerZero di creare un sistema resistente alla censura.

Non solo non si tratta di un bug, ma è previsto dal protocollo

Qualsiasi protocollo di messaggistica che sancisce questa configurazione può ora censurare qualsiasi applicazione. Non puoi avere l'uno senza l'altro. Crediamo nei binari tecnologici resistenti alla censura.

— Bryan Pellegrino (@PrimordialAA) 1 luglio 2024

Pellegrino ha inoltre chiarito che il codice a cui fa riferimento 0x52 risale al 2022 e riguarda la configurazione dell'applicazione, non il protocollo principale. Ha affermato che il limite della dimensione del payload fa parte delle impostazioni di sicurezza dell'app e può essere modificato dall'app stessa. Pellegrino ha osservato che se un’app non potesse sovrascrivere questa configurazione, LayerZero potrebbe potenzialmente bloccare la messaggistica dell’applicazione impostando il limite del carico utile su zero, il che contraddirebbe i principi di progettazione del protocollo.

Pellegrino ha incoraggiato gli scettici a biforcare e testare il sistema da soli, insistendo sul fatto che il problema potrebbe verificarsi solo se un'applicazione scegliesse specificamente di configurarlo in quel modo, in modo simile a come una singola applicazione su Ethereum potrebbe avere configurazioni di contratto errate.

Mentre LayerZero continua a svilupparsi, questa discussione evidenzia la necessità di un controllo costante dei loro protocolli di sicurezza.

Il lancio del token ZRO affronta reazioni contrastanti

LayerZero Labs rimane fiducioso nella forza e nell'affidabilità della sua tecnologia di interoperabilità cross-chain, che consente ai contratti intelligenti su diverse blockchain di comunicare e trasferire valore attraverso reti decentralizzate isolate.

Recentemente, LayerZero ha iniziato a distribuire i suoi token ZRO nativi tramite un airdrop. I principali scambi di criptovalute come Binance e Upbit hanno elencato ZRO, ma il lancio è stato accolto con reazioni contrastanti. Molti partecipanti sono rimasti delusi dalle ricompense dei lanci aerei. Al momento, ZRO viene scambiato a circa 3,5 dollari, un calo del 15% dal suo lancio.

Prossimo

Il CEO di LayerZero respinge le accuse di vulnerabilità critica come "prive di fondamento"