Dyrektor generalny Coinspeaker LayerZero odrzuca twierdzenia o krytycznej luce w zabezpieczeniach jako „bezpodstawne”
W serii gorących wymian na X (dawniej Twitterze) współzałożyciel i dyrektor generalny LayerZero Labs Bryan Pellegrino odrzucił twierdzenia o krytycznej luce w protokole LayerZero jako „całkowicie bezpodstawne”.
Kontrowersje rozpoczęły się, gdy pseudonimowy badacz bezpieczeństwa blockchain 0x52 ujawnił coś, co uważał za krytyczną wadę w protokole przesyłania wiadomości LayerZero. Od tego czasu 0x52 usunął swój oryginalny tweet i przeprosił za fałszywy alarm.
Usunąłem swoje wcześniejsze posty. Powinienem był jeszcze bardziej zweryfikować wszystkie aspekty przed opublikowaniem.
Przepraszamy dla @LayerZero_Labs. Wielkie dzięki dla @PrimordialAA za zrobienie tego, czego nie zrobiłem i za naprawienie mojego błędu.
— 0x52 (@IAm0x52) 1 lipca 2024 r
Szczegóły rzekomej luki
Rewelacje 0x52 wynikają z audytu protokołu UXD w ramach programu audytu SherlockDefi. Twierdził, że umowa dotycząca punktu końcowego LayerZero, która obsługuje wiadomości między protokołami, nie ogranicza rozmiaru wiadomości ani adresów docelowych.
Ostrzegł, że haker może wysłać wiadomość z bardzo dużym adresem docelowym, powodując błędy i potencjalnie zatrzymując komunikację pomiędzy różnymi sieciami blockchain. Może to prowadzić do znacznych strat finansowych w przypadku protokołów, których to dotyczy.
Według 0x52 ta luka może dotyczyć wielu protokołów korzystających z LayerZero, zwłaszcza tych obejmujących zarówno łańcuchy EVM (Ethereum Virtual Machine), jak i łańcuchy inne niż EVM, takie jak Solana, które używają różnych rozmiarów adresów.
Filozofia reakcji i projektowania dyrektora generalnego LayerZero
W odpowiedzi na 0x52 Pellegrino odpowiedział, mówiąc, że możliwość skonfigurowania limitów ładunku jest świadomym wyborem projektowym. Wyjaśnił, że egzekwowanie stałego limitu może pozwolić na cenzurę, co jest sprzeczne z celem LayerZero, jakim jest stworzenie systemu odpornego na cenzurę.
Nie tylko nie jest to błąd, ale jest to zgodne z projektem protokołu
Każdy protokół przesyłania wiadomości, który uwzględnia tę konfigurację, może teraz cenzurować dowolną aplikację. Nie można mieć jednego bez drugiego. Wierzymy w szyny technologiczne odporne na cenzurę.
— Bryan Pellegrino (@PrimordialAA) 1 lipca 2024 r
Pellegrino wyjaśnił dalej, że kod, do którego odwołuje się 0x52, pochodzi z 2022 roku i dotyczy konfiguracji aplikacji, a nie podstawowego protokołu. Stwierdził, że limit rozmiaru ładunku stanowi część ustawień zabezpieczeń aplikacji i może być dostosowywany przez samą aplikację. Pellegrino zauważył, że gdyby aplikacja nie mogła obejść tej konfiguracji, LayerZero mogłaby potencjalnie zablokować przesyłanie wiadomości aplikacji, ustawiając limit ładunku na zero, co byłoby sprzeczne z zasadami projektowania protokołu.
Pellegrino zachęcał sceptyków do samodzielnego rozwidlenia i przetestowania systemu, upierając się, że problem może wystąpić tylko wtedy, gdy aplikacja specjalnie zdecyduje się skonfigurować go w ten sposób, podobnie jak pojedyncza aplikacja w Ethereum może mieć złą konfigurację kontraktu.
W miarę ciągłego rozwoju LayerZero dyskusja ta podkreśla potrzebę ciągłej kontroli ich protokołów bezpieczeństwa.
Uruchomienie tokena ZRO spotyka się z mieszanymi reakcjami
LayerZero Labs pozostaje pewne siły i niezawodności swojej technologii interoperacyjności między łańcuchami, która umożliwia inteligentnym kontraktom w różnych łańcuchach bloków komunikację i przenoszenie wartości pomiędzy izolowanymi zdecentralizowanymi sieciami.
Niedawno LayerZero rozpoczęło dystrybucję swoich natywnych tokenów ZRO poprzez zrzut. Główne giełdy kryptowalut, takie jak Binance i Upbit, umieściły na giełdzie ZRO, ale premiera spotkała się z mieszanymi reakcjami. Wielu uczestników było rozczarowanych nagrodami za zrzuty. Obecnie ZRO jest wyceniane na około 3,5 dolara, co oznacza spadek o 15% od czasu jego premiery.
Następny
Dyrektor generalny LayerZero odrzuca twierdzenia o krytycznej luce w zabezpieczeniach jako „bezpodstawne”
