CEO da Coinspeaker LayerZero descarta alegações de vulnerabilidade crítica como “infundadas”
Em uma série de discussões acaloradas no X (antigo Twitter), o cofundador e CEO do LayerZero Labs, Bryan Pellegrino, rejeitou as alegações de uma vulnerabilidade crítica no protocolo LayerZero como “totalmente infundadas”.
A controvérsia começou quando o pseudônimo pesquisador de segurança blockchain 0x52 revelou o que ele alegou ser uma falha crítica no protocolo de mensagens do LayerZero. Desde então, 0x52 deletou seu tweet original e pediu desculpas pelo alarme falso.
Excluí minhas postagens anteriores. Eu deveria ter validado ainda mais todos os aspectos antes de postar.
Desculpas a @LayerZero_Labs. Muito obrigado a @PrimordialAA por fazer o que falhei e por corrigir meu erro.
– 0x52 (@IAm0x52) 1º de julho de 2024
Detalhes da suposta vulnerabilidade
As revelações de 0x52 resultaram de sua auditoria do UXDProtocol no âmbito do programa de auditoria SherlockDefi. Ele afirmou que o contrato de endpoint do LayerZero, que lida com mensagens entre protocolos, não limitava o tamanho das mensagens ou endereços de destino.
Ele alertou que um hacker poderia enviar uma mensagem com um endereço de destino muito grande, causando erros e potencialmente interrompendo a comunicação entre diferentes redes blockchain. Isto poderia levar a perdas financeiras significativas para os protocolos afetados.
De acordo com 0x52, esta vulnerabilidade pode afetar muitos protocolos que usam LayerZero, especialmente aqueles que envolvem cadeias EVM (Ethereum Virtual Machine) e cadeias não EVM como Solana, que usam diferentes tamanhos de endereço.
Resposta e filosofia de design do CEO da LayerZero
Em resposta ao 0x52, Pellegrino respondeu dizendo que a capacidade de configurar limites de carga útil é uma escolha deliberada de design. Ele explicou que a aplicação de um limite fixo poderia permitir a censura, o que vai contra o objetivo da LayerZero de criar um sistema resistente à censura.
Isso não apenas não é um bug, mas também é intencional no protocolo
Qualquer protocolo de mensagens que consagre esta configuração agora pode censurar qualquer aplicativo. Você não pode ter um sem o outro. Acreditamos em trilhos tecnológicos resistentes à censura.
-Bryan Pellegrino (@PrimordialAA) 1º de julho de 2024
Pellegrino esclareceu ainda que o código referenciado por 0x52 data de 2022 e se refere à configuração do aplicativo, não ao protocolo principal. Ele afirmou que o limite de tamanho da carga útil faz parte das configurações de segurança do aplicativo e pode ser ajustado pelo próprio aplicativo. Pellegrino observou que se um aplicativo não pudesse substituir essa configuração, o LayerZero poderia potencialmente bloquear as mensagens do aplicativo definindo o limite de carga útil como zero, o que contrariaria os princípios de design do protocolo.
Pellegrino encorajou os céticos a bifurcar e testar o sistema por conta própria, insistindo que o problema só poderia ocorrer se um aplicativo optasse especificamente por configurá-lo dessa forma, semelhante a como um aplicativo individual no Ethereum pode ter configurações de contrato incorretas.
À medida que o LayerZero continua a se desenvolver, esta discussão destaca a necessidade de um exame minucioso constante de seus protocolos de segurança.
Lançamento do token ZRO enfrenta reações mistas
LayerZero Labs continua confiante na força e confiabilidade de sua tecnologia de interoperabilidade entre cadeias, que permite que contratos inteligentes em diferentes blockchains se comuniquem e transfiram valor através de redes descentralizadas isoladas.
Recentemente, a LayerZero começou a distribuir seus tokens ZRO nativos por meio de lançamento aéreo. As principais exchanges de criptomoedas, como Binance e Upbit, listaram o ZRO, mas o lançamento foi recebido com reações mistas. Muitos participantes ficaram desapontados com as recompensas do lançamento aéreo. A partir de agora, o ZRO está sendo negociado em torno de US$ 3,5, uma queda de 15% desde o seu lançamento.
próximo
CEO da LayerZero descarta alegações de vulnerabilidade crítica como “infundadas”
