De acordo com o BlockBeats, em 22 de outubro, Bryan Pellegrino, CEO do protocolo de interoperabilidade entre cadeias LayerZero, abordou a equipe do Across Protocol via mídia social sobre um problema significativo em seu contrato de token.

Pellegrino destacou que a equipe expôs erroneamente uma função que pretendia ser privada. Essa função, escrita pela OpenZeppelin em sua implementação de token ERC20, foi projetada para destruir tokens e foi dada ao proprietário do contrato. Essa exposição permite que o proprietário do contrato retire tokens de qualquer carteira à vontade e reduza qualquer saldo de conta a zero.

Além disso, Pellegrino observou que tanto o Across Protocol quanto o UMA Protocol possuem a capacidade de cunhagem ilimitada. Apesar de serem informadas sobre esses problemas, as equipes pareceram indiferentes.

Para resolver esse problema sem reemitir os tokens, Pellegrino sugeriu transferir a propriedade do contrato para um novo contrato inteligente. Esse novo contrato deve impedir a cunhagem além do suprimento total e não permitir a destruição do token. Dada a natureza permanente dessa vulnerabilidade, o novo contrato deve ser imutável e não deve incluir nenhuma função de transferência de propriedade.

Pellegrino também mencionou que se a equipe tiver um programa de recompensa por bugs ativo, eles poderiam creditar a equipe do LayerZero por essa informação.