Генеральний директор Coinspeaker LayerZero відкидає заяви про критичну вразливість як «безпідставні»

У серії бурхливих дискусій на X (раніше Twitter) співзасновник і генеральний директор LayerZero Labs Брайан Пеллегріно відкинув заяви про критичну вразливість у протоколі LayerZero як «цілком безпідставні».

Суперечка почалася, коли дослідник безпеки блокчейну під псевдонімом 0x52 оприлюднив те, що він назвав критичним недоліком у протоколі обміну повідомленнями LayerZero. Відтоді 0x52 видалив свій оригінальний твіт і вибачився за помилкову тривогу.

Я видалив свої попередні дописи. Мені слід було додатково перевірити всі аспекти перед публікацією.

Вибачте перед @LayerZero_Labs. Велике спасибі @PrimordialAA за те, що зробив те, що я не зміг зробити, і за те, що виправив свою помилку.

— 0x52 (@IAm0x52) 1 липня 2024 р

Деталі ймовірної вразливості

Одкровення 0x52 стали результатом його аудиту протоколу UXDProtocol у рамках програми аудиту SherlockDefi. Він стверджував, що контракт кінцевої точки LayerZero, який обробляє повідомлення між протоколами, не обмежує розмір повідомлень або адреси призначення.

Він попередив, що хакер може надіслати повідомлення з дуже великою адресою призначення, викликаючи помилки та потенційно припиняючи зв’язок між різними блокчейн-мережами. Це може призвести до значних фінансових втрат для порушених протоколів.

Згідно з 0x52, ця вразливість може вплинути на багато протоколів, що використовують LayerZero, особливо на ті, що включають як ланцюжки EVM (Ethereum Virtual Machine), так і ланцюжки, що не належать до Ethereum, як-от Solana, які використовують різні розміри адрес.

Реакція генерального директора LayerZero та філософія дизайну

У відповідь на 0x52 Пеллегріно відповів, що можливість налаштовувати обмеження корисного навантаження є навмисним вибором дизайну. Він пояснив, що застосування фіксованого ліміту може дозволити цензуру, що суперечить меті LayerZero створити систему, стійку до цензури.

Це не тільки не помилка, це задумано в протоколі

Будь-який протокол обміну повідомленнями, який закріплює цю конфігурацію, тепер може цензурувати будь-яку програму. Ви не можете мати одне без іншого. Ми віримо в стійкі до цензури технології.

— Браян Пеллегріно (@PrimordialAA) 1 липня 2024 р

Далі Пеллегріно уточнив, що код, на який посилається 0x52, датується 2022 роком і стосується конфігурації програми, а не основного протоколу. Він заявив, що ліміт розміру корисного навантаження є частиною налаштувань безпеки додатка і може регулюватися самим додатком. Пеллегріно зауважив, що якщо програма не зможе змінити цю конфігурацію, LayerZero потенційно може заблокувати обмін повідомленнями програми, встановивши ліміт корисного навантаження на нуль, що суперечить принципам розробки протоколу.

Пеллегріно заохочував скептиків розгалужувати та тестувати систему самостійно, наполягаючи на тому, що проблема може виникнути, лише якщо програма спеціально вирішила налаштувати її таким чином, подібно до того, як окрема програма на Ethereum може мати погані конфігурації контракту.

Оскільки LayerZero продовжує розвиватися, це обговорення підкреслює необхідність постійного контролю їхніх протоколів безпеки.

Запуск токена ZRO стикається з неоднозначною реакцією

LayerZero Labs залишається впевненим у силі та надійності своєї технології сумісності між ланцюжками, яка дозволяє смарт-контрактам на різних блокчейнах спілкуватися та передавати значення через ізольовані децентралізовані мережі.

Нещодавно LayerZero почала розповсюджувати власні токени ZRO через airdrop. Великі криптовалютні біржі, такі як Binance та Upbit, включили до списку ZRO, але запуск був зустрінутий неоднозначною реакцією. Багато учасників були розчаровані нагородами за роздачу. На даний момент ZRO торгується на рівні близько 3,5 доларів, що на 15% менше з моменту запуску.

наступний

Генеральний директор LayerZero відкидає заяви про критичну вразливість як «безпідставні»