Giám đốc điều hành Coinpeak LayerZero bác bỏ các tuyên bố về lỗ hổng nghiêm trọng là ‘vô căn cứ’

Trong một loạt các cuộc trao đổi sôi nổi trên X (trước đây là Twitter), đồng sáng lập và Giám đốc điều hành của LayerZero Labs, Bryan Pellegrino, đã bác bỏ các tuyên bố về lỗ hổng nghiêm trọng trong giao thức LayerZero là “hoàn toàn vô căn cứ”.

Cuộc tranh cãi bắt đầu khi nhà nghiên cứu bảo mật blockchain có biệt danh 0x52 tiết lộ những gì ông cho là lỗ hổng nghiêm trọng trong giao thức nhắn tin của LayerZero. Kể từ đó, 0x52 đã xóa dòng tweet gốc của mình và xin lỗi vì đã đưa ra cảnh báo sai.

Tôi đã xóa các bài viết trước đây của tôi. Tôi nên xác nhận thêm tất cả các khía cạnh trước khi đăng.

Xin gửi lời xin lỗi tới @LayerZero_Labs. Rất cám ơn @PrimordialAA vì đã làm những gì tôi không làm được và đã sửa chữa lỗi lầm của mình.

— 0x52 (@IAm0x52) Ngày 1 tháng 7 năm 2024

Chi tiết về lỗ hổng bị cáo buộc

Những tiết lộ của 0x52 bắt nguồn từ quá trình kiểm tra UXDProtocol của anh ấy trong chương trình kiểm tra SherlockDefi. Ông tuyên bố rằng hợp đồng điểm cuối của LayerZero, xử lý các tin nhắn giữa các giao thức, không giới hạn kích thước của tin nhắn hoặc địa chỉ đích.

Ông cảnh báo rằng hacker có thể gửi tin nhắn có địa chỉ đích rất lớn, gây ra lỗi và có khả năng làm ngừng liên lạc giữa các mạng blockchain khác nhau. Điều này có thể dẫn đến tổn thất tài chính đáng kể cho các giao thức bị ảnh hưởng.

Theo 0x52, lỗ hổng này có thể ảnh hưởng đến nhiều giao thức sử dụng LayerZero, đặc biệt là các giao thức liên quan đến cả chuỗi EVM (Máy ảo Ethereum) và chuỗi không phải EVM như Solana, sử dụng các kích thước địa chỉ khác nhau.

Triết lý thiết kế và phản hồi của CEO LayerZero

Đáp lại 0x52, Pellegrino phản bác bằng cách nói rằng khả năng định cấu hình giới hạn tải trọng là một lựa chọn thiết kế có chủ ý. Ông giải thích rằng việc thực thi một giới hạn cố định có thể cho phép kiểm duyệt, điều này đi ngược lại mục tiêu của LayerZero là tạo ra một hệ thống chống kiểm duyệt.

Đây không những không phải là lỗi mà còn do thiết kế trong giao thức

Bất kỳ giao thức nhắn tin nào lưu giữ cấu hình này hiện có thể kiểm duyệt bất kỳ ứng dụng nào. Bạn không thể có cái này mà không có cái kia. Chúng tôi tin vào đường ray công nghệ chống kiểm duyệt.

- Bryan Pellegrino (@PrimordialAA) Ngày 1 tháng 7 năm 2024

Pellegrino làm rõ thêm rằng mã được tham chiếu bởi 0x52 có từ năm 2022 và liên quan đến cấu hình ứng dụng chứ không phải giao thức cốt lõi. Ông tuyên bố rằng giới hạn kích thước tải trọng là một phần trong cài đặt bảo mật của ứng dụng và có thể được chính ứng dụng điều chỉnh. Pellegrino lưu ý rằng nếu một ứng dụng không thể ghi đè cấu hình này, LayerZero có thể chặn tin nhắn của ứng dụng bằng cách đặt giới hạn tải trọng về 0, điều này sẽ mâu thuẫn với các nguyên tắc thiết kế của giao thức.

Pellegrino khuyến khích những người hoài nghi tự phân nhánh và kiểm tra hệ thống, nhấn mạnh rằng sự cố chỉ có thể xảy ra nếu một ứng dụng cụ thể chọn cấu hình theo cách đó, tương tự như cách một ứng dụng riêng lẻ trên Ethereum có thể có cấu hình hợp đồng kém.

Khi LayerZero tiếp tục phát triển, cuộc thảo luận này nhấn mạnh sự cần thiết phải liên tục giám sát các giao thức bảo mật của họ.

Việc ra mắt token ZRO vấp phải nhiều phản ứng trái chiều

LayerZero Labs vẫn tự tin vào sức mạnh và độ tin cậy của công nghệ tương tác chuỗi chéo của mình, cho phép các hợp đồng thông minh trên các chuỗi khối khác nhau giao tiếp và chuyển giao giá trị trên các mạng phi tập trung bị cô lập.

Gần đây, LayerZero đã bắt đầu phân phối mã thông báo ZRO gốc của mình thông qua airdrop. Các sàn giao dịch tiền điện tử lớn như Binance và Upbit đã niêm yết ZRO, nhưng việc ra mắt đã vấp phải nhiều phản ứng trái chiều. Nhiều người tham gia đã thất vọng với phần thưởng airdrop. Tính đến thời điểm hiện tại, ZRO đang giao dịch ở mức khoảng 3,5 USD, giảm 15% kể từ khi ra mắt.

Kế tiếp

Giám đốc điều hành LayerZero bác bỏ các tuyên bố về lỗ hổng nghiêm trọng là 'vô căn cứ'