Summa 創始人James Prestwich 指責價值3.82 億美元的LayerZero 橋接協議存在“嚴重漏洞”。
根據Prestwich 1 月30 日的帖子,此漏洞“可能導致所有用戶資金被盜”。 LayerZero 首席執行官Bryan Pellegrino 稱Prestwich 的指控“絕對令人震驚”和“極其不誠實”,聲稱該漏洞僅適用於不修改默認配置的應用程序。
競爭對手會發布關於我們的極其不誠實的帖子,這絕對令人震驚。很高興有@zellic_io @osec_io @ZOKYO_io 或任何其他審計公司來評測和消除,但讓我總結一下。
如果你設置自己的配置,這絕對不是真的https://t.co/zXdqkqO4rZ
– Bryan Pellegrino (@PrimordialAA) 2023 年1 月30 日
LayerZero 是一種用於創建跨鏈區塊鏈橋的協議。它最著名的應用是Stargate Bridge,它可用於在幾個不同的區塊鍊網絡之間移動硬幣,包括以太坊、BNB Chain (BNB)、Avalanche (AVAX)、Polygon (MATIC) 等。根據DeFi Llama 的數據,截至1 月30 日,Stargate 在其智能合約中鎖定的總價值(TVL) 為3.82 億美元。
根據其白皮書,LayerZero 協議提供了一種將加密貨幣從一個網絡轉移到另一個網絡的無需信任的方式。它通過使用Oracle 和Relayer 來驗證代幣是否鎖定在一條鏈上,然後再允許在另一條鏈上鑄造代幣來實現這一點。只要Oracle 和Relayer 是獨立的,不相互勾結,就不可能在沒有先鎖定源鏈的情況下在目標鏈上鑄造硬幣。
然而,Prestwich 在1 月30 日的博客文章中聲稱,Stargate 和其他使用LayerZero“默認配置”的網橋存在嚴重漏洞。他聲稱這個漏洞允許LayerZero 團隊遠程更改“默認接收庫”或“任意修改消息有效負載”,這可以使團隊繞過Oracle 和Relayer 以通過橋傳輸他們想要的任何消息。這意味著當LayerZero 以其默認配置使用時,它依賴於對LayerZero 團隊的信任而不是去中心化協議的安全性。
Prestwich 進一步聲稱Stargate 存在此漏洞,因為它使用默認配置。為了緩解此漏洞,Prestwich 建議使用LayerZero 的應用程序開發人員更改其智能合約以更改配置。但是,他說大多數LayerZero 應用程序仍然使用默認配置,這使它們處於危險之中。
相關:跨鏈互操作性仍然是加密貨幣大規模採用的障礙
LayerZero 首席執行官Bryan Pellegrino 在1 月30 日的一條推文中強烈否認了Prestwich 的說法,稱他們“極其不誠實”。
在1 月31 日與Cointelegraph 的對話中,Pellegrino 表示所有驗證庫“永遠是不可變的”。該團隊可以添加新庫,但“永遠不能更改、刪除或對”已經存在的庫做任何事情。雖然團隊可以將新庫添加到註冊表中,但如果應用程序已經選擇了要使用的特定庫或一組庫,則LayerZero 團隊無法更改。
Pellegrino 承認,如果應用程序開發人員使用默認配置,則應用程序“指向”的庫可以由LayerZero 團隊更改,但如果它已經離開默認配置,則不能。
至於Prestwich 聲稱Stargate 存在風險的說法,Pellegrino 回應稱,StargateDAO 在1 月3 日投票決定將其庫從默認庫更改為更節能的特定庫。他預計這個圖書館的變化將在“本週(可能是今天)”實施。一旦進行了此更新,“除非Stargate 投票並自行更改,否則將永遠無法更改它們。”
過去幾年,跨鏈橋接安全一直是加密貨幣社區的熱門話題,因為橋接黑客攻擊造成了數百萬美元的損失。 2022 年5 月,Axie Infinity Ronin Bridge 被一名攻擊者以6 億美元的價格利用,該攻擊者竊取了開發者多重簽名錢包的密鑰,並在沒有任何支持的情況下用它來鑄造硬幣。 2022 年6 月24 日發生了針對Harmony Horizon Bridge 的類似攻擊。在Horizon 攻擊中損失超過1 億美元。 Harmony 團隊此後使用LayerZero 協議重新啟動了該橋。
資訊來源:由0x資訊編譯自COINTELEGRAPH。版權歸作者Tom Blackstone所有,未經許可,不得轉載