跨鏈通訊協定LayerZero被爆存在一個關鍵漏洞,該漏洞由Blockian發現,用戶應用程式可以操縱Oracle和Relayer費用,使它們能夠在不產生任何成本的情況下發送訊息,該漏洞主要圍繞預設LayerZero節點UltraLightNodeV2. sol的發送函數中的費用計算過程。 UA可以將其Oracle和Relaye 配置為傳回零費用的客製化惡意版本,進而完全繞過費用運算流程。據悉,UA啟動訊息發送過程之後,可以將其Oracle和Relayer配置設定為自訂的免費版本,因此訊息的費用計算為零,這種操縱的結果是用戶代理能夠在不產生任何費用的情況下發送消息。據悉Layer Zero團隊目前已經透過讓中繼器在阻止訊息之前檢查交易中哪個UA呼叫了setConfig,快速修復了該錯誤。
dark