پروتکل پل زدن LayerZero اتهام “آسیب پذیری های حیاتی” را رد می کند

جیمز پرستویچ بنیانگذار ساما متهم پروتکل پل زدن 382 میلیون دلاری LayerZero برای میزبانی یک “آسیب پذیری بحرانی”.

طبق یک ژانویه 30 پست توسط Prestwich، این آسیب‌پذیری «می‌تواند منجر به سرقت تمام سرمایه‌های کاربران شود». برایان پلگرینو، مدیر عامل LayerZero، اتهام پرستویچ را “کاملاً تکان دهنده” و “بی صداقتانه” خواند و مدعی شد که این آسیب پذیری فقط برای برنامه هایی اعمال می شود که پیکربندی پیش فرض را تغییر نمی دهند.

کاملاً تکان دهنده است که یک رقیب پستی به شدت نادرست درباره ما منتشر کند. خوشحالم از داشتن @zellic_io @osec_io @ZOKYO_io یا هر مؤسسه حسابرسی دیگری اظهار نظر می کند و رد می کند، اما اجازه دهید خلاصه کنم.

اگر پیکربندی خود را تنظیم کنید، مطلقاً هیچ یک از اینها درست نیست https://t.co/zXdqkqO4rZ

– برایان پلگرینو (@PrimordialAA) 30 ژانویه 2023

LayerZero پروتکلی است که برای ایجاد پل های زنجیره بلوکی استفاده می شود. قابل توجه ترین کاربرد آن پل استارگیت است که می تواند برای جابجایی سکه ها بین چندین شبکه بلاک چین مختلف از جمله اتریوم، BNB Chain استفاده شود.BNB), بهمن (AVAX)، چند ضلعی (MATIC) و دیگران. دروازه ستارگان دارد طبق گفته DeFi Llama، 382 میلیون دلار از کل ارزش (TVL) در قراردادهای هوشمند آن تا 30 ژانویه قفل شده است.

طبق کاغذ سفید آن، پروتکل LayerZero فراهم می کند یک روش غیرقابل اعتماد برای انتقال ارزهای دیجیتال از یک شبکه به شبکه دیگر. این کار را با استفاده از Oracle و Relayer انجام می‌دهد تا بررسی کند که سکه‌ها روی یک زنجیره قفل شده‌اند، قبل از اینکه سکه بر روی یک زنجیره دیگر ضرب شود. تا زمانی که Oracle و Relayer مستقل هستند و با یکدیگر تبانی نمی کنند، ممکن است سکه ها در زنجیره مقصد بدون قفل شدن روی زنجیره مبدا غیرممکن باشد.

با این حال، پرستویچ ادعا کرد در یک پست وبلاگ 30 ژانویه نشان می دهد که Stargate و سایر پل هایی که از “پیکربندی پیش فرض” برای LayerZero استفاده می کنند از یک آسیب پذیری بحرانی رنج می برند. او ادعا کرد که این آسیب‌پذیری به تیم LayerZero اجازه می‌دهد تا از راه دور «کتابخانه دریافت‌کننده پیش‌فرض» را تغییر دهد یا «به‌طور خودسرانه بارهای پیام را تغییر دهد»، که می‌تواند تیم را قادر سازد تا Oracle و Relayer را دور بزند تا هر پیامی را که می‌خواهد از طریق پل منتقل کند. این به این معنی است که وقتی LayerZero با پیکربندی پیش‌فرض خود استفاده می‌شود، به جای اینکه به یک پروتکل غیرمتمرکز برای امنیت آن اعتماد داشته باشد، به اعتماد به تیم LayerZero متکی است.

Prestwich همچنین ادعا کرد که Stargate از این آسیب پذیری رنج می برد زیرا از پیکربندی پیش فرض استفاده می کند. برای کاهش این آسیب‌پذیری، Prestwich به توسعه دهندگان برنامه‌هایی که از LayerZero استفاده می‌کنند توصیه می‌کند تا قراردادهای هوشمند خود را تغییر دهند تا پیکربندی را تغییر دهند. با این حال، او می گوید که اکثر برنامه های LayerZero هنوز از پیکربندی پیش فرض استفاده می کنند و آنها را در معرض خطر قرار می دهد.

مربوط: قابلیت همکاری متقابل زنجیره ای مانعی برای پذیرش انبوه رمزارزها باقی مانده است

برایان پلگرینو، مدیر عامل LayerZero، به شدت ادعاهای پرستویچ را رد کرد و در توییتی در 30 ژانویه آنها را “به شدت ناصادقانه” خواند.

در گفتگو با Cointelegraph در 31 ژانویه، Pellegrino اظهار داشت که تمام کتابخانه های اعتبارسنجی “برای همیشه تغییر ناپذیر هستند، دوره”. این تیم می‌تواند کتابخانه‌های جدیدی اضافه کند، اما «هرگز نمی‌تواند آن‌هایی را که از قبل وجود دارند تغییر، حذف یا کاری انجام دهد». در حالی که تیم می‌تواند کتابخانه‌های جدیدی را به رجیستری اضافه کند، اگر برنامه‌ای قبلاً کتابخانه یا مجموعه‌ای از کتابخانه‌های خاص را برای استفاده انتخاب کرده باشد، تیم LayerZero نمی‌تواند آن را تغییر دهد.

پلگرینو اعتراف کرد که اگر توسعه‌دهنده برنامه از پیش‌فرض‌ها استفاده می‌کند، می‌توان کتابخانه‌ای را که یک برنامه «به آن اشاره می‌کند» توسط تیم LayerZero تغییر داد، اما اگر قبلاً از پیکربندی پیش‌فرض فاصله گرفته باشد نه.

در مورد ادعای Prestwich مبنی بر اینکه Stargate در معرض خطر است، Pellegrino در پاسخ گفت که StargateDAO در 3 ژانویه رای داد تا کتابخانه خود را از پیش فرض به کتابخانه ای خاص که از نظر مصرف گاز کارآمدتر است تغییر دهد. او انتظار دارد که این تغییر کتابخانه «این هفته (احتمالاً امروز)» اجرا شود. هنگامی که این به روز رسانی ساخته شد، “این هرگز نمی تواند در آنها تغییر کند مگر اینکه Stargate رای دهد و خودش آن را تغییر دهد.”

امنیت پل زنجیره‌ای متقاطع در چند سال گذشته موضوعی داغ در جامعه رمزنگاری بوده است، زیرا میلیون‌ها دلار از طریق هک پل از دست رفته است. در ماه مه 2022، پل رونین Axie Infinity Bridge بود 600 میلیون دلار مورد بهره برداری قرار گرفت توسط مهاجمی که کلیدهای کیف پول چند سیگ توسعه دهندگان را دزدیده و بدون هیچ گونه پشتوانه ای از آن برای ضرب سکه استفاده می کند. آ حمله مشابهی رخ داد در مقابل پل هارمونی هورایزن در 24 ژوئن 2022. بیش از 100 میلیون دلار در حمله Horizon از دست رفت. تیم Harmony از آن زمان پل را با استفاده از پروتکل LayerZero راه اندازی مجدد کرده است.