中介网(zhongjie.com):专注互联网虚拟资产中介交易平台
Summa 创始人 James Prestwich 指责价值 3.82 亿美元的 LayerZero 桥接协议存在“严重漏洞”。
根据 Prestwich 1 月 30 日的帖子,此漏洞“可能导致所有用户资金被盗”。 LayerZero 首席执行官 Bryan Pellegrino 称 Prestwich 的指控“绝对令人震惊”和“极其不诚实”,声称该漏洞仅适用于不修改默认配置的应用程序。
竞争对手会发布关于我们的极其不诚实的帖子,这绝对令人震惊。 很高兴有 @zellic_io @osec_io @ZOKYO_io 或任何其他审计公司来评测和消除,但让我总结一下。
如果你设置自己的配置,这绝对不是真的 https://t.co/zXdqkqO4rZ
– Bryan Pellegrino (@PrimordialAA) 2023 年 1 月 30 日
LayerZero 是一种用于创建跨链区块链桥的协议。 它最著名的应用是 Stargate Bridge,它可用于在几个不同的区块链网络之间移动硬币,包括以太坊、BNB Chain (BNB)、Avalanche (AVAX)、Polygon (MATIC) 等。 根据 DeFi Llama 的数据,截至 1 月 30 日,Stargate 在其智能合约中锁定的总价值 (TVL) 为 3.82 亿美元。
根据其白皮书,LayerZero 协议提供了一种将加密货币从一个网络转移到另一个网络的无需信任的方式。 它通过使用 Oracle 和 Relayer 来验证代币是否锁定在一条链上,然后再允许在另一条链上铸造代币来实现这一点。 只要 Oracle 和 Relayer 是独立的,不相互勾结,就不可能在没有先锁定源链的情况下在目标链上铸造硬币。
然而,Prestwich 在 1 月 30 日的博客文章中声称,Stargate 和其他使用 LayerZero“默认配置”的网桥存在严重漏洞。 他声称这个漏洞允许 LayerZero 团队远程更改“默认接收库”或“任意修改消息有效负载”,这可以使团队绕过 Oracle 和 Relayer 以通过桥传输他们想要的任何消息。 这意味着当 LayerZero 以其默认配置使用时,它依赖于对 LayerZero 团队的信任而不是去中心化协议的安全性。
Prestwich 进一步声称 Stargate 存在此漏洞,因为它使用默认配置。 为了缓解此漏洞,Prestwich 建议使用 LayerZero 的应用程序开发人员更改其智能合约以更改配置。 但是,他说大多数 LayerZero 应用程序仍然使用默认配置,这使它们处于危险之中。
相关:跨链互操作性仍然是加密货币大规模采用的障碍
LayerZero 首席执行官 Bryan Pellegrino 在 1 月 30 日的一条推文中强烈否认了 Prestwich 的说法,称他们“极其不诚实”。
在 1 月 31 日与 Cointelegraph 的对话中,Pellegrino 表示所有验证库“永远是不可变的”。 该团队可以添加新库,但“永远不能更改、删除或对”已经存在的库做任何事情。 虽然团队可以将新库添加到注册表中,但如果应用程序已经选择了要使用的特定库或一组库,则 LayerZero 团队无法更改。
Pellegrino 承认,如果应用程序开发人员使用默认配置,则应用程序“指向”的库可以由 LayerZero 团队更改,但如果它已经离开默认配置,则不能。
至于 Prestwich 声称 Stargate 存在风险的说法,Pellegrino 回应称,StargateDAO 在 1 月 3 日投票决定将其库从默认库更改为更节能的特定库。 他预计这个图书馆的变化将在“本周(可能是今天)”实施。 一旦进行了此更新,“除非 Stargate 投票并自行更改,否则将永远无法更改它们。”
过去几年,跨链桥接安全一直是加密货币社区的热门话题,因为桥接黑客攻击造成了数百万美元的损失。 2022 年 5 月,Axie Infinity Ronin Bridge 被一名攻击者以 6 亿美元的价格利用,该攻击者窃取了开发者多重签名钱包的密钥,并在没有任何支持的情况下用它来铸造硬币。 2022 年 6 月 24 日发生了针对 Harmony Horizon Bridge 的类似攻击。在 Horizon 攻击中损失超过 1 亿美元。 Harmony 团队此后使用 LayerZero 协议重新启动了该桥。
