LayerZero پروتکلی است که توسط پل Stargate استفاده می شود که بیش از 382 میلیون دلار در قراردادهای هوشمند آن قفل شده است.
جیمز پرستویچ، بنیانگذار ساما متهم پروتکل پل زدن 382 میلیون دلاری LayerZero که میزبان یک “آسیب پذیری بحرانی” است.
تا 30 ژانویه پیام توسط Prestwich، این آسیب پذیری “می تواند منجر به سرقت تمام سرمایه های کاربران شود.” برایان پلگرینو، مدیر عامل LayerZero، اتهام پرستویچ را “کاملاً تکان دهنده” و “بسیار نادرست” خواند و مدعی شد که این آسیب پذیری فقط برای برنامه هایی اعمال می شود که پیکربندی پیش فرض را تغییر نمی دهند.
برای یک رقیب کاملاً تکان دهنده است که پستی بسیار نادرست درباره ما ارسال کند. من خوشحالم که دارم @zellic_io @osec_io @ZOKYO_io یا هر موسسه حسابرسی می تواند بیاید و نظر بدهد، اما بگذارید خلاصه کنم.
اگر پیکربندی خود را تنظیم کنید هیچ یک از اینها کاملاً صحیح نیست https://t.co/zXdqkqO4rZ
– برایان پلگرینو (@PrimordialAA) 30 ژانویه 2023
LayerZero پروتکلی برای ساخت پل های زنجیره بلوکی متقابل است. قابل توجه ترین کاربرد آن Stargate Bridge است که می تواند برای جابجایی پول بین چندین شبکه بلاک چین مختلف از جمله اتریوم، BNB Chain (BNB)، Avalanche (AVAX)، Polygon (MATIC) و غیره استفاده شود. طبق گفته DeFi Llama، قراردادهای هوشمند Stargate تا 30 ژانویه دارای ارزش کل قفل شده (TVL) 382 میلیون دلاری هستند.
طبق مقاله سفید خود، پروتکل LayerZero راهی قابل اعتماد برای انتقال ارزهای دیجیتال از یک شبکه به شبکه دیگر ارائه می دهد. این کار را با استفاده از Oracle و Relayer انجام میدهد تا تأیید کند که سکهها در یک زنجیره قفل شدهاند، قبل از اینکه سکهها روی یک زنجیره دیگر ضرب شوند. تا زمانی که Oracle و Relayer مستقل هستند و با یکدیگر تبانی نمی کنند، ضرب سکه در زنجیره هدف بدون قفل شدن روی زنجیره اصلی غیرممکن است.
با این حال، Prestwich در یک پست وبلاگی در 30 ژانویه ادعا کرد که Stargate و سایر پلهایی که از “پیکربندی پیشفرض” برای LayerZero استفاده میکنند، از یک آسیبپذیری حیاتی رنج میبرند. ادعا کرد که این آسیبپذیری به تیم LayerZero اجازه میدهد از راه دور «کتابخانه دریافت پیشفرض» یا «تغییر خودسرانه بارهای پیام» را تغییر دهد. این بدان معناست که وقتی LayerZero با پیکربندی پیشفرض خود استفاده میشود، امنیت آن به جای یک پروتکل غیرمتمرکز به اعتماد به تیم LayerZero متکی است.
Prestwich همچنین ادعا کرد که Stargate از این آسیب پذیری رنج می برد زیرا از پیکربندی پیش فرض استفاده می کند. برای کاهش این آسیبپذیری، Prestwich به توسعهدهندگان برنامهها توصیه میکند که از LayerZero استفاده کنند تا قراردادهای هوشمند خود را برای تغییر پیکربندی تغییر دهند. با این حال، می گوید که اکثر پیاده سازی های LayerZero هنوز از پیکربندی پیش فرض استفاده می کنند، بنابراین آنها را در معرض خطر قرار می دهد.
مربوط: قابلیت همکاری متقابل زنجیره ای همچنان مانع پذیرش انبوه رمزارزها می شود
برایان پلگرینو، مدیر عامل LayerZero، اتهامات پرستویچ را به شدت در توییتی در ژانویه رد کرد.
در گفتگو با Cointelegraph در 31 ژانویه، Pellegrino اظهار داشت که تمام کتابخانه های اعتبارسنجی “برای همیشه تغییر ناپذیر، نقطه.” این تیم میتواند کتابخانههای جدیدی اضافه کند، اما «هرگز به کتابخانههای موجود تغییر، حذف یا انجام ندهید». در حالی که تیم میتواند کتابخانههای جدیدی را به رجیستری اضافه کند، اگر برنامهای قبلاً کتابخانه یا مجموعهای از کتابخانههای خاص را برای استفاده انتخاب کرده باشد، تیم LayerZero نمیتواند آن را تغییر دهد.
Pellegrino تصدیق کرد که اگر توسعهدهنده برنامه از تنظیمات پیشفرض استفاده میکند، اما قبلاً از پیکربندی پیشفرض فاصله گرفته باشد، میتوان کتابخانهای را که یک برنامه به آن اشاره میکند، توسط تیم LayerZero تغییر داد.
در مورد ادعای Prestwich مبنی بر اینکه Stargate در خطر است، Pellegrino در پاسخ گفت که StargateDAO در 3 ژانویه رای داد تا کتابخانه خود را از پیش فرض به کتابخانه ای خاص که از نظر مصرف گاز کارآمدتر است تغییر دهد. انتظار دارد این تغییر کتابخانه “این هفته (احتمالا امروز)” اجرا شود. هنگامی که این به روز رسانی انجام شد، “این هرگز در مورد آنها تغییر نخواهد کرد مگر اینکه Stargate رای دهد و خودش آن را تغییر دهد.”
امنیت پل زنجیرهای متقاطع در چند سال گذشته موضوع داغی در جامعه کریپتو بوده است، زیرا میلیونها دلار به دلیل حملات پل از دست رفته است. در می 2022، Axie Infinity Ronin Bridge به مبلغ 600 میلیون دلار توسط مهاجمی مورد سوء استفاده قرار گرفت که کلیدهای کیف پول چند سیگ توسعه دهندگان را دزدید و از آن برای ضرب سکه بدون هیچ گونه پشتیبانی استفاده کرد. حمله مشابهی در 24 ژوئن 2022 علیه پل هارمونی هوریزون انجام شد. بیش از 100 میلیون دلار در حمله Horizon از دست رفت. تیم Harmony از آن زمان پل را با استفاده از پروتکل LayerZero راه اندازی مجدد کرده است.
نویسنده: Tom Blackstone
