پروتکل پل زدن LayerZero ادعای “آسیب پذیری بحرانی” را رد می کند

LayerZero پروتکلی است که توسط Stargate Bridge استفاده می شود و بیش از ۳۸۲ میلیون دلار در قراردادهای هوشمند قفل شده است.

جیمز پرستویچ بنیانگذار ساما مدافع پروتکل پل LayerZero 382 میلیون دلاری میزبان “آسیب پذیری های بحرانی”.

طبق ۳۰ ژانویه کارگردان به گفته پرستویچ، این آسیب پذیری “می تواند منجر به سرقت تمام سرمایه های کاربران شود.” برایان پلگرینو، مدیر عامل LayerZero، اتهامات پرستویچ را “کاملاً تکان دهنده” و “بسیار غیر صادقانه” خواند و استدلال کرد که این آسیب پذیری فقط برای برنامه هایی اعمال می شود که تنظیمات پیش فرض خود را تغییر نمی دهند.

واقعاً ما را شوکه می کند که رقبای ما اینقدر ناصادقانه درباره ما پست می کنند.خوشحالم که دارم @zellic_io @osec_io @ZOKY_io یا شرکت حسابرسی دیگری نظر خواهد داد و آن را پاک می کند، اما اجازه دهید خلاصه کنم.

اگر پیکربندی خود را تنظیم کنید، اصلاً اینطور نیست https://t.co/zXdqkqO4rZ

— برایان پلگرینو (@PrimordialAA) ۳۰ ژانویه ۲۰۲۳

LayerZero پروتکلی است که برای ایجاد پل های زنجیره بلوکی استفاده می شود. قابل توجه ترین کاربرد آن پل Stargate است که می تواند برای جابجایی سکه ها بین چندین شبکه بلاک چین مختلف مانند اتریوم، BNB Chain (BNB)، Avalanche (AVAX) و Polygon (MATIC) استفاده شود. طبق گفته DeFi Llama، Stargate تا ۳۰ ژانویه در مجموع ۳۸۲ میلیون دلار در قراردادهای هوشمند قفل شده (TVL) دارد.

طبق مقاله سفید خود، پروتکل LayerZero یک روش غیرقابل اعتماد برای انتقال ارزهای دیجیتال از یک شبکه به شبکه دیگر ارائه می دهد. این کار با استفاده از اوراکل‌ها و رله‌ها انجام می‌شود تا اطمینان حاصل شود که سکه‌ها روی یک زنجیره قفل می‌شوند قبل از اینکه روی زنجیره دیگری ضرب شوند. تا زمانی که اوراکل و رله مستقل نباشند و با یکدیگر تبانی نکنند، امکان ضرب سکه در زنجیره مقصد بدون قفل شدن روی زنجیره اصلی وجود ندارد.

با این حال، Prestwich در یک پست وبلاگی در ۳۰ ژانویه ادعا کرد که Stargate و سایر پل هایی که از “پیکربندی پیش فرض” LayerZero استفاده می کنند، به شدت آسیب پذیر هستند. او ادعا کرد که این آسیب‌پذیری به تیم LayerZero اجازه می‌دهد تا «کتابخانه ورودی پیش‌فرض» را از راه دور تغییر دهد و «خودسرانه بار پیام را تغییر دهد». این به تیم اجازه می دهد تا Oracle و Relayer را دور بزند و پیام های مورد نظر را از طریق پل ارسال کند. این بدان معناست که وقتی LayerZero در پیکربندی پیش‌فرض خود استفاده می‌شود، امنیت آن به اعتماد به تیم LayerZero متکی است، نه به یک پروتکل غیرمتمرکز.

پرستویچ همچنین ادعا کرد که Stargate از این آسیب پذیری رنج می برد زیرا از تنظیمات پیش فرض استفاده می کند. برای کاهش این آسیب‌پذیری، Prestwich به توسعه‌دهندگان اپلیکیشن‌ها توصیه می‌کند از LayerZero استفاده کنند تا قراردادهای هوشمند خود را تغییر دهند تا پیکربندی خود را تغییر دهند. با این حال، اکثر برنامه های LayerZero هنوز از تنظیمات پیش فرض استفاده می کنند که آنها را در معرض خطر قرار می دهد.

مربوط: قابلیت همکاری متقابل زنجیره ای همچنان مانعی برای پذیرش انبوه ارزهای دیجیتال است

برایان پلگرینو، مدیر عامل LayerZero در ۳۰ ژانویه در توییتی ادعاهای پرستویچ را به شدت رد کرد و آنها را “بسیار نادرست” خواند.

در گفتگوی ۳۱ ژانویه با Cointelegraph، پلگرینو گفت که تمام کتابخانه‌های اعتبارسنجی «همیشه تغییر ناپذیر هستند». تیم‌ها می‌توانند کتابخانه‌های جدیدی اضافه کنند، اما “نمی‌توانند تغییر دهند، حذف کنند، یا کاری انجام دهند” به کتابخانه‌های موجود. تیم‌ها می‌توانند کتابخانه‌های جدیدی را به رجیستری اضافه کنند، اما اگر قبلاً یک کتابخانه یا مجموعه‌ای از کتابخانه‌ها را برای استفاده برنامه خود انتخاب کرده‌اید، تیم LayerZero نمی‌تواند آن را تغییر دهد.

Pellegrino اذعان کرد که تیم LayerZero می‌تواند کتابخانه‌ای را که برنامه‌نویس به آن اشاره می‌کند، تغییر دهد، اگر توسعه‌دهنده برنامه از پیش‌فرض‌ها استفاده کند، اما نه اگر قبلاً از پیکربندی پیش‌فرض دور شده باشند.

در مورد ادعای Prestwitch مبنی بر اینکه Stargate در خطر است، Pellegrino پاسخ داد که Stargate DAO در ۳ ژانویه رای داد تا کتابخانه را از پیش فرض به یک کتابخانه خاص با کارآمدتر گاز تغییر دهد. او انتظار دارد این تغییر کتابخانه “این هفته (احتمالاً امروز) اجرا شود. )” هنگامی که این به روز رسانی ساخته شد، گفت: “این را نمی توان تغییر داد مگر اینکه Stargate رای دهد و خودش آن را تغییر دهد.”

امنیت پل های زنجیره ای یکی از موضوعات داغ در جامعه ارزهای دیجیتال در چند سال گذشته بوده است، زیرا میلیون ها دلار به دلیل هک پل ها از دست رفته است. در می ۲۰۲۲، پل Axie Infinity Ronin به مبلغ ۶۰۰ میلیون دلار توسط مهاجمانی مورد سوء استفاده قرار گرفت که کلیدهای کیف پول چند سیمی سازنده را دزدیدند و از آنها برای ضرب سکه بدون پشتوانه استفاده کردند. حمله مشابهی علیه پل هارمونی هوریزون در ۲۴ ژوئن ۲۰۲۲ رخ داد. بیش از ۱۰۰ میلیون دلار در حمله Horizon از دست رفت. تیم Harmony از آن زمان پل را با استفاده از پروتکل LayerZero مجددا راه اندازی کرده است.

نویسنده: Tom Blackstone