L2BEAT-rapporten tager sigte på LayerZero's sikkerhedsmodel

Cross-Chain Protocol afviser krav

LayerZero, en protokol, der muliggør meddelelser på tværs af blockchains og bruges af applikationer, der er betroet med hundredvis af millioner af dollars, blev undersøgt den 5. januar for en påstået sikkerhedsfejl.

A indlæg af Krzysztof Urbański fra L2BEAT, et analyse- og forskningswebsted, der fokuserer på Lag 2s og broer, viste, hvordan en cross-chain-applikation installeret på LayerZero relativt nemt kunne omkonfigureres til at stjæle brugernes aktiver. Konfigurationen sker, når to komponenter, kaldet Oracle og Relayer, styres af den samme part.

LayerZeros tværkædeteknologi bruges af nogle af DeFis største protokoller, herunder decentraliserede udvekslinger som f.eks. SushiByt og PancakeSwap, samt blockchains som den meget hypede Aptos. 

Urbański er uenig med LayerZero's whitepaper, hvilket indikerer, at protokollens design sikrer, at Relayeren ikke kan samarbejde med Oracle. 

"[Avisens forfattere] siger endda direkte, at for at deres mekanik skal fungere, kræves det, at Oracle og Relayer er uafhængige og ikke samarbejder," fortalte Urbański til The Defiant. "Men det er op til app-udviklere at vælge, hvem der fungerer som Oracle og Relayer, så de er frie til at konfigurere det på en måde, så de faktisk er afhængige, og at de indgår aftaler."

Rapporten løftede øjenbrynene, fordi LayerZero kalder sig selv en "tillidsløs" protokol i sin hvidbog. Tillidsløshed er en kerne i kryptoprotokoller, som stræber efter at udvikle mekanismer, hvad enten de er økonomiske eller tekniske, som eliminerer behovet for menneskelig indgriben. 

Ydermere flytter projekter, der bruger LayerZero ofte aktiver på tværs af blockchains, og disse typer af tværkædede applikationer, kaldet broer, var en af ​​de mest sårbare undersektorer af krypto i 2022, med over $1 mia tabt på grund af udnyttelser.

Rekordstor $760 mio. stjålet i udnyttelser under 'Hacktober'

Dårlig måned for DeFi-sikkerhed fremhæver faldgruberne ved friløbspraksis

LayerZero reagerer

Holdet hos LayerZero Labs, virksomheden bag LayerZero-protokollen, tror ikke på, at Urbański afslørede noget, der ikke allerede var offentlig information. 

"LayerZero-protokollen er netop det, en protokol," fortalte Ryan Zarick, medstifter og CTO hos LayerZero Labs, til The Defiant. "Man kan bygge gode og dårlige ting ovenpå det. Ligesom du kan bygge gode og dårlige ting på internettet og blockchains.”

LayerZero kan bruges til en bred vifte af brugssager - SushiSwap bruger protokollen til at lette handler på tværs af blockchains. En krydskædet udbytteaggregator kaldet Unison er i udvikling. Og et projekt kaldet Gh0stly Gh0sts blev lanceret med NFT'er, som kunne krydse blockchains fra starten ved hjælp af LayerZero i april. 

Oplåsning af sikrere inter-blockchain-transaktioner ville være en betydelig velsignelse for kryptoindustrien, som lider under ineffektiviteten af ​​aktiver og information, der er indkapslet i enkelte blockchains. 

LayerZero er et af de højest profilerede projekter for at lette inter-blockchain-forbindelse - LayerZero Labs har rejst $213M i finansiering, ifølge CrunchBase.

I denne sammenhæng er Urbańskis indlæg en vigtig advarsel for alle, der har indtryk af, at apps bygget på LayerZero er fuldstændig sikre - der er stadig plads til fejl.

Bagtanker

LayerZero Labs' Zarick ser en bagtanke bag rapporten.

"L2BEATs hovedproblem er, at de ikke nemt kan overvåge alle LayerZero-aktiverede applikationer ved at se på et enkelt sæt kontrakter," sagde han til The Defiant.

"Efterhånden som applikationer på tværs af kæder bliver mere komplekse, er L2Beat forpligtet til at skrive tilpassede og komplicerede overvågningsværktøjer for korrekt at overvåge sikkerheden af ​​disse applikationer," fortsatte Zarick. "Det er langt nemmere at markere alle LayerZero-aktiverede applikationer som usikre og miskreditere dem end at bruge tid på at udføre det faktiske arbejde med at evaluere hver app."

Urbański fortalte The Defiant, at han ikke havde til hensigt at fremhæve nogen protokol. "Vi ønsker ikke, at denne diskussion kun skal fokusere på LayerZero, vi brugte den som et eksempel, men hovedmålet er faktisk at fremhæve sikkerhedsproblemerne og sætte gang i diskussionen."

Fremover har Bryan Pelligron, administrerende direktør for LayerZero Labs, og Urbański aftalt at debattere sagen yderligere på et Twitter Space. "Det ideelle resultat for os er, at vi kommer ud med nogle konklusioner, der vil gøre både LayerZero og hele økosystemet sikrere," sagde Urbański.