Protocolo de cadena cruzada descarta reclamos
LayerZero, un protocolo que permite la mensajería a través de cadenas de bloques y es utilizado por aplicaciones a las que se les confían cientos de millones de dólares, fue objeto de escrutinio el 5 de enero por una supuesta falla de seguridad.
A post por Krzysztof Urbański de L2BEAT, un sitio web de análisis e investigación que se centra en Capa 2s y puentes, mostró cómo una aplicación de cadena cruzada implementada en LayerZero podría reconfigurarse con relativa facilidad para robar los activos de los usuarios. La configuración ocurre cuando dos componentes, llamados Oracle y Relayer, son controlados por la misma parte.
La tecnología de cadena cruzada de LayerZero es utilizada por algunos de los protocolos más grandes de DeFi, incluidos los intercambios descentralizados como sushiintercambiar y PancakeSwap, así como blockchains como Aptos.
Urbański no está de acuerdo con LayerZero whitepaper, lo que indica que el diseño del protocolo garantiza que el Retransmisor no pueda coludirse con el Oráculo.
“[Los autores del artículo] incluso afirman directamente que para que su mecánica funcione, se requiere que Oracle y Relayer sean independientes y no estén en connivencia”, dijo Urbański a The Defiant. “Pero depende de los desarrolladores de aplicaciones elegir quién actúa como Oracle y Relayer, por lo que son libres de configurarlo de manera que realmente sean dependientes y que se confabulen”.
El informe llamó la atención porque LayerZero se llama a sí mismo un protocolo "sin confianza" en su documento técnico. La falta de confianza es un principio fundamental de protocolos de cifrado, que se esfuerzan por desarrollar mecanismos, ya sean económicos o técnicos, que eliminen la necesidad de intervención humana.
Además, los proyectos que usan LayerZero a menudo mueven activos a través de cadenas de bloques y este tipo de aplicaciones de cadenas cruzadas, llamadas puentes, fueron una de las más vulnerables subsectores de criptografía en 2022, con más de $ 1 mil millones perdidos por exploits.
Récord de 760 millones de dólares robados en exploits durante 'Hacktober'
Mal mes para la seguridad de DeFi destaca las trampas de las prácticas despreocupadas
LayerZero responde
El equipo de LayerZero Labs, la compañía detrás del protocolo LayerZero, no cree que Urbański estuviera exponiendo nada que no fuera información pública.
“El protocolo LayerZero es solo eso, un protocolo”, dijo a The Defiant Ryan Zarick, cofundador y CTO de LayerZero Labs. “Puedes construir cosas buenas y malas encima. Al igual que puedes construir cosas buenas y malas en Internet y blockchains”.
LayerZero se puede usar para una amplia gama de casos de uso: SushiSwap usa el protocolo para facilitar los intercambios entre cadenas de bloques. Un agregador de rendimiento de cadena cruzada llamado Unísono está en desarrollo. Y un proyecto llamado Gh0stly Gh0sts lanzado con NFT que podría cruzar cadenas de bloques desde el primer momento usando LayerZero en abril.
Desbloquear transacciones entre cadenas de bloques más seguras sería una gran ayuda para la industria de la criptografía, que sufre las ineficiencias de los activos y la información almacenada en bloques individuales.
LayerZero es uno de los proyectos de más alto perfil para facilitar la conectividad entre cadenas de bloques: LayerZero Labs ha recaudado $ 213 millones en fondos, según Crunchbase.
En este contexto, la publicación de Urbański es una advertencia importante para cualquiera que tenga la impresión de que las aplicaciones creadas en LayerZero son completamente seguras; todavía hay margen para el error.
Segundas intenciones
Zarick de LayerZero Labs ve un motivo oculto detrás del informe.
“El problema principal de L2BEAT es que no pueden monitorear universalmente todas las aplicaciones habilitadas para LayerZero observando un solo conjunto de contratos”, dijo a The Defiant.
“A medida que las aplicaciones de cadena cruzada se vuelven más complejas, se requiere que L2Beat escriba herramientas de monitoreo complicadas y personalizadas para monitorear adecuadamente la seguridad de estas aplicaciones”, continuó Zarick. “Es mucho más fácil marcar todas las aplicaciones habilitadas para LayerZero como inseguras y desacreditarlas que dedicar tiempo a evaluar cada aplicación”.
Urbański le dijo a The Defiant que no tenía la intención de destacar ningún protocolo. "No queremos que esta discusión se centre solo en LayerZero, lo usamos como ejemplo, pero el objetivo principal es resaltar los problemas de seguridad y provocar la discusión".
En el futuro, Bryan Pelligron, director ejecutivo de LayerZero Labs, y Urbański han de acuerdo para debatir más el asunto en un espacio de Twitter. “El resultado ideal para nosotros es que lleguemos a algunas conclusiones que harán que tanto LayerZero como todo el ecosistema sean más seguros”, dijo Urbański.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://thedefiant.io/l2beat-layerzero-security/
- 2022
- 7
- a
- Conforme
- a través de
- Aggregator
- Todos
- ya haya utilizado
- Analytics
- y
- nadie
- applicación
- Aplicación
- aplicaciones
- aplicaciones
- Abril
- Aptos
- Activos
- Autorzy
- Malo
- porque
- a las que has recomendado
- detrás de
- CREEMOS
- Mayor
- cadenas de bloqueo
- puentes
- general
- Bryan
- build
- construido
- , que son
- Calls
- no puede
- cases
- ceo
- Elige
- Co-founder
- cómo
- compañía
- completamente
- integraciones
- Complicado
- componentes
- Configuración
- Conectividad
- contexto
- continuado
- contratos
- controlado
- Core
- podría
- Cruz
- Cruz-Cadena
- CrunchBase
- cripto
- Industria criptográfica
- CTO
- datos
- debate
- Descentralizado
- intercambios descentralizados
- DeFi
- Seguridad DeFi
- dependiente
- desplegado
- Diseño
- desarrollar
- desarrolladores
- Desarrollo
- directamente
- discusión
- No
- dólares
- No
- durante
- cada una
- más fácil
- pasan fácilmente
- Economic
- ecosistema
- eliminarlos
- permite
- asegura
- encomendado
- error
- Incluso
- ejemplo
- Cambios
- exploits
- facilitar
- falla
- Focus
- se centra
- adelante
- Gratuito
- en
- universidad
- promover
- objetivo
- candidato
- que sucede
- Alta
- Destacar
- destacados
- Cómo
- HTTPS
- humana
- Cientos
- cientos de millones
- ideal
- importante
- in
- Incluye
- independientes
- Indica
- energético
- información
- Internet
- intervención
- cuestiones
- IT
- sí mismo
- Ene
- labs
- lanzado
- CAPA CERO
- Nivel
- mirando
- Inicio
- para lograr
- marca
- Materia
- mecánica
- mensajería
- millones
- modelo
- Monitorear
- monitoreo
- Mes
- más,
- movimiento
- ¿ Necesita ayuda
- NFTs
- ONE
- oráculo
- solicite
- PancakeSwap
- fiesta
- (PDF)
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- Publicación
- proyecto
- proyecta
- correctamente
- protocolo
- protocolos
- público
- elevado
- distancia
- relativamente
- reporte
- Requisitos
- la investigación
- sensible
- Conferencia
- Ryan
- Safer
- Said
- mismo
- seguro
- EN LINEA
- falla de seguridad
- ve
- servicio
- set
- importante
- soltero
- So
- algo
- Espacio
- Spark
- pasar
- Estado
- Sin embargo
- robada
- esforzarse
- Sufre
- SUSHI
- intercambio de sushi
- toma
- equipo
- Técnico
- Tecnología
- El
- El desafiante
- su
- cosas
- equipo
- a
- parte superior
- oficios
- Transacciones
- Espacio Twitter
- tipos
- bajo
- us
- utilizan el
- Página web
- sean
- que
- Blackpaper
- QUIENES
- seguirá
- Actividades:
- se
- escribir
- Rendimiento
- Usted
- Youtube
- zephyrnet
