L2BEAT aruanne võtab sihiks LayerZero turbemudeli

Cross-Chain Protocol lükkab pretensioonid tagasi

LayerZero, protokoll, mis võimaldab sõnumivahetust plokiahelate vahel ja mida kasutavad rakendused, kellele on usaldatud sadu miljoneid dollareid, sattus 5. jaanuaril vaatluse alla väidetava turvavea tuvastamiseks.

A pärast Krzysztof Urbański L2BEATist, analüüsi- ja uurimistöö veebisaidist, mis keskendub Kiht 2s ja sillad, näitasid, kuidas LayerZero's juurutatud ahelatevahelist rakendust saab suhteliselt lihtsalt ümber seadistada, et varastada kasutajate varasid. Konfigureerimine toimub siis, kui kahte komponenti, mida nimetatakse Oracle'iks ja Relayeriks, juhib sama osapool.

LayerZero ahelatevahelist tehnoloogiat kasutavad mõned DeFi suurimad protokollid, sealhulgas detsentraliseeritud vahetused, nagu Sushi vahetus ja PancakeSwap, aga ka plokiahelad nagu palju kära tekitanud Aptos. 

Urbański ei nõustu LayerZeroga lühiülevaade, mis näitab, et protokolli ülesehitus tagab, et Relayer ei saa Oracle'iga koostööd teha. 

"[Artikli autorid] väidavad isegi otse, et nende mehaanika toimimiseks peavad Oracle ja Relayer olema sõltumatud ega tee koostööd," ütles Urbański ajalehele The Defiant. "Kuid rakenduste arendajad saavad valida, kes töötab Oracle'i ja Relayerina, nii et nad võivad vabalt seadistada selle nii, et nad on tegelikult sõltuvad ja teevad koostööd."

Aruanne pani kulmu kergitama, sest LayerZero nimetab end oma paberil "usaldamatuks" protokolliks. Usaldamatus on selle põhiprintsiip krüptoprotokollid, mis püüavad välja töötada majanduslikke või tehnilisi mehhanisme, mis välistavad vajaduse inimese sekkumise järele. 

Lisaks liigutavad LayerZero't kasutavad projektid sageli varasid üle plokiahelate ja seda tüüpi ahelatevahelised rakendused, mida nimetatakse sildadeks, olid üks kõige haavatavamate krüpto alamsektorid 2022. aastal, kusjuures ärakasutamise tõttu kaotati üle 1 miljardi dollari.

Hacktoberi ajal varastati vägitegude käigus rekordiline 760 miljonit dollarit

DeFi turvalisuse jaoks halb kuu toob esile vabakäigul esinevad lõksud

LayerZero vastab

LayerZero protokolli taga oleva ettevõtte LayerZero Labsi meeskond ei usu, et Urbański paljastas midagi, mis polnud juba avalik teave. 

"LayerZero protokoll on just see, protokoll," ütles LayerZero Labsi kaasasutaja ja CTO Ryan Zarick ajalehele The Defiant. “Selle peale saab ehitada häid ja halbu asju. Nii nagu Internetis ja plokiahelates saab ehitada häid ja halbu asju.

LayerZero't saab kasutada mitmesugustel kasutusjuhtudel – SushiSwap kasutab protokolli, et hõlbustada kauplemist plokiahelate vahel. Ahelaülene tootluse koondaja nimega Unisoon on väljatöötamisel. Ja NFT-dega käivitati projekt nimega Gh0stly Gh0sts, mis võiks aprillis LayerZero abil plokiahelaid algusest peale ületada. 

Ohutumate plokiahelatevaheliste tehingute avamine oleks märkimisväärne õnnistus krüptotööstusele, mis kannatab üksikutele plokiahelatele paigutatud varade ja teabe ebatõhususe tõttu. 

LayerZero on üks kõrgeima profiiliga projekte, mis hõlbustab plokiahelatevahelist ühenduvust – LayerZero Labs on rahastanud 213 miljonit dollarit. Crunchbase.

Selles kontekstis on Urbański postitus oluline hoiatus kõigile, kes tunnevad, et LayerZerole ehitatud rakendused on täiesti turvalised – vigadeks on veel ruumi.

Varjatud motiiv

LayerZero Labsi Zarick näeb raporti taga varjatud motiivi.

"L2BEATi peamine probleem on see, et nad ei saa lihtsalt kõiki LayerZero-toega rakendusi jälgida, vaadates ühte lepingute komplekti," ütles ta The Defiantile.

"Kuna ahelatevahelised rakendused muutuvad keerukamaks, peab L2Beat nende rakenduste turvalisuse nõuetekohaseks jälgimiseks kirjutama kohandatud ja keerukaid jälgimistööriistu," jätkas Zarick. "Kõiki LayerZero-toega rakendusi on palju lihtsam märkida ebaturvalisteks ja neid diskrediteerida, kui kulutada aega iga rakenduse hindamisele."

Urbański ütles The Defiantile, et ta ei kavatse ühtegi protokolli eraldi välja tuua. "Me ei taha, et see arutelu keskenduks ainult LayerZerole, kasutasime seda näitena, kuid peamine eesmärk on tegelikult turvaprobleemid esile tõsta ja arutelu käivitada."

Edasi liikudes on LayerZero Labsi tegevjuht Bryan Pelligron ja Urbański kokkulepitud et seda teemat Twitteri ruumis edasi arutada. "Meie jaoks on ideaalne tulemus see, et teeme mõned järeldused, mis muudavad nii LayerZero kui ka kogu ökosüsteemi turvalisemaks," ütles Urbański.