گزارش L2BEAT مدل امنیتی LayerZero را هدف قرار می دهد

پروتکل متقابل زنجیره ای ادعاها را رد می کند

LayerZero، پروتکلی که پیام‌رسانی را در زنجیره‌های بلوکی امکان‌پذیر می‌کند و توسط برنامه‌هایی که صدها میلیون دلار به آنها سپرده شده است استفاده می‌شود، در 5 ژانویه برای یک نقص امنیتی ادعایی مورد بررسی قرار گرفت.

A پست توسط کریستوف اوربانسکی از L2BEAT، یک وب سایت تحلیلی و تحقیقاتی که بر لایه 2 و bridges، نشان داد که چگونه یک برنامه زنجیره‌ای متقابل مستقر در LayerZero را می‌توان به راحتی پیکربندی کرد تا دارایی‌های کاربران را سرقت کند. این پیکربندی زمانی اتفاق می‌افتد که دو مؤلفه به نام اوراکل و رله توسط یک طرف کنترل شوند.

فناوری زنجیره‌ای متقابل LayerZero توسط برخی از بزرگترین پروتکل‌های DeFi از جمله صرافی‌های غیرمتمرکز مانند سوشی تعویض و PancakeSwap، و همچنین بلاک چین هایی مانند Aptos که بسیار تبلیغ شده است. 

Urbański با LayerZero مخالف است whitepaper، که نشان می دهد طراحی پروتکل تضمین می کند که Relayer نمی تواند با اوراکل تبانی کند. 

Urbański به The Defiant گفت: «[نویسندگان مقاله] حتی مستقیماً بیان می کنند که برای اینکه مکانیک آنها کار کند، لازم است که Oracle و Relayer مستقل باشند و با هم تبانی نکنند. اما این به توسعه دهندگان برنامه بستگی دارد که انتخاب کنند چه کسی به عنوان Oracle و Relayer خدمت می کند، بنابراین آنها آزادند آن را به گونه ای تنظیم کنند که واقعاً وابسته باشند و تبانی کنند.

این گزارش باعث نگرانی شد زیرا LayerZero خود را یک پروتکل "قابل اعتماد" در وایت پیپر خود می نامد. بی اعتمادی یک اصل اصلی است پروتکل های رمزنگاری، که در تلاش برای توسعه مکانیسم هایی اعم از اقتصادی یا فنی هستند که نیاز به دخالت انسان را از بین می برد. 

علاوه بر این، پروژه‌هایی که از LayerZero استفاده می‌کنند، اغلب دارایی‌ها را در میان بلاک چین‌ها جابه‌جا می‌کنند و این نوع برنامه‌های کاربردی زنجیره‌ای متقابل، به نام پل، یکی از آسیب پذیرترین زیربخش های ارزهای دیجیتال در سال 2022، با بیش از 1 میلیارد دلار از دست دادن به دلیل سوء استفاده.

رکورد سرقت 760 میلیون دلاری در جریان فیلم Hacktober

ماه بد برای امنیت دی‌فای، مشکلات مربوط به تمرینات چرخ آزاد را برجسته می‌کند

LayerZero پاسخ می دهد

تیم LayerZero Labs، شرکت سازنده پروتکل LayerZero، معتقد نیست که Urbański چیزی را که قبلاً اطلاعات عمومی نبوده را افشا می کند. 

رایان زریک، یکی از بنیانگذاران و مدیر ارشد فناوری LayerZero Labs، به The Defiant گفت: "پروتکل LayerZero فقط همین است، یک پروتکل." "شما می توانید چیزهای خوب و بد را در بالای آن بسازید. همانطور که می توانید چیزهای خوب و بد را در اینترنت و بلاک چین بسازید.

LayerZero را می توان برای طیف گسترده ای از موارد استفاده کرد - SushiSwap از این پروتکل برای تسهیل معاملات در سراسر بلاک چین استفاده می کند. یک تجمیع کننده بازده زنجیره ای نامیده می شود اتحاد در حال توسعه است. و پروژه‌ای به نام Gh0stly Gh0sts با NFT راه‌اندازی شد که می‌توانست از همان ابتدا با استفاده از LayerZero در ماه آوریل از بلاک چین عبور کند. 

باز کردن قفل تراکنش‌های بین بلاک‌چینی ایمن‌تر، امتیاز قابل توجهی برای صنعت کریپتو خواهد بود که از ناکارآمدی دارایی‌ها و اطلاعات ذخیره‌شده روی بلاک‌چین‌های منفرد رنج می‌برد. 

LayerZero یکی از پروژه‌های با سابقه برای تسهیل اتصال بین بلاک چین است - طبق گفته LayerZero Labs بودجه 213 میلیون دلاری جمع آوری کرده است. Crunchbase.

در این زمینه، پست Urbański یک هشدار مهم برای هر کسی است که این تصور را دارد که برنامه های ساخته شده بر روی LayerZero کاملاً ایمن هستند - هنوز جایی برای خطا وجود دارد.

انگیزه ی درونی

Zarick از LayerZero Labs یک انگیزه پنهان در پشت این گزارش می بیند.

او به The Defiant گفت: «مساله اصلی L2BEAT ها این است که آنها نمی توانند به راحتی همه برنامه های دارای لایه زیرو را با نگاه کردن به مجموعه ای از قراردادها نظارت کنند.

زاریک ادامه داد: «با پیچیده‌تر شدن برنامه‌های زنجیره‌ای متقابل، L2Beat باید ابزارهای نظارتی سفارشی و پیچیده بنویسد تا به درستی بر امنیت این برنامه‌ها نظارت کند. علامت‌گذاری همه برنامه‌های دارای LayerZero به‌عنوان ناامن و بی‌اعتبار کردن آن‌ها بسیار ساده‌تر از صرف زمان برای انجام کار واقعی در ارزیابی هر برنامه است.

اوربانسکی به The Defiant گفت که قصد ندارد هیچ پروتکلی را مشخص کند. ما نمی‌خواهیم این بحث فقط روی LayerZero متمرکز شود، ما از آن به عنوان مثال استفاده کردیم، اما هدف اصلی برجسته کردن مسائل امنیتی و برانگیختن بحث است.

برایان پلیگرون، مدیر عامل LayerZero Labs و Urbański در حال حرکت رو به جلو هستند. موافقت کرد برای بحث بیشتر در مورد این موضوع در فضای توییتر. اوربانسکی گفت: «نتیجه ایده‌آل برای ما این است که به نتایجی برسیم که هم LayerZero و هم کل اکوسیستم را ایمن‌تر می‌کند».