Le protocole inter-chaînes rejette les réclamations
LayerZero, un protocole qui permet la messagerie à travers les chaînes de blocs et est utilisé par des applications chargées de centaines de millions de dollars, a fait l'objet d'un examen minutieux le 5 janvier pour une prétendue faille de sécurité.
A poster par Krzysztof Urbański de L2BEAT, un site Web d'analyse et de recherche qui se concentre sur Couche 2 et les ponts, ont montré comment une application inter-chaînes déployée sur LayerZero pouvait être reconfigurée relativement facilement pour voler les actifs des utilisateurs. La configuration se produit lorsque deux composants, appelés Oracle et Relayer, sont contrôlés par la même partie.
La technologie inter-chaînes de LayerZero est utilisée par certains des plus grands protocoles de DeFi, y compris des échanges décentralisés comme Échange de sushis et PancakeSwap, ainsi que des blockchains comme le très médiatisé Aptos.
Urbański n'est pas d'accord avec LayerZero whitepaper, ce qui indique que la conception du protocole garantit que le relayeur ne peut pas être de connivence avec l'Oracle.
"[Les auteurs de l'article] déclarent même directement que pour que leurs mécanismes fonctionnent, il faut qu'Oracle et Relayer soient indépendants et ne soient pas de connivence", a déclaré Urbański à The Defiant. "Mais c'est aux développeurs d'applications de choisir qui sert d'Oracle et de Relayer, ils sont donc libres de le configurer de manière à ce qu'ils soient réellement dépendants et qu'ils soient de connivence."
Le rapport a soulevé des sourcils parce que LayerZero se qualifie de protocole "sans confiance" dans son livre blanc. L'absence de confiance est un principe fondamental de protocoles de chiffrement, qui s'efforcent de développer des mécanismes, qu'ils soient économiques ou techniques, qui éliminent le besoin d'intervention humaine.
De plus, les projets qui utilisent LayerZero déplacent souvent des actifs à travers les chaînes de blocs et ces types d'applications inter-chaînes, appelées ponts, étaient l'un des les plus vulnérables sous-secteurs de la cryptographie en 2022, avec plus d'un milliard de dollars perdus à cause d'exploits.
Record de 760 millions de dollars volés dans des exploits pendant "Hacktober"
Un mauvais mois pour DeFi Security met en évidence les pièges des pratiques en roue libre
LayerZero répond
L'équipe de LayerZero Labs, la société à l'origine du protocole LayerZero, ne pense pas qu'Urbański ait exposé quoi que ce soit qui n'était pas déjà une information publique.
"Le protocole LayerZero n'est que cela, un protocole", a déclaré Ryan Zarick, co-fondateur et CTO de LayerZero Labs, à The Defiant. «Vous pouvez construire de bonnes et de mauvaises choses par-dessus. Tout comme vous pouvez construire de bonnes et de mauvaises choses sur Internet et les blockchains.
LayerZero peut être utilisé pour un large éventail de cas d'utilisation - SushiSwap utilise le protocole pour faciliter les échanges entre les chaînes de blocs. Un agrégateur de rendement inter-chaîne appelé Unisson est en développement. Et un projet appelé Gh0stly Gh0sts lancé avec des NFT qui pourraient traverser les blockchains dès le départ en utilisant LayerZero en avril.
Déverrouiller des transactions inter-blockchain plus sûres serait une aubaine importante pour l'industrie de la cryptographie, qui souffre de l'inefficacité des actifs et des informations cloisonnés sur des blockchains uniques.
LayerZero est l'un des projets les plus en vue pour faciliter la connectivité inter-blockchain - LayerZero Labs a levé 213 millions de dollars de financement, selon Crunchbase.
Dans ce contexte, le message d'Urbański est une mise en garde importante pour quiconque a l'impression que les applications construites sur LayerZero sont complètement sécurisées - il y a encore place à l'erreur.
Arrière-pensée
Zarick de LayerZero Labs voit une arrière-pensée derrière le rapport.
"Le principal problème de L2BEAT est qu'ils ne peuvent pas facilement surveiller de manière universelle toutes les applications compatibles LayerZero en examinant un seul ensemble de contrats", a-t-il déclaré à The Defiant.
"Alors que les applications inter-chaînes deviennent plus complexes, L2Beat est tenu d'écrire des outils de surveillance personnalisés et complexes pour surveiller correctement la sécurité de ces applications", a poursuivi Zarick. "Il est beaucoup plus facile de marquer toutes les applications compatibles LayerZero comme non sécurisées et de les discréditer que de passer du temps à faire le travail réel d'évaluation de chaque application."
Urbański a déclaré à The Defiant qu'il n'avait pas l'intention de distinguer un protocole. "Nous ne voulons pas que cette discussion se concentre uniquement sur LayerZero, nous l'avons utilisé comme exemple, mais l'objectif principal est de mettre en évidence les problèmes de sécurité et de susciter la discussion."
À l'avenir, Bryan Pelligron, PDG de LayerZero Labs, et Urbański ont convenu pour débattre davantage de la question sur un espace Twitter. "Le résultat idéal pour nous est que nous arrivions à des conclusions qui rendront à la fois LayerZero et l'ensemble de l'écosystème plus sûrs", a déclaré Urbański.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
- La source: https://thedefiant.io/l2beat-layerzero-security/
- 2022
- 7
- a
- Selon
- à travers
- actually
- Aggregator
- Tous
- déjà
- analytique
- ainsi que
- chacun.e
- appli
- Application
- applications
- applications
- Avril
- Aptos
- Outils
- auteurs
- Mal
- car
- devenez
- derrière
- CROYONS
- Le plus grand
- blockchains
- ponts
- vaste
- Bryan
- construire
- construit
- appelé
- Appels
- ne peut pas
- cas
- CEO
- Selectionnez
- Co-fondateur
- comment
- Société
- complètement
- complexe
- compliqué
- composants électriques
- configuration
- Connectivité
- contexte
- a continué
- contrats
- contrôlée
- Core
- pourriez
- Cross
- Cross-Chain
- CrunchBase
- Crypto
- Crypto Industry
- CTO
- données
- débat
- Décentralisé
- échanges-décentralisés
- DeFi
- Sécurité DeFi
- dépendant
- déployé
- Conception
- développer
- mobiles
- Développement
- directement
- spirituelle
- Ne fait pas
- dollars
- Ne pas
- pendant
- chacun
- plus facilement
- même
- Économique
- risque numérique
- éliminé
- permet
- Assure
- confié
- erreur
- Pourtant, la
- exemple
- Échanges
- exploits
- faciliter
- défaut
- Focus
- se concentre
- Avant
- Test d'anglais
- de
- financement
- plus
- objectif
- Bien
- arrive
- Haute
- Souligner
- Faits saillants
- Comment
- HTTPS
- humain
- Des centaines
- des centaines de millions
- idéal
- important
- in
- Y compris
- indépendant
- indique
- industrie
- d'information
- Internet
- intervention
- aide
- vous aider à faire face aux problèmes qui vous perturbent
- IT
- lui-même
- Janvier
- Labs
- lancé
- COUCHEZÉRO
- Niveau
- recherchez-
- Entrée
- faire
- marque
- Matière
- mécanique
- messagerie
- des millions
- modèle
- Surveiller
- Stack monitoring
- Mois
- PLUS
- Bougez
- Besoin
- NFTs
- ONE
- oracle
- de commander
- échange de crêpes
- fête
- Platon
- Intelligence des données Platon
- PlatonDonnées
- Post
- Projet
- projets
- correctement
- protocole
- protocoles
- public
- collectés
- gamme
- relativement
- rapport
- conditions
- un article
- sensible
- Salle
- Ryan
- plus sûre
- Saïd
- même
- sécurisé
- sécurité
- défaut de sécurité
- voit
- service
- set
- significative
- unique
- So
- quelques
- Space
- Spark
- passer
- Région
- Encore
- volé
- s'efforcer
- Souffre
- SUSHI
- échange de sushis
- prend
- équipe
- Technique
- Technologie
- La
- Le defiant
- leur
- des choses
- fiable
- à
- les outils
- top
- métiers
- Transactions
- Espace Twitter
- types
- sous
- us
- utilisé
- Site Web
- que
- qui
- Whitepaper
- WHO
- sera
- Activités:
- pourra
- écrire
- Rendement
- Vous
- Youtube
- zéphyrnet
