Il protocollo cross-chain respinge le affermazioni
LayerZero, un protocollo che consente la messaggistica attraverso blockchain ed è utilizzato da applicazioni a cui sono affidate centinaia di milioni di dollari, è stato esaminato il 5 gennaio per una presunta falla di sicurezza.
A settimana di Krzysztof Urbański di L2BEAT, un sito web di analisi e ricerca che si concentra su Livello 2 e bridge, hanno mostrato come un'applicazione cross-chain distribuita su LayerZero potrebbe essere riconfigurata in modo relativamente semplice per rubare le risorse degli utenti. La configurazione avviene quando due componenti, chiamati Oracle e Relayer, sono controllati dalla stessa parte.
La tecnologia cross-chain di LayerZero è utilizzata da alcuni dei più grandi protocolli di DeFi, inclusi scambi decentralizzati come Sushi Swap e PancakeSwap, oltre a blockchain come il tanto pubblicizzato Aptos.
Urbanski non è d'accordo con LayerZero whitepaper, che indica che il design del protocollo garantisce che il Relayer non possa colludere con Oracle.
"[Gli autori del documento] affermano persino direttamente che, affinché i loro meccanismi funzionino, è necessario che Oracle e Relayer siano indipendenti e non colludano", ha detto Urbański a The Defiant. "Ma spetta agli sviluppatori di app scegliere chi funge da Oracle e Relayer, quindi sono liberi di configurarlo in modo che siano effettivamente dipendenti e collusi".
Il rapporto ha sollevato le sopracciglia perché LayerZero si definisce un protocollo "trustless" nel suo white paper. L'inaffidabilità è un principio fondamentale di protocolli crittografici, che si sforzano di sviluppare meccanismi, economici o tecnici, che eliminino la necessità dell'intervento umano.
Inoltre, i progetti che utilizzano LayerZero spesso spostano risorse attraverso blockchain e questi tipi di applicazioni cross-chain, chiamate bridge, sono stati uno dei più vulnerabili sottosettori delle criptovalute nel 2022, con oltre 1 miliardo di dollari persi a causa di exploit.
Record di $ 760 milioni rubati in exploit durante "Hacktober"
Il mese negativo per la sicurezza DeFi evidenzia le insidie delle pratiche a ruota libera
LayerZero risponde
Il team di LayerZero Labs, la società dietro il protocollo LayerZero, non crede che Urbański stesse esponendo qualcosa che non fosse già un'informazione pubblica.
"Il protocollo LayerZero è proprio questo, un protocollo", ha detto a The Defiant Ryan Zarick, co-fondatore e CTO di LayerZero Labs. “Puoi costruire cose buone e cattive sopra di esso. Proprio come puoi costruire cose buone e cattive su Internet e blockchain.
LayerZero può essere utilizzato per un'ampia gamma di casi d'uso: SushiSwap utilizza il protocollo per facilitare gli scambi tra blockchain. Un aggregatore di rendimento cross-chain chiamato Unisono è in fase di sviluppo. E un progetto chiamato Gh0stly Gh0sts è stato lanciato con NFT che potrebbero attraversare blockchain fin dall'inizio utilizzando LayerZero ad aprile.
Sbloccare transazioni inter-blockchain più sicure sarebbe un vantaggio significativo per l'industria delle criptovalute, che soffre delle inefficienze delle risorse e delle informazioni isolate su singole blockchain.
LayerZero è uno dei progetti di più alto profilo per facilitare la connettività inter-blockchain — LayerZero Labs ha raccolto finanziamenti per 213 milioni di dollari, secondo Crunchbase.
In questo contesto, il post di Urbański è un avvertimento importante per chiunque abbia l'impressione che le app create su LayerZero siano completamente sicure: c'è ancora spazio per l'errore.
Motivo ulteriore
Zarick di LayerZero Labs vede un ulteriore motivo dietro il rapporto.
"Il problema principale di L2BEAT è che non possono facilmente monitorare universalmente tutte le applicazioni abilitate a LayerZero esaminando un singolo insieme di contratti", ha dichiarato a The Defiant.
"Man mano che le applicazioni cross-chain diventano più complesse, L2Beat deve scrivere strumenti di monitoraggio personalizzati e complicati per monitorare adeguatamente la sicurezza di queste applicazioni", ha continuato Zarick. "È molto più semplice contrassegnare tutte le applicazioni abilitate per LayerZero come non sicure e screditarle piuttosto che dedicare il tempo a svolgere il lavoro effettivo nella valutazione di ciascuna app".
Urbański ha detto a The Defiant che non intendeva individuare alcun protocollo. "Non vogliamo che questa discussione si concentri solo su LayerZero, l'abbiamo usato come esempio, ma l'obiettivo principale è evidenziare effettivamente i problemi di sicurezza e stimolare la discussione."
Andando avanti, Bryan Pelligron, CEO di LayerZero Labs, e Urbański lo hanno fatto concordato per discutere ulteriormente la questione su uno spazio Twitter. "Il risultato ideale per noi è arrivare a conclusioni che renderanno più sicuri sia LayerZero che l'intero ecosistema", ha affermato Urbański.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
- Fonte: https://thedefiant.io/l2beat-layerzero-security/
- 2022
- 7
- a
- Secondo
- operanti in
- effettivamente
- Aggregator
- Tutti
- già
- analitica
- ed
- chiunque
- App
- Applicazioni
- applicazioni
- applicazioni
- Aprile
- Aptos
- Attività
- gli autori
- Vasca
- perché
- diventare
- dietro
- CREDIAMO
- Maggiore
- blockchains
- ponti
- ampio
- Bryan
- costruire
- costruito
- detto
- Bandi
- non può
- casi
- ceo
- Scegli
- Co-fondatore
- Venire
- azienda
- completamente
- complesso
- complicato
- componenti
- Configurazione
- Connettività
- contesto
- continua
- contratti
- controllata
- Nucleo
- potuto
- Cross
- Cross-Catena
- Crunchbase
- crypto
- Industria criptata
- CTO
- dati
- dibattito
- decentrata
- scambi decentralizzati
- DeFi
- Sicurezza DeFi
- dipendente
- schierato
- Design
- sviluppare
- sviluppatori
- Mercato
- direttamente
- discussione
- non
- dollari
- Dont
- durante
- ogni
- più facile
- facilmente
- Economico
- ecosistema
- eliminato
- Abilita
- assicura
- affidato
- errore
- Anche
- esempio
- Cambi Merce
- gesta
- facilitare
- difetto
- Focus
- si concentra
- Avanti
- Gratis
- da
- finanziamento
- ulteriormente
- scopo
- buono
- accade
- Alta
- Highlight
- evidenzia
- Come
- HTTPS
- umano
- centinaia
- centinaia di milioni
- ideale
- importante
- in
- Compreso
- studente indipendente
- indica
- industria
- informazioni
- Internet
- intervento
- problema
- sicurezza
- IT
- stessa
- Gen
- Labs
- lanciato
- STRATO ZERO
- Livello
- cerca
- Principale
- make
- marchio
- Importanza
- meccanica
- di messaggistica
- milioni
- modello
- Monitorare
- monitoraggio
- Mese
- Scopri di più
- cambiano
- Bisogno
- NFTs
- ONE
- oracolo
- minimo
- Scambio di pancake
- partito
- Platone
- Platone Data Intelligence
- PlatoneDati
- Post
- progetto
- progetti
- propriamente
- protocollo
- protocolli
- la percezione
- sollevato
- gamma
- relativamente
- rapporto
- necessario
- riparazioni
- di risposta
- Prenotazione sale
- Ryan
- più sicuro
- Suddetto
- stesso
- sicuro
- problemi di
- difetto di sicurezza
- vede
- servizio
- set
- significativa
- singolo
- So
- alcuni
- lo spazio
- Scintilla
- spendere
- Regione / Stato
- Ancora
- rubare
- lottare
- soffre
- SUSHI
- scambio di sushi
- prende
- team
- Consulenza
- Tecnologia
- I
- Il ribelle
- loro
- cose
- tempo
- a
- strumenti
- top
- mestieri
- Le transazioni
- Spazio Twitter
- Tipi di
- per
- us
- uso
- Sito web
- se
- quale
- Whitepaper
- OMS
- volere
- Lavora
- sarebbe
- scrivere
- dare la precedenza
- Tu
- youtube
- zefiro
