Отчет L2BEAT нацелен на модель безопасности LayerZero

Межсетевой протокол отклоняет претензии

LayerZero, протокол, который позволяет обмениваться сообщениями через блокчейны и используется приложениями, которым доверяют сотни миллионов долларов, 5 января подвергся тщательной проверке на предмет предполагаемой уязвимости в системе безопасности.

A после Кшиштоф Урбански из L2BEAT, аналитического и исследовательского веб-сайта, посвященного Слой 2 и мосты показали, как кроссчейн-приложение, развернутое на LayerZero, можно относительно легко перенастроить для кражи активов пользователей. Конфигурация происходит, когда два компонента, называемые Oracle и Relayer, контролируются одной и той же стороной.

Кроссчейн-технология LayerZero используется некоторыми из крупнейших протоколов DeFi, включая децентрализованные биржи, такие как Суши и PancakeSwap, а также такие блокчейны, как разрекламированный Aptos. 

Урбански не согласен с LayerZero официальный документ, что указывает на то, что конструкция протокола гарантирует, что ретранслятор не сможет вступить в сговор с оракулом. 

«[Авторы статьи] даже прямо заявляют, что для того, чтобы их механика работала, требуется, чтобы Oracle и Relayer были независимы и не вступали в сговор», — сказал Урбански The Defiant. «Но разработчики приложений должны выбирать, кто служит Oracle и Relayer, поэтому они могут настроить его так, чтобы они действительно зависели и действительно вступали в сговор».

Отчет вызвал удивление, потому что LayerZero называет себя «ненадежным» протоколом в своем техническом документе. Ненадежность — основной принцип криптографические протоколы, которые стремятся разработать механизмы, будь то экономические или технические, которые устраняют необходимость вмешательства человека. 

Кроме того, проекты, использующие LayerZero, часто перемещают активы по цепочкам блоков, и такие типы межцепных приложений, называемые мостами, были одним из наиболее уязвимых подсекторов криптографии в 2022 году, когда из-за эксплойтов было потеряно более 1 миллиарда долларов.

Рекордные 760 миллионов долларов были украдены эксплойтами во время «Хактобера»

Плохой месяц для безопасности DeFi выявляет подводные камни вольных практик

LayerZero отвечает

Команда LayerZero Labs, компании, стоящей за протоколом LayerZero, не верит, что Урбански раскрывал что-то, что еще не было общедоступной информацией. 

«Протокол LayerZero — это просто протокол», — сказал The Defiant Райан Зарик, соучредитель и технический директор LayerZero Labs. «Вы можете построить хорошие и плохие вещи поверх этого. Точно так же вы можете создавать хорошие и плохие вещи в Интернете и блокчейнах».

LayerZero можно использовать для самых разных целей — SushiSwap использует протокол для облегчения сделок между блокчейнами. Кроссчейн-агрегатор доходности под названием Унисон находится в разработке. И проект под названием Gh0stly Gh0sts, запущенный с NFT, который может с самого начала пересекать блокчейны с использованием LayerZero в апреле. 

Разблокировка более безопасных транзакций между блокчейнами станет значительным благом для криптоиндустрии, которая страдает от неэффективности активов и информации, разрозненных в отдельных блокчейнах. 

LayerZero — один из самых известных проектов по облегчению взаимодействия между блокчейнами — LayerZero Labs привлекла финансирование в размере 213 миллионов долларов, согласно CrunchBase.

В этом контексте пост Урбански является важным предостережением для тех, кто считает, что приложения, созданные на LayerZero, полностью безопасны — все еще остается место для ошибки.

Скрытый мотив

Зарик из LayerZero Labs видит в отчете скрытые мотивы.

«Основная проблема L2BEAT заключается в том, что они не могут легко универсально отслеживать все приложения с поддержкой LayerZero, просматривая единый набор контрактов», — сказал он The Defiant.

«Поскольку кроссчейн-приложения становятся все более сложными, L2Beat требуется писать индивидуальные и сложные инструменты мониторинга, чтобы должным образом контролировать безопасность этих приложений», — продолжил Зарик. «Гораздо проще пометить все приложения с поддержкой LayerZero как небезопасные и дискредитировать их, чем тратить время на реальную работу по оценке каждого приложения».

Урбанский сказал The Defiant, что не собирается выделять какой-либо протокол. «Мы не хотим, чтобы это обсуждение было сосредоточено только на LayerZero, мы использовали его в качестве примера, но главная цель — действительно выделить проблемы безопасности и вызвать обсуждение».

Двигаясь вперед, Брайан Пеллигрон, генеральный директор LayerZero Labs, и Урбански решено для дальнейшего обсуждения этого вопроса в Twitter Space. «Идеальный результат для нас — сделать некоторые выводы, которые сделают LayerZero и всю экосистему безопаснее», — сказал Урбански.