Poročilo L2BEAT meri na varnostni model LayerZero

Protokol navzkrižne verige zavrača trditve

LayerZero, protokol, ki omogoča sporočanje med verigami blokov in ga uporabljajo aplikacije, ki jim je zaupano na stotine milijonov dolarjev, je 5. januarja pritegnil pozornost zaradi domnevne varnostne napake.

A objava Krzysztof Urbański iz L2BEAT, analitičnega in raziskovalnega spletnega mesta, ki se osredotoča na Sloj 2 in mostovi, je pokazal, kako je mogoče navzkrižno verižno aplikacijo, nameščeno na LayerZero, razmeroma preprosto prekonfigurirati za krajo sredstev uporabnikov. Konfiguracija se zgodi, ko dve komponenti, imenovani Oracle in Relayer, nadzoruje ista oseba.

Tehnologijo navzkrižne verige LayerZero uporabljajo nekateri največji protokoli DeFi, vključno z decentraliziranimi izmenjavami, kot je Zamenjava sušija in PancakeSwap, pa tudi verige blokov, kot je zelo opevani Aptos. 

Urbański se ne strinja z LayerZero whitepaper, kar nakazuje, da zasnova protokola zagotavlja, da se Relayer ne more dogovarjati z Oracle. 

"[Avtorji prispevka] celo neposredno navajajo, da je za delovanje njihove mehanike potrebno, da sta Oracle in Relayer neodvisna in se ne dogovarjata," je Urbański povedal za The Defiant. "Toda razvijalci aplikacij morajo izbrati, kdo bo služil kot Oracle in Relayer, zato jih lahko svobodno nastavijo tako, da so dejansko odvisni in da se dogovarjajo."

Poročilo je dvignilo obrvi, ker se LayerZero v svoji beli knjigi imenuje "nezaupljiv" protokol. Nezaupljivost je temeljno načelo kriptoprotokoli, ki si prizadevajo razviti mehanizme, tako ekonomske kot tehnične, ki odpravljajo potrebo po človeškem posredovanju. 

Poleg tega projekti, ki uporabljajo LayerZero, pogosto premikajo sredstva prek verig blokov in tovrstne medverižne aplikacije, imenovane mostovi, so bile ena od najbolj ranljiva podsektorjev kripto v letu 2022, pri čemer je bilo zaradi podvigov izgubljenih več kot 1 milijarda USD.

Rekordnih 760 milijonov dolarjev, ukradenih v podvigih med "Hacktoberjem"

Slab mesec za varnost DeFi poudarja pasti praks prostega teka

LayerZero se odzove

Ekipa LayerZero Labs, podjetja, ki stoji za protokolom LayerZero, ne verjame, da je Urbański razkril karkoli, kar še ni bila javna informacija. 

»Protokol LayerZero je prav to, protokol,« je za The Defiant povedal Ryan Zarick, soustanovitelj in tehnični direktor LayerZero Labs. »Na vrhu lahko zgradiš dobre in slabe stvari. Tako kot lahko gradite dobre in slabe stvari na internetu in verigah blokov.«

LayerZero je mogoče uporabiti za širok spekter primerov uporabe – SushiSwap uporablja protokol za olajšanje trgovanja med verigami blokov. Poklican agregator donosa med verigami Unison je v razvoju. In projekt, imenovan Gh0stly Gh0sts, se je začel z NFT-ji, ki bi lahko prečkali verige blokov od samega začetka z uporabo LayerZero aprila. 

Sprostitev varnejših transakcij med verigami blokov bi bila pomembna prednost za kriptoindustrijo, ki trpi zaradi neučinkovitosti sredstev in informacij, zaprtih v posameznih verigah blokov. 

LayerZero je eden najbolj odmevnih projektov za omogočanje povezljivosti med verigami blokov – LayerZero Labs je zbral 213 milijonov dolarjev sredstev, glede na Crunchbase.

V tem kontekstu je objava Urbańskega pomembno opozorilo za vsakogar, ki ima vtis, da so aplikacije, zgrajene na LayerZero, popolnoma varne – še vedno obstaja prostor za napake.

Skriti motiv

Zarick iz LayerZero Labs vidi prikriti motiv za poročilom.

"Glavna težava L2BEATs je, da ne morejo preprosto univerzalno spremljati vseh aplikacij, ki podpirajo LayerZero, tako da pogledajo en sam sklop pogodb," je povedal za The Defiant.

»Ker postajajo medverižne aplikacije bolj zapletene, mora L2Beat napisati prilagojena in zapletena nadzorna orodja za pravilno spremljanje varnosti teh aplikacij,« je nadaljeval Zarick. "Veliko lažje je vse aplikacije, ki podpirajo LayerZero, označiti kot nevarne in jih diskreditirati, kot porabiti čas za dejansko delo pri ocenjevanju vsake aplikacije."

Urbański je za The Defiant povedal, da ne namerava izpostaviti nobenega protokola. "Ne želimo, da se ta razprava osredotoča samo na LayerZero, uporabili smo ga kot primer, vendar je glavni cilj dejansko izpostaviti varnostna vprašanja in sprožiti razpravo."

Bryan Pelligron, izvršni direktor LayerZero Labs, in Urbański sta se pomaknila naprej. dogovorjene za nadaljnjo razpravo o zadevi na Twitter Spaceu. "Idealni rezultat za nas je, da pridemo do nekaterih zaključkov, zaradi katerih bosta LayerZero in celoten ekosistem varnejša," je dejal Urbański.