Звіт L2BEAT націлений на модель безпеки LayerZero

Протокол крос-ланцюга відхиляє претензії

LayerZero, протокол, який дозволяє обмінюватися повідомленнями через блокчейни та використовується програмами, яким довірено сотні мільйонів доларів, 5 січня привернув пильну увагу через передбачуваний недолік безпеки.

A після Кшиштоф Урбанський з L2BEAT, веб-сайту аналітики та досліджень, який фокусується на Шар 2s і мости показали, як крос-ланцюгова програма, розгорнута на LayerZero, може бути відносно легко переналаштована для крадіжки активів користувачів. Конфігурація відбувається, коли два компоненти, які називаються Oracle і Relayer, контролюються однією стороною.

Технологія перехресного ланцюга LayerZero використовується деякими з найбільших протоколів DeFi, включаючи децентралізовані біржі, такі як Заміна суші і PancakeSwap, а також блокчейни, такі як розрекламований Aptos. 

Урбанський не погоджується з LayerZero офіційний документ, що вказує на те, що дизайн протоколу гарантує, що ретранслятор не зможе вступити в змову з Oracle. 

«[Автори статті] навіть прямо заявляють, що для того, щоб їх механізми працювали, необхідно, щоб Oracle і Relayer були незалежними і не вступали в змову», — сказав Урбанський The Defiant. «Але розробники додатків самі вибирають, хто буде працювати як Oracle і Relayer, тож вони можуть вільні налаштувати це так, щоб вони були фактично залежними та вступали в змову».

Звіт підняв брови, оскільки LayerZero називає себе «ненадійним» протоколом у своєму офіційному документі. Ненадійність є основним принципом крипто протоколи, які прагнуть розробити механізми, економічні чи технічні, які усувають потребу втручання людини. 

Крім того, проекти, які використовують LayerZero, часто переміщують активи через блокчейни, і ці типи міжланцюжкових програм, які називаються мостами, були одними з найбільш вразливі підгалузі криптовалют у 2022 році, де через експлойти було втрачено понад 1 мільярд доларів.

Рекордні 760 мільйонів доларів, вкрадені під час експлойтів під час «Hacktober»

Поганий місяць для безпеки DeFi висвітлює підводні камені практик вільного ходу

LayerZero відповідає

Команда LayerZero Labs, компанії, що стоїть за протоколом LayerZero, не вірить, що Урбанський розкрив щось, що ще не було публічною інформацією. 

«Протокол LayerZero — це просто протокол, — сказав The Defiant Раян Зарик, співзасновник і технічний директор LayerZero Labs. «На цьому можна побудувати хороші та погані речі. Так само, як ви можете створювати хороші та погані речі в Інтернеті та блокчейнах».

LayerZero можна використовувати для широкого спектру випадків використання — SushiSwap використовує протокол для полегшення торгівлі між блокчейнами. Викликається міжланцюговий агрегатор дохідності Унісон знаходиться в розробці. І проект під назвою Gh0stly Gh0sts був запущений з NFT, які могли перетинати блокчейни з самого початку за допомогою LayerZero в квітні. 

Розблокування безпечніших транзакцій між блоками було б значним благом для криптоіндустрії, яка страждає від неефективності активів та інформації, зосередженої в окремих блокчейнах. 

LayerZero — це один із найвідоміших проектів для сприяння з’єднанню між блокчейнами — за даними LayerZero Labs залучила 213 мільйонів доларів США. Crunchbase.

У цьому контексті публікація Урбанського є важливим застереженням для тих, хто вважає, що програми, створені на LayerZero, повністю безпечні — все ще є місце для помилок.

Задній мотив

Зарік із LayerZero Labs бачить у цьому звіті прихований мотив.

«Основна проблема L2BEAT полягає в тому, що вони не можуть легко контролювати всі програми з підтримкою LayerZero, дивлячись на єдиний набір контрактів», — сказав він The Defiant.

«Оскільки міжланцюгові додатки стають складнішими, L2Beat потрібно розробити індивідуальні та складні інструменти моніторингу для належного моніторингу безпеки цих додатків», — продовжив Зарік. «Набагато легше позначити всі програми з підтримкою LayerZero як небезпечні та дискредитувати їх, ніж витрачати час на виконання фактичної роботи з оцінювання кожної програми».

Урбанський сказав The Defiant, що не має наміру виділяти якийсь протокол. «Ми не хочемо, щоб ця дискусія зосереджувалася лише на LayerZero, ми використали його як приклад, але головна мета — висвітлити проблеми безпеки та розпалити дискусію».

Рухаючись вперед, Браян Пеллігрон, генеральний директор LayerZero Labs, і Урбанський вирішено щоб обговорити це питання далі в Twitter Space. «Ідеальним результатом для нас є те, що ми прийдемо до певних висновків, які зроблять і LayerZero, і всю екосистему безпечнішими», — сказав Урбанський.