L2BEAT 报告针对 LayerZero 的安全模型

跨链协议驳回索赔

LayerZero 是一种支持跨区块链消息传递的协议，被受托价值数亿美元的应用程序使用，该协议在 5 月 XNUMX 日因据称存在安全漏洞而受到审查。

A 发表 作者：L2BEAT 的 Krzysztof Urbański，LXNUMXBEAT 是一个分析和研究网站，专注于 第 2 层 和桥梁，展示了部署在 LayerZero 上的跨链应用程序如何相对容易地重新配置以窃取用户的资产。 当称为 Oracle 和 Relayer 的两个组件由同一方控制时，就会发生配置。

LayerZero 的跨链技术被一些 DeFi 最大的协议所使用，包括像这样的去中心化交易所 寿司交换 和 PancakeSwap，以及像大肆宣传的 Aptos 这样的区块链。 

Urbański 不同意 LayerZero 的观点 白皮书，这表明协议的设计确保了 Relayer 不能与 Oracle 串通。 

“[该论文的作者] 甚至直接声明，为了让他们的机制发挥作用，Oracle 和 Relayer 必须独立且不串通，”Urbański 告诉 The Defiant。 “但是应用程序开发人员可以选择谁作为 Oracle 和 Relayer，因此他们可以自由地以一种他们实际上相互依赖并且他们确实串通的方式进行设置。”

该报告引起了人们的关注，因为 LayerZero 在其白皮书中称自己为“无需信任”的协议。 不信任是一个核心原则 加密协议，努力开发消除人为干预需要的经济或技术机制。 

此外，使用 LayerZero 的项目通常会跨区块链移动资产，而这些类型的跨链应用程序（称为桥）是其中之一 最脆弱的 2022 年加密货币的子行业，超过 1 亿美元因漏洞利用而损失。

在“Hacktober”期间利用漏洞窃取了 760 亿美元的记录

DeFi 安全的糟糕月份凸显了随心所欲做法的陷阱

LayerZero 回应

LayerZero 协议背后的公司 LayerZero Labs 的团队认为 Urbański 没有暴露任何尚未公开的信息。 

“LayerZero 协议就是一个协议，”LayerZero Labs 的联合创始人兼首席技术官 Ryan Zarick 告诉 The Defiant。 “你可以在它之上构建好的和坏的东西。 就像你可以在互联网和区块链上构建好东西和坏东西一样。”

LayerZero 可用于广泛的用例——SushiSwap 使用该协议来促进跨区块链的交易。 称为跨链收益聚合器 齐唱 正在开发中。 一个名为 Gh0stly Gh0sts 的项目与 NFT 一起启动，该项目可以在 XNUMX 月份使用 LayerZero 从一开始就跨越区块链。 

解锁更安全的区块链间交易对加密行业来说将是一个重大的福音，因为资产和信息在单一区块链上的效率低下。 

LayerZero 是促进区块链间连接的最引人注目的项目之一——LayerZero Labs 已筹集了 213 亿美元的资金，据称 Crunchbase.

在这种情况下，Urbański 的帖子对任何认为基于 LayerZero 构建的应用程序是完全安全的人来说是一个重要的警告——仍然存在错误的空间。

别有用心

LayerZero Labs 的 Zarick 认为该报告背后有别有用心的动机。

“L2BEAT 的主要问题是他们无法通过查看一组合同轻松地普遍监控所有支持 LayerZero 的应用程序，”他告诉 The Defiant。

“随着跨链应用变得越来越复杂，L2Beat 需要编写定制的复杂监控工具来正确监控这些应用的安全性，”Zarick 继续说道。 “将所有支持 LayerZero 的应用程序标记为不安全并抹黑它们，要比花时间评估每个应用程序的实际工作容易得多。”

Urbański 告诉 The Defiant，他不打算挑出任何协议。 “我们不希望这次讨论只关注 LayerZero，我们以它为例，但主要目标是真正突出安全问题并引发讨论。”

展望未来，LayerZero Labs 的首席执行官 Bryan Pelligron 和 Urbański 已经 议定 在 Twitter Space 上进一步讨论此事。 “对我们来说，理想的结果是我们得出一些结论，使 LayerZero 和整个生态系统都更加安全，”Urbański 说。