Protokol LayerZero Bridging Protocol odmítá obvinění z „kritických zranitelností“

Zakladatel společnosti Summa James Prestwich obvinil přemosťovací protokol LayerZero v hodnotě 382 milionů dolarů z hostování „kritické zranitelnosti“. 
Podle příspěvku z 30. ledna od Prestwiche by tato zranitelnost „mohla vést ke krádeži všech uživatelských prostředků“. Generální ředitel LayerZero Bryan Pellegrino nazval Prestwichovo obvinění „naprosto šokující“ a „divoce nečestné“ a tvrdil, že zranitelnost se týká pouze aplikací, které nemění výchozí konfiguraci.
Naprosto šokující, že o nás konkurence zveřejnila divoce nečestný příspěvek. Jsem rád, že @zellic_io @osec_io @ZOKYO_io nebo jakákoli jiná auditorská společnost přichází komentovat a rozptýlit, ale dovolte mi to shrnout. Pokud si nastavíte vlastní konfiguraci, absolutně nic z toho není pravda https://t.co/zXdqkqO4rZ
— Bryan Pellegrino (@PrimordialAA) 30. ledna 2023
LayerZero je protokol používaný k vytváření crosschain blockchain mostů. Jeho nejpozoruhodnější aplikací je Stargate Bridge, který lze použít k přesunu coinů mezi několika různými blockchainovými sítěmi, včetně Etherea, BNB Chain (BNB), Avalanche (AVAX), Polygon (MATIC) a dalších. Podle DeFi Llamy má Stargate k 30. lednu ve svých smart kontraktech 382 milionů dolarů celkové hodnoty (TVL).
Podle jeho whitepaperu poskytuje protokol LayerZero nedůvěryhodný způsob přesunu kryptoměn z jedné sítě do druhé. To se provádí pomocí Oracle a Relayer k ověření, že mince jsou uzamčeny na jednom řetězu, než se umožní ražení mince na jiném řetězu. Dokud jsou Oracle a Relayer nezávislé a vzájemně se nedomlouvají, mělo by být nemožné, aby byly mince raženy v cílovém řetězci, aniž by byly nejprve uzamčeny na původním řetězci.
Prestwich však v příspěvku na blogu z 30. ledna tvrdil, že Stargate a další mosty, které používají „výchozí konfiguraci“ pro LayerZero, trpí kritickou zranitelností. Tvrdil, že tato zranitelnost umožňuje týmu LayerZero vzdáleně změnit „výchozí knihovnu pro příjem“ nebo „libovolně upravit užitečné zatížení zpráv“, což týmu umožní obejít Oracle a Relayer a přenést přes most jakoukoli zprávu, kterou chtějí. To znamená, že když je LayerZero používáno se svou výchozí konfigurací, spoléhá se z hlediska zabezpečení spíše na důvěru v tým LayerZero než v decentralizovaný protokol.
Prestwich dále tvrdil, že Stargate trpí touto zranitelností, protože používá výchozí konfiguraci. Pro zmírnění této chyby zabezpečení Prestwich radí vývojářům aplikací, kteří používají LayerZero, aby změnili své smart kontrakty a změnili konfiguraci. Říká však, že většina aplikací LayerZero stále používá výchozí konfiguraci, což je vystavuje riziku.
Generální ředitel LayerZero Bryan Pellegrino rázně popřel Prestwichova tvrzení a v tweetu z 30. ledna je označil za „divoce nečestné“. 
V rozhovoru s Cointelegraph dne 31. ledna Pellegrino uvedl, že všechny validační knihovny „jsou navždy neměnné, tečka“. Tým může přidávat nové knihovny, ale ty, které již existují, „nikdy nemůže změnit, odebrat ani s nimi nic dělat“. I když tým může do registru přidávat nové knihovny, pokud aplikace již vybrala konkrétní knihovnu nebo sadu knihoven, které mají být použity, tým LayerZero to nemůže změnit.
Pellegrino připustil, že knihovnu, na kterou aplikace „ukazuje“, může tým LayerZero změnit, pokud vývojář aplikace používá výchozí nastavení, ale nikoli, pokud se již od výchozí konfigurace vzdálila.
Pokud jde o Prestwichovo tvrzení, že Hvězdná brána je v ohrožení, Pellegrino reagoval tím, že StargateDAO 3. ledna hlasoval o změně své knihovny z výchozí na specifickou, která je plynově účinnější. Očekává, že tato změna knihovny bude implementována „tento týden (pravděpodobně dnes). Jakmile bude tato aktualizace provedena, „to se na nich nikdy nebude moci změnit, pokud Stargate nebude hlasovat a sama to nezmění“.
Zabezpečení zkřížených můstků je v kryptokomunitě v posledních několika letech žhavým tématem, protože díky hackům mostů byly ztraceny miliony dolarů. V květnu 2022 byl Axie Infinity Ronin Bridge zneužit za 600 milionů dolarů útočníkem, který ukradl klíče od vývojářské peněženky s více značkami a použil ji k ražení mincí bez jakékoli podpory. K podobnému útoku došlo proti Harmony Horizon Bridge 24. června 2022. Při útoku Horizon bylo ztraceno přes 100 milionů dolarů. Tým Harmony od té doby znovu spustil most pomocí protokolu LayerZero.