Il fondatore di Summa, James Prestwich, ha accusato il protocollo di bridging LayerZero da 382 milioni di dollari di ospitare una “vulnerabilità critica”.

Secondo un post del 30 gennaio di Prestwich, questa vulnerabilità "potrebbe causare il furto di tutti i fondi degli utenti". Il CEO di LayerZero Bryan Pellegrino ha definito l'accusa di Prestwich "assolutamente scioccante" e "selvaggiamente disonesta", sostenendo che la vulnerabilità si applica solo alle applicazioni che non modificano la configurazione predefinita.

È assolutamente scioccante che un concorrente pubblichi un post selvaggiamente disonesto su di noi. Sono felice che @zellic_io @osec_io @ZOKYO_io o qualsiasi altra società di revisione contabile venga a commentare e a dissipare, ma lasciatemi riassumere. Se imposti la tua configurazione, assolutamente niente di tutto ciò è vero https://t.co/zXdqkqO4rZ

— Bryan Pellegrino (@PrimordialAA) 30 gennaio 2023

LayerZero è un protocollo utilizzato per creare ponti blockchain cross-chain. La sua applicazione più notevole è lo Stargate Bridge, che può essere utilizzato per spostare monete tra diverse reti blockchain, tra cui Ethereum, BNB Chain (BNB), Avalanche (AVAX), Polygon (MATIC) e altre. Stargate ha 382 milioni di $ di valore totale bloccato (TVL) nei suoi contratti intelligenti al 30 gennaio, secondo DeFi Llama.

Secondo il suo whitepaper, il protocollo LayerZero fornisce un modo trustless per spostare criptovalute da una rete all'altra. Lo fa utilizzando un Oracle e un Relayer per verificare che le monete siano bloccate su una catena prima di consentire che una moneta venga coniata su una catena diversa. Finché Oracle e Relayer sono indipendenti e non colludono tra loro, dovrebbe essere impossibile che le monete vengano coniate sulla catena di destinazione senza prima essere bloccate sulla catena di origine.

Tuttavia, Prestwich ha affermato in un post del blog del 30 gennaio che Stargate e altri bridge che utilizzano la "configurazione predefinita" per LayerZero soffrono di una vulnerabilità critica. Ha affermato che questa vulnerabilità consente al team di LayerZero di modificare da remoto "la libreria di ricezione predefinita" o di "modificare arbitrariamente i payload dei messaggi", il che può consentire al team di bypassare Oracle e Relayer per trasmettere qualsiasi messaggio desideri attraverso il bridge. Ciò implica che quando LayerZero viene utilizzato con la sua configurazione predefinita, si basa sulla fiducia nel team di LayerZero piuttosto che su un protocollo decentralizzato per la sua sicurezza.

Prestwich ha inoltre affermato che Stargate soffre di questa vulnerabilità poiché utilizza la configurazione predefinita. Per mitigare questa vulnerabilità, Prestwich consiglia agli sviluppatori di app che utilizzano LayerZero di modificare i loro smart contract per cambiare la configurazione. Tuttavia, afferma che la maggior parte delle app LayerZero utilizza ancora la configurazione predefinita, mettendole a rischio.

Il CEO di LayerZero Bryan Pellegrino ha negato vigorosamente le affermazioni di Prestwich, definendole "selvaggiamente disoneste" in un tweet del 30 gennaio.

In una conversazione con Cointelegraph del 31 gennaio, Pellegrino ha affermato che tutte le librerie di convalida "sono immutabili per sempre, punto". Il team può aggiungere nuove librerie ma "non può mai cambiare, rimuovere o fare nulla a" quelle che già esistono. Mentre il team può aggiungere nuove librerie al registro, se un'app ha già scelto una particolare libreria o un set di librerie da utilizzare, questo non può essere modificato dal team LayerZero.

Pellegrino ha ammesso che la libreria a cui un'app "punta" può essere modificata dal team di LayerZero se lo sviluppatore dell'app utilizza le impostazioni predefinite, ma non se si è già allontanato dalla configurazione predefinita.

Quanto all'affermazione di Prestwich secondo cui Stargate è a rischio, Pellegrino ha risposto dicendo che StargateDAO ha votato il 3 gennaio per cambiare la sua libreria da quella predefinita a una specifica che è più efficiente in termini di consumo di gas. Si aspetta che questa modifica della libreria venga implementata "questa settimana (probabilmente oggi)". Una volta effettuato questo aggiornamento, "non potrà mai cambiare su di loro a meno che Stargate non voti e non lo modifichi da sola".

La sicurezza dei bridge cross-chain è stata un argomento caldo nella comunità crypto negli ultimi anni, poiché milioni di dollari sono stati persi a causa degli hack dei bridge. A maggio 2022, l'Axie Infinity Ronin Bridge è stato sfruttato per 600 milioni di dollari da un aggressore che ha rubato le chiavi del portafoglio multi-sig degli sviluppatori e lo ha utilizzato per coniare monete senza alcun supporto. Un attacco simile si è verificato contro l'Harmony Horizon Bridge il 24 giugno 2022. Oltre 100 milioni di dollari sono stati persi nell'attacco Horizon. Da allora, il team di Harmony ha rilanciato il bridge utilizzando il protocollo LayerZero.