Protocolo de ponte LayerZero nega acusação de 'vulnerabilidades críticas'

O fundador da Summa, James Prestwich, acusou o protocolo de ponte LayerZero de US$ 382 milhões de hospedar uma “vulnerabilidade crítica”. 
De acordo com uma postagem de Prestwich de 30 de janeiro, essa vulnerabilidade “pode resultar no roubo de todos os fundos dos usuários”. O CEO da LayerZero, Bryan Pellegrino, chamou a acusação de Prestwich de “absolutamente chocante” e “extremamente desonesta”, alegando que a vulnerabilidade se aplica apenas a aplicativos que não modificam a configuração padrão.
É absolutamente chocante que um concorrente publique uma postagem extremamente desonesta sobre nós. Fico feliz em ter @zellic_io @osec_io @ZOKYO_io ou qualquer outra empresa de auditoria comentando e dissipando, mas deixe-me resumir. Se você definir sua própria configuração, absolutamente nada disso será verdade https://t.co/zXdqkqO4rZ
— Bryan Pellegrino (@PrimordialAA) 30 de janeiro de 2023
LayerZero é um protocolo usado para criar pontes de blockchain entre cadeias. Sua aplicação mais notável é a Stargate Bridge, que pode ser usada para mover moedas entre várias redes de blockchain diferentes, incluindo Ethereum, BNB Chain (BNB), Avalanche (AVAX), Polygon (MATIC) e outras. A Stargate tem US$ 382 milhões de valor total bloqueado (TVL) em seus contratos inteligentes em 30 de janeiro, de acordo com a DeFi Llama.
De acordo com seu whitepaper, o protocolo LayerZero fornece uma maneira confiável de mover criptomoedas de uma rede para outra. Ele faz isso usando um Oracle e um Relayer para verificar se as moedas estão bloqueadas em uma cadeia antes de permitir que uma moeda seja cunhada em uma cadeia diferente. Contanto que o Oracle e o Relayer sejam independentes e não conspirem entre si, deve ser impossível que as moedas sejam cunhadas na cadeia de destino sem primeiro serem bloqueadas na cadeia de origem.
No entanto, Prestwich afirmou em uma postagem de blog de 30 de janeiro que o Stargate e outras pontes que usam a "configuração padrão" para LayerZero sofrem de uma vulnerabilidade crítica. Ele afirmou que essa vulnerabilidade permite que a equipe do LayerZero altere remotamente "a biblioteca de recebimento padrão" ou "modifique arbitrariamente as cargas úteis das mensagens", o que pode permitir que a equipe ignore o Oracle e o Relayer para transmitir qualquer mensagem que desejarem pela ponte. Isso implica que, quando o LayerZero é usado com sua configuração padrão, ele depende da confiança na equipe do LayerZero em vez de em um protocolo descentralizado para sua segurança.
Prestwich afirmou ainda que o Stargate sofre dessa vulnerabilidade, pois usa a configuração padrão. Para mitigar essa vulnerabilidade, Prestwich aconselha os desenvolvedores de aplicativos que usam o LayerZero a alterar seus contratos inteligentes para mudar a configuração. No entanto, ele diz que a maioria dos aplicativos do LayerZero ainda usa a configuração padrão, colocando-os em risco.
O CEO da LayerZero, Bryan Pellegrino, negou vigorosamente as alegações de Prestwich, chamando-as de “extremamente desonestas” em um tuíte de 30 de janeiro.
Em uma conversa com a Cointelegraph em 31 de janeiro, Pellegrino declarou que todas as bibliotecas de validação “são imutáveis ​​para sempre, ponto final”. A equipe pode adicionar novas bibliotecas, mas “nunca pode alterar, remover ou fazer nada com” as que já existem. Embora a equipe possa adicionar novas bibliotecas ao registro, se um aplicativo já tiver escolhido uma biblioteca específica ou conjunto de bibliotecas para serem usadas, isso não pode ser alterado pela equipe do LayerZero.
Pellegrino admitiu que a biblioteca para a qual um aplicativo “aponta” pode ser alterada pela equipe do LayerZero se o desenvolvedor do aplicativo estiver usando os padrões, mas não se ele já tiver se afastado da configuração padrão.
Quanto à alegação de Prestwich de que o Stargate está em risco, Pellegrino respondeu dizendo que o StargateDAO votou em 3 de janeiro para mudar sua biblioteca do padrão para uma específica que seja mais eficiente em termos de gás. Ele espera que essa mudança de biblioteca seja implementada “esta semana (provavelmente hoje)”. Uma vez que essa atualização seja feita, “isso nunca poderá mudar neles a menos que o Stargate vote e mude por si próprio”.
A segurança da ponte entre cadeias tem sido um tópico quente na comunidade cripto nos últimos anos, já que milhões de dólares foram perdidos por meio de hacks de pontes. Em maio de 2022, a ponte Axie Infinity Ronin foi explorada por US$ 600 milhões por um invasor que roubou as chaves da carteira multi-sig dos desenvolvedores e a usou para cunhar moedas sem nenhum suporte. Um ataque semelhante ocorreu contra a ponte Harmony Horizon em 24 de junho de 2022. Mais de US$ 100 milhões foram perdidos no ataque Horizon. Desde então, a equipe Harmony relançou a ponte usando o protocolo LayerZero.