Giao thức bắc cầu LayerZero phủ nhận cáo buộc về 'lỗ hổng nghiêm trọng'

Người sáng lập Summa, James Prestwich, đã cáo buộc giao thức bắc cầu LayerZero trị giá 382 triệu USD lưu trữ một “lỗ hổng nghiêm trọng”. 
Theo một bài đăng ngày 30 tháng 1 của Prestwich, lỗ hổng này “có thể dẫn đến việc đánh cắp tất cả tiền của người dùng”. Giám đốc điều hành LayerZero, Bryan Pellegrino, đã gọi cáo buộc của Prestwich là “hoàn toàn gây sốc” và “cực kỳ không trung thực”, cho rằng lỗ hổng này chỉ áp dụng cho các ứng dụng không sửa đổi cấu hình mặc định.
Hoàn toàn sốc khi một đối thủ cạnh tranh lại đăng một bài viết thiếu trung thực về chúng tôi. Rất vui khi có @zellic_io @osec_io @ZOKYO_io hoặc bất kỳ công ty kiểm toán nào khác đến bình luận và bác bỏ nhưng hãy để tôi tóm tắt. Nếu bạn thiết lập cấu hình của riêng mình, điều này hoàn toàn không đúng https://t.co/zXdqkqO4rZ
- Bryan Pellegrino (@PrimordialAA) Ngày 30 tháng 1 năm 2023
LayerZero là một giao thức được sử dụng để tạo cầu nối blockchain xuyên chuỗi. Ứng dụng đáng chú ý nhất của nó là Cầu Stargate, có thể được sử dụng để di chuyển tiền giữa một số mạng blockchain khác nhau, bao gồm Ethereum, Chuỗi BNB (BNB), Avalanche (AVAX), Polygon (MATIC) và các mạng khác. Theo DeFi Llama, Stargate có tổng giá trị bị khóa (TVL) là 382 triệu USD trong các hợp đồng thông minh của mình tính đến ngày 30 tháng 1.
Theo sách trắng của nó, giao thức LayerZero cung cấp một cách không đáng tin cậy để di chuyển tiền điện tử từ mạng này sang mạng khác. Nó thực hiện điều này bằng cách sử dụng Oracle và Relayer để xác minh rằng tiền xu đã bị khóa trên một chuỗi trước khi cho phép đúc xu trên một chuỗi khác. Miễn là Oracle và Relayer độc lập và không thông đồng với nhau, thì sẽ không thể đúc tiền trên chuỗi đích mà không bị khóa trên chuỗi gốc trước tiên.
Tuy nhiên, Prestwich đã tuyên bố trong một bài đăng trên blog ngày 30 tháng 1 rằng Stargate và các cầu nối khác sử dụng “cấu hình mặc định” cho LayerZero có một lỗ hổng nghiêm trọng. Ông tuyên bố lỗ hổng này cho phép nhóm LayerZero thay đổi từ xa “thư viện nhận mặc định” hoặc “tùy ý sửa đổi tải trọng tin nhắn”, điều này có thể cho phép nhóm bỏ qua Oracle và Relayer để truyền bất kỳ tin nhắn nào họ muốn qua cầu. Điều này ngụ ý rằng khi LayerZero được sử dụng với cấu hình mặc định, nó dựa vào sự tin tưởng vào nhóm LayerZero thay vì vào một giao thức phi tập trung để bảo mật.
Prestwich còn tuyên bố thêm rằng Stargate mắc phải lỗ hổng này do nó sử dụng cấu hình mặc định. Để giảm thiểu lỗ hổng này, Prestwich khuyên các nhà phát triển ứng dụng sử dụng LayerZero nên thay đổi hợp đồng thông minh của họ để thay đổi cấu hình. Tuy nhiên, ông cho rằng hầu hết các ứng dụng LayerZero vẫn sử dụng cấu hình mặc định, khiến chúng gặp rủi ro.
Giám đốc điều hành LayerZero Bryan Pellegrino phủ nhận mạnh mẽ các tuyên bố của Prestwich, gọi họ là “cực kỳ không trung thực” trong một tweet ngày 30 tháng 1. 
Trong cuộc trò chuyện với Cointelegraph vào ngày 31 tháng 1, Pellegrino tuyên bố rằng tất cả các thư viện xác thực “là bất biến mãi mãi”. Nhóm có thể thêm các thư viện mới nhưng “không bao giờ có thể thay đổi, xóa hoặc làm bất cứ điều gì đối với” những thư viện đã tồn tại. Mặc dù nhóm có thể thêm thư viện mới vào sổ đăng ký, nhưng nếu ứng dụng đã chọn một thư viện hoặc bộ thư viện cụ thể để sử dụng thì nhóm LayerZero không thể thay đổi điều này.
Pellegrino thừa nhận rằng thư viện mà một ứng dụng “trỏ tới” có thể được nhóm LayerZero thay đổi nếu nhà phát triển ứng dụng đang sử dụng các giá trị mặc định, chứ không phải nếu nó đã di chuyển khỏi cấu hình mặc định.
Đối với tuyên bố của Prestwich rằng Stargate đang gặp rủi ro, Pellegrino trả lời bằng cách nói rằng StargateDAO đã bỏ phiếu vào ngày 3 tháng 1 để thay đổi thư viện của mình từ mặc định sang một thư viện cụ thể tiết kiệm gas hơn. Anh ấy hy vọng sự thay đổi thư viện này sẽ được thực hiện “trong tuần này (có thể là hôm nay)”. Sau khi bản cập nhật này được thực hiện, “điều đó sẽ không bao giờ có thể thay đổi đối với họ trừ khi Stargate bỏ phiếu và tự thay đổi nó”.
Bảo mật cầu nối chuỗi chéo đã trở thành một chủ đề nóng trong cộng đồng tiền điện tử trong vài năm qua, vì hàng triệu đô la đã bị mất do các vụ hack cầu nối. Vào tháng 5 năm 2022, Axie Infinity Ronin Bridge đã bị kẻ tấn công khai thác với giá 600 triệu đô la. Kẻ này đã đánh cắp chìa khóa vào ví multi-sig của nhà phát triển và sử dụng nó để đúc tiền mà không cần bất kỳ sự hỗ trợ nào. Một cuộc tấn công tương tự đã xảy ra nhằm vào Cầu Harmony Horizon vào ngày 24 tháng 6 năm 2022. Hơn 100 triệu USD đã bị mất trong cuộc tấn công Horizon. Nhóm Harmony kể từ đó đã khởi động lại cây cầu bằng giao thức LayerZero.