Cross-Chain Protocol verwerpt claims

LayerZero, een protocol dat berichtenverkeer over blockchains mogelijk maakt en wordt gebruikt door applicaties waaraan honderden miljoenen dollars zijn toevertrouwd, werd op 5 januari onder de loep genomen vanwege een vermeende beveiligingsfout.

A post door Krzysztof Urbański van L2BEAT, een analyse- en onderzoekswebsite die zich richt op Laag 2s en bruggen, liet zien hoe een cross-chain-applicatie die op LayerZero is geïmplementeerd, relatief eenvoudig opnieuw kan worden geconfigureerd om de activa van gebruikers te stelen. De configuratie vindt plaats wanneer twee componenten, de Oracle en de Relayer genaamd, door dezelfde partij worden beheerd.

De cross-chain-technologie van LayerZero wordt gebruikt door enkele van de grootste protocollen van DeFi, waaronder gedecentraliseerde uitwisselingen zoals SushiRuil en PancakeSwap, evenals blockchains zoals de veel gehypte Aptos. 

Urbański is het niet eens met LayerZero's whitepaper, wat aangeeft dat het ontwerp van het protocol ervoor zorgt dat de Relayer niet kan samenwerken met de Oracle. 

"[De auteurs van het artikel] stellen zelfs rechtstreeks dat Oracle en Relayer onafhankelijk moeten zijn en niet samenspannen om hun mechanismen te laten werken," vertelde Urbański aan The Defiant. "Maar het is aan app-ontwikkelaars om te kiezen wie als Oracle en Relayer fungeert, dus ze zijn vrij om het zo in te richten dat ze daadwerkelijk afhankelijk zijn en dat ze samenspannen."

Het rapport deed wenkbrauwen fronsen omdat LayerZero zichzelf in zijn whitepaper een "onbetrouwbaar" protocol noemt. Onbetrouwbaarheid is een kernprincipe van crypto-protocollen, die ernaar streven mechanismen te ontwikkelen, zowel economisch als technisch, die menselijke tussenkomst overbodig maken. 

Verder verplaatsen projecten die LayerZero gebruiken vaak activa over blockchains en dit soort cross-chain applicaties, bruggen genoemd, waren een van de kwetsbaarste subsectoren van crypto in 2022, met meer dan $ 1 miljard verloren aan exploits.

Record $ 760 miljoen gestolen in exploits tijdens 'Hacktober'

Slechte maand voor DeFi-beveiliging benadrukt de valkuilen van freewheelen

LayerZero reageert

Het team van LayerZero Labs, het bedrijf achter het LayerZero-protocol, gelooft niet dat Urbański iets openbaar maakte dat nog geen openbare informatie was. 

"Het LayerZero-protocol is precies dat, een protocol", vertelde Ryan Zarick, mede-oprichter en CTO bij LayerZero Labs, aan The Defiant. “Je kunt er goede en slechte dingen bovenop bouwen. Net zoals je goede en slechte dingen kunt bouwen op internet en blockchains.”

LayerZero kan worden gebruikt voor een breed scala aan use-cases — SushiSwap gebruikt het protocol om transacties over blockchains te vergemakkelijken. Een cross-chain opbrengstaggregator genaamd Unison is in ontwikkeling. En een project genaamd Gh0stly Gh0sts gelanceerd met NFT's die vanaf het begin blockchains konden kruisen met behulp van LayerZero in april. 

Het ontgrendelen van veiligere inter-blockchain-transacties zou een grote zegen zijn voor de crypto-industrie, die lijdt onder de inefficiëntie van activa en informatie die op afzonderlijke blockchains zijn opgeslagen. 

LayerZero is een van de meest spraakmakende projecten om inter-blockchain-connectiviteit mogelijk te maken — LayerZero Labs heeft volgens $ 213 miljoen aan financiering opgehaald CrunchBase.

In deze context is de post van Urbański een belangrijk voorbehoud voor iedereen die de indruk heeft dat apps die op LayerZero zijn gebouwd volledig veilig zijn - er is nog steeds ruimte voor fouten.

Bijbedoeling

Zarick van LayerZero Labs ziet een bijbedoeling achter het rapport.

"Het belangrijkste probleem van L2BEAT is dat ze niet eenvoudig alle LayerZero-compatibele applicaties kunnen monitoren door naar een enkele set contracten te kijken", vertelde hij aan The Defiant.

"Naarmate cross-chain-applicaties complexer worden, moet L2Beat aangepaste en gecompliceerde monitoringtools schrijven om de beveiliging van deze applicaties goed te bewaken", vervolgt Zarick. "Het is veel gemakkelijker om alle LayerZero-compatibele applicaties als onveilig te markeren en ze in diskrediet te brengen, dan de tijd te besteden aan het daadwerkelijke werk om elke app te evalueren."

Urbański vertelde The Defiant dat hij niet van plan was een protocol uit te kiezen. "We willen niet dat deze discussie zich alleen richt op LayerZero, we hebben het als voorbeeld gebruikt, maar het belangrijkste doel is om de beveiligingsproblemen daadwerkelijk onder de aandacht te brengen en de discussie op gang te brengen."

In de toekomst hebben Bryan Pelligron, de CEO van LayerZero Labs, en Urbański afgesproken om de kwestie verder te bespreken op een Twitter Space. "Het ideale resultaat voor ons is dat we met enkele conclusies komen die zowel LayerZero als het hele ecosysteem veiliger zullen maken", zei Urbański.