Giao thức chuỗi chéo loại bỏ khiếu nại

LayerZero, một giao thức cho phép nhắn tin trên các chuỗi khối và được sử dụng bởi các ứng dụng được ủy thác hàng trăm triệu đô la, đã bị kiểm tra kỹ lưỡng vào ngày 5 tháng XNUMX vì một lỗ hổng bảo mật có chủ đích.

A gửi bởi Krzysztof Urbański của L2BEAT, một trang web phân tích và nghiên cứu tập trung vào Lớp 2 và cầu nối, cho thấy cách một ứng dụng chuỗi chéo được triển khai trên LayerZero có thể dễ dàng được cấu hình lại để đánh cắp tài sản của người dùng. Cấu hình xảy ra khi hai thành phần, được gọi là Oracle và Relayer, được kiểm soát bởi cùng một bên.

Công nghệ chuỗi chéo của LayerZero được sử dụng bởi một số giao thức lớn nhất của DeFi, bao gồm cả các sàn giao dịch phi tập trung như Hoán đổi Sushi và PancakeSwap, cũng như các chuỗi khối như Aptos được quảng cáo rầm rộ. 

Urbański không đồng ý với LayerZero's whitepaper, điều này chỉ ra rằng thiết kế của giao thức đảm bảo rằng Người chuyển tiếp không thể thông đồng với Oracle. 

“[Các tác giả của bài báo] thậm chí còn trực tiếp tuyên bố rằng để cơ chế của họ hoạt động, Oracle và Relayer phải độc lập và không thông đồng với nhau,” Urbański nói với The Defiant. “Nhưng các nhà phát triển ứng dụng có quyền chọn ai đóng vai trò là Oracle và Người chuyển tiếp, vì vậy họ có thể tự do thiết lập nó theo cách mà họ thực sự phụ thuộc và họ thông đồng với nhau.”

Báo cáo nhướn mày vì LayerZero tự gọi mình là một giao thức “không đáng tin cậy” trong sách trắng của nó. Không tin tưởng là một nguyên lý cốt lõi của giao thức tiền điện tử, cố gắng phát triển các cơ chế, dù là kinh tế hay kỹ thuật, nhằm loại bỏ nhu cầu can thiệp của con người. 

Hơn nữa, các dự án sử dụng LayerZero thường di chuyển tài sản qua các chuỗi khối và các loại ứng dụng chuỗi chéo này, được gọi là cầu nối, là một trong những nhất dễ bị tổn thương các lĩnh vực phụ của tiền điện tử vào năm 2022, với hơn 1 tỷ đô la bị mất do khai thác.

Kỷ lục 760 triệu đô la bị đánh cắp trong các vụ khai thác trong 'Hacktober'

Tháng tồi tệ đối với bảo mật DeFi nêu bật những cạm bẫy của các hoạt động tự do

LayerZero trả lời

Nhóm tại LayerZero Labs, công ty đứng sau giao thức LayerZero, không tin rằng Urbański đã tiết lộ bất cứ điều gì chưa phải là thông tin công khai. 

“Giao thức LayerZero chỉ là một giao thức,” Ryan Zarick, đồng sáng lập và CTO tại LayerZero Labs, nói với The Defiant. “Bạn có thể xây dựng những điều tốt và xấu trên đó. Giống như bạn có thể xây dựng những thứ tốt và xấu trên internet và chuỗi khối.”

LayerZero có thể được sử dụng cho nhiều trường hợp sử dụng — SushiSwap sử dụng giao thức để tạo điều kiện giao dịch trên các chuỗi khối. Một công cụ tổng hợp lợi nhuận chuỗi chéo được gọi là Trạng thái hòa âm đang trong quá trình phát triển. Và một dự án có tên Gh0stly Gh0sts đã khởi chạy với NFT có thể vượt qua các chuỗi khối ngay từ đầu bằng cách sử dụng LayerZero vào tháng Tư. 

Mở khóa các giao dịch liên chuỗi khối an toàn hơn sẽ là một lợi ích đáng kể cho ngành công nghiệp tiền điện tử, vốn đang chịu sự kém hiệu quả của tài sản và thông tin được lưu trữ trên các chuỗi khối đơn lẻ. 

LayerZero là một trong những dự án nổi tiếng nhất để tạo điều kiện kết nối giữa các chuỗi khối — LayerZero Labs đã huy động được 213 triệu đô la tài trợ, theo Crunchbase.

Trong bối cảnh này, bài đăng của Urbański là một lời cảnh báo quan trọng đối với bất kỳ ai có ấn tượng rằng các ứng dụng được xây dựng trên LayerZero là hoàn toàn an toàn — vẫn còn chỗ cho sai sót.

Mục đích khác

Zarick của LayerZero Labs nhìn thấy động cơ thầm kín đằng sau bản báo cáo.

Ông nói với The Defiant: “Vấn đề chính của L2BEAT là họ không thể dễ dàng giám sát toàn bộ tất cả các ứng dụng hỗ trợ LayerZero bằng cách xem xét một bộ hợp đồng duy nhất.

Zarick tiếp tục: “Khi các ứng dụng chuỗi chéo trở nên phức tạp hơn, L2Beat bắt buộc phải viết các công cụ giám sát phức tạp và tùy chỉnh để giám sát đúng mức độ bảo mật của các ứng dụng này. “Việc đánh dấu tất cả các ứng dụng hỗ trợ LayerZero là không an toàn và làm mất uy tín của chúng dễ dàng hơn nhiều so với việc dành thời gian để thực hiện công việc thực tế trong việc đánh giá từng ứng dụng.”

Urbański nói với The Defiant rằng anh ấy không có ý định chọn ra bất kỳ giao thức nào. “Chúng tôi không muốn cuộc thảo luận này chỉ tập trung vào LayerZero, chúng tôi lấy nó làm ví dụ, nhưng mục tiêu chính là thực sự làm nổi bật các vấn đề bảo mật và châm ngòi cho cuộc thảo luận.”

Trong tương lai, Bryan Pelligron, Giám đốc điều hành của LayerZero Labs và Urbanski đã đồng ý để tranh luận thêm về vấn đề này trên Twitter Space. “Kết quả lý tưởng đối với chúng tôi là chúng tôi đưa ra một số kết luận sẽ làm cho cả LayerZero và toàn bộ hệ sinh thái trở nên an toàn hơn,” Urbański nói.