El fundador de Summa, James Prestwich, ha acusado el protocolo de puente LayerZero de $ 382 millones de albergar una “vulnerabilidad crítica”.
Según un 30 de enero publicar por Prestwich, esta vulnerabilidad “podría resultar en el robo de todos los fondos de los usuarios”. El CEO de LayerZero, Bryan Pellegrino, calificó la acusación de Prestwich como “absolutamente impactante” y “tremendamente deshonesta”, afirmando que la vulnerabilidad solo se aplica a las aplicaciones que no modifican la configuración predeterminada.
Absolutamente impactante que un competidor publique una publicación tremendamente deshonesta sobre nosotros. feliz de tener @zellic_io @osec_io @ZOKYO_io o cualquier otra de las firmas auditoras venga a comentar y disipar pero déjeme resumir.
Si configura su propia configuración, absolutamente nada de esto es cierto https://t.co/zXdqkqO4rZ
—Bryan Pellegrino (@PrimordialAA) 30 de enero de 2023
LayerZero es un protocolo utilizado para crear puentes de cadena de bloques entre cadenas. Su aplicación más notable es Stargate Bridge, que se puede usar para mover monedas entre varias redes de blockchain diferentes, incluidas Ethereum, BNB Chain (BNB), Avalanche (AVAX), Polygon (MATIC) y otras. puerta estelar posee $382 millones de valor total bloqueado (TVL) en sus contratos inteligentes al 30 de enero, según DefiLlama.
Según su documento técnico, el protocolo LayerZero proporciona una forma confiable de mover criptomonedas de una red a otra. Lo hace mediante el uso de Oracle y Relayer para verificar que las monedas estén bloqueadas en una cadena antes de permitir que se acuñe una moneda en una cadena diferente. Siempre que Oracle y Relayer sean independientes y no se confabulen entre sí, debería ser imposible acuñar monedas en la cadena de destino sin antes bloquearlas en la cadena de origen.
Sin embargo, Prestwich reclamado en su publicación de blog que Stargate y otros puentes que usan la “configuración predeterminada” para LayerZero sufren una vulnerabilidad crítica. Él dice que esta vulnerabilidad permite al equipo de LayerZero cambiar de forma remota “la biblioteca de recepción predeterminada” o “modificar arbitrariamente las cargas de mensajes”, lo que puede permitir que el equipo pase por alto Oracle y Relayer para transmitir cualquier mensaje que deseen a través del puente. Esto implica que cuando se usa LayerZero con su configuración predeterminada, depende de la confianza en el equipo de LayerZero en lugar de un protocolo descentralizado para su seguridad.
Prestwich afirmó además que Stargate sufre de esta vulnerabilidad ya que usa la configuración predeterminada. Para mitigar esta vulnerabilidad, Prestwich aconseja a los desarrolladores de aplicaciones que usan LayerZero modificar sus contratos inteligentes para cambiar la configuración. Sin embargo, dice que la mayoría de las aplicaciones de LayerZero todavía usan la configuración predeterminada, lo que las pone en riesgo.
Relacionado: La interoperabilidad entre cadenas sigue siendo una barrera para la adopción masiva de criptomonedas
El director ejecutivo de LayerZero, Bryan Pellegrino, negó enérgicamente las afirmaciones de Prestwich y las calificó de “tremendamente deshonestas” en un tuit del 30 de enero.
En una conversación con Cointelegraph el 31 de enero, Pellegrino afirmó que todas las bibliotecas de validación “son inmutables para siempre, punto”. El equipo puede agregar nuevas bibliotecas pero “nunca puede cambiar, eliminar o hacer nada” a las que ya existen. Si bien el equipo puede agregar nuevas bibliotecas al registro, si una aplicación ya eligió una biblioteca en particular o un conjunto de bibliotecas para usar, el equipo de LayerZero no puede cambiar esto.
Pellegrino admitió que el equipo de LayerZero puede cambiar la biblioteca a la que “apunta” una aplicación si el desarrollador de la aplicación está usando los valores predeterminados, pero no si ya se ha alejado de la configuración predeterminada.
En cuanto a la afirmación de Prestwich de que Stargate está en riesgo, Pellegrino respondió diciendo que StargateDAO votó el 3 de enero para cambiar su biblioteca predeterminada a una específica que sea más eficiente en el uso de gas. Él espera que este cambio en la biblioteca se implemente “esta semana (probablemente hoy)”. Una vez que se realice esta actualización, “eso nunca podrá cambiar en ellos a menos que Stargate vote y lo cambie ellos mismos”.
La seguridad de los puentes entre cadenas ha sido un tema candente en la comunidad criptográfica en los últimos años, ya que se han perdido millones de dólares a través de la piratería de puentes. En mayo, el Axie Infinity Ronin Bridge fue explotado por $ 600 millones por un atacante que robó las llaves de la billetera multisig de los desarrolladores y la usó para acuñar monedas sin ningún respaldo. Un ataque similar ocurrió contra el Puente Harmony Horizon el 24 de junio, con $100 millones en criptomonedas robadas. Desde entonces, el equipo de Harmony ha relanzado el puente utilizando el protocolo LayerZero.