LayerZero Köprüleme Protokolü `Kritik Güvenlik Açıkları` Suçlamasını Reddetti

Summa'nın kurucusu James Prestwich, 382 milyon dolarlık Sıfır Katman köprüleme protokolünü “kritik bir güvenlik açığına ev sahipliği yapmakla suçladı.” 

Bir Ocak ayına göre. 30 Prestwich tarafından yazılan bu güvenlik açığı "tüm kullanıcı fonlarının çalınmasına neden olabilir." LayerZero CEO'su Bryan Pellegrino, güvenlik açığının yalnızca varsayılan yapılandırmayı değiştirmeyen uygulamalar için geçerli olduğunu iddia ederek Prestwich'in suçlamasını “kesinlikle şok edici” ve “çılgınca sahtekar” olarak nitelendirdi.

LayerZero, zincirler arası blok zinciri köprüleri oluşturmak için kullanılan bir protokoldür. En dikkate değer uygulaması, Ethereum, BNB Zinciri dahil olmak üzere birkaç farklı blok zinciri ağı arasında madeni paraları taşımak için kullanılabilen Yıldız Geçidi Köprüsüdür 
BNB, Avax'ın, MATİK ve diğerleri. Stargate, Ocak ayı itibariyle akıllı sözleşmelerinde 382 milyon dolarlık toplam kilitli değere (TVL) sahip. defillama'ya göre 30.

Teknik incelemesine göre, LayerZero protokolü, kripto para birimlerini bir ağdan diğerine taşımanın güvenilmez bir yolunu sunuyor. Bunu, bir madalyonun farklı bir zincire basılmasına izin vermeden önce madeni paraların bir zincire kilitlendiğini doğrulamak için bir Kahin ve Aktarıcı kullanarak yapar. Kahin ve Aktarıcı bağımsız oldukları ve birbirleriyle işbirliği yapmadıkları sürece, önce kaynak zincire kilitlenmeden hedef zincire madeni paraların basılması imkansız olmalıdır.

Ancak Prestwich, blog yazısında, LayerZero için “varsayılan yapılandırmayı” kullanan Yıldız Geçidi ve diğer köprülerin kritik bir güvenlik açığından muzdarip olduğunu iddia etti. Bu güvenlik açığının, LayerZero ekibinin “varsayılan Alıcı kitaplığı” uzaktan değiştirmesine veya “mesaj yüklerini keyfi olarak değiştirmesine” izin verdiğini ve bu da ekibin Oracle'ı atlamasını ve Aktarıcının köprüden istedikleri mesajı iletmesini sağlayabileceğini söylüyor. Bu, LayerZero varsayılan yapılandırmasıyla kullanıldığında, güvenliği için merkezi olmayan bir protokolden ziyade LayerZero ekibine olan güvene dayandığı anlamına gelir.

Prestwich ayrıca, Yıldız Geçidi'nin varsayılan yapılandırmayı kullandığı için bu güvenlik açığından muzdarip olduğunu iddia etti. Prestwich, bu güvenlik açığını azaltmak için LayerZero kullanan uygulama geliştiricilerine yapılandırmayı değiştirmek üzere akıllı sözleşmelerini değiştirmelerini önerir. Ancak, çoğu LayerZero uygulamasının hala varsayılan yapılandırmayı kullandığını ve bunları riske attığını söylüyor.

LayerZero CEO'su Bryan Pellegrino, Prestwich'in iddialarını Ocak ayında “çılgınca sahtekar” olarak nitelendirerek şiddetle reddetti. 30 tweet. 

Ocak ayında Cointelegraph ile yaptığı bir konuşmada. 31 Aralık'ta Pellegrino, tüm doğrulama kitaplıklarının "sonsuza dek değişmez olduğunu, dönem." Ekip yeni kitaplıklar ekleyebilir, ancak zaten var olanları “asla değiştiremez, kaldıramaz veya bunlara hiçbir şey yapamaz”. Ekip kayıt defterine yeni kitaplıklar ekleyebilirken, bir uygulama zaten kullanılacak belirli bir kitaplığı veya kitaplık kümesini seçtiyse, bu, LayerZero ekibi tarafından değiştirilemez.

Pellegrino, bir uygulamanın “işaret ettiği” kütüphanenin, uygulama geliştiricisi varsayılanları kullanıyorsa LayerZero ekibi tarafından değiştirilebileceğini, ancak varsayılan yapılandırmadan uzaklaşmışsa değiştirilemeyeceğini itiraf etti.

Prestwich'in Yıldız Geçidi'nin risk altında olduğu iddiasına gelince, Pellegrino, Yıldız Geçidi'nin Ocak ayında oy kullandığını söyleyerek yanıt verdi. 3 kütüphanesini varsayılandan daha gaz verimli olan belirli bir kütüphaneye değiştirmek için. Bu kütüphane değişikliğinin “bu hafta (muhtemelen bugün) uygulanmasını bekliyor.“Bu güncelleme yapıldıktan sonra, "Yıldız Geçidi oy vermedikçe ve kendileri değiştirmedikçe bu asla değişemeyecek.”

Zincirler arası köprü güvenliği, köprü hackleriyle milyonlarca dolar kaybedildiği için kripto topluluğunda son birkaç yıldır sıcak bir konu olmuştur. Mayıs ayında Axie Infinity Ronin Köprüsü, geliştiricilerin multisig cüzdanının anahtarlarını çalan ve herhangi bir destek almadan madeni para basmak için kullanan bir saldırgan tarafından 600 milyon dolara kullanıldı. 24 Haziran'da Harmony Horizon Köprüsü'ne benzer bir saldırı gerçekleşti ve 100 milyon dolarlık kripto çalındı. Harmony ekibi o zamandan beri LayerZero protokolünü kullanarak köprüyü yeniden başlattı.

Kaynak: cointelegraph.com