Uniswap: problemer med LayerZero-broen

Stemmer via snapshot å velge krysskjedebroen mellom Ethereum og BNB Chain som skal brukes på Uniswap v3, ble avsluttet i dag. 

Faktisk, etter det positive resultatet av avstemning på mulig landing av Uniswap på BNB-kjeden, har arbeidet startet med den lange prosessen med å implementere alle nødvendige verktøy for å gjøre det mulig for DEX å fungere på Binance-blokkjeden også. 

For noen dager siden administrerende direktør for Uniswap Foundation, Devin Walsh, lanserte en ny ikke-bindende undersøkelse angående broen som kan brukes til å gjøre det mulig for Uniswap-protokollen på Ethereum å kommunisere med sin versjon på BSC-kjeden. 

Avstemningen foreslår et valg av fire broer: Wormhole, LayerZero, deBridge og Celer. 

Akkurat nå ligger Wormhole litt foran LayerZero, men bare så vidt. 

Uniswaps valg og LayerZeros problemer

De nylige problemene til LayerZero kan veie på utfallet av denne meningsmålingen, som gjelder verdens største DEX (Uniswap). 

I virkeligheten er dette ikke bekreftede problemer, kun påstander, som kan ha blitt tatt opp spesifikt for å prøve å skade Bridges rykte slik at den ville tape avstemningen som avsluttes i dag. 

Det hele stammer fra en innlegg i går av grunnleggeren av en annen tverrkjedebro-tjeneste,  

James Prestwich fra Nomad hevdet at LayerZero har en bakdør som ville tillate den å omgå sikkerhetskontroller for å sende data uten noens tillatelse.

I følge Prestwich vil dette være to kritiske sårbarheter, en i Endpoint-smartkontrakten og en annen i UltraLightNodeV2-smartkontrakten. Gjennom disse sårbarhetene kunne LayerZero's MultiSig "utnytt brukerapplikasjoner ved å sende vilkårlige meldinger til applikasjonen uten Relayer eller Oracle sign-off."

Prestwichs påstander er svært alvorlige, fordi han også hevder at sårbarheten blir aktivt utnyttet av LayerZero-kode, noe som tyder på at ikke bare er LayerZero-teamet klar over det, men også at de bevisst skjuler kontrollen de faktisk ville ha over applikasjoner.

Som sådan ville LayerZero i teorien ha muligheten til ensidig å stjele eller flytte låste midler til plattformer som bruker brotjenester med standardinnstillinger. 

Pellegrinos fornektelse

LayerZero-medgründer Bryan Pellegrino benektet eksistensen av en slik bakdør og benektet også at teamet noen gang prøvde å skjule det. 

Han forklarte at hver applikasjon har muligheten til å velge bare sikkerhetsegenskapene den har til hensikt å bruke, slik at konfigurasjonen er satt opp slik at ingen noen gang kan gjøre det Prestwich spekulerer i. 

Faktisk, ifølge Pellegrino, ville Prestwich selv vite at det er galskap å kalle denne funksjonen en kritisk sikkerhetssårbarhet.

Dermed er det verdt å merke seg at Pellegrino ikke benektet eksistensen av det Prestwich kaller "kritiske sårbarheter" i Endpoint og UltraLightNodeV2 smarte kontrakter, men bare benektet at dette faktisk er kritiske sårbarheter. 

Det er viktig å huske på at Prestwichs bro, Nomad, faktisk er en konkurrent til Pellegrino. 

Videre hevder Pellegrino at andre broer, som Nomad og Wormhole, også har lignende egenskaper, og sier at LayerZero i verste fall fungerer på samme måte som Wormhole eller Nomad. 

Kanskje dette er grunnen til at slike påstander ikke ser ut til å ha hatt en særlig alvorlig innvirkning på den nåværende undersøkelsen, siden Wormhole ligger foran LayerZero kun med svært få stemmer. 

Dette er delvis fordi Nomad er svært bro inn August i fjor ble angrepet av hackere som utnyttet en utnyttelse for å stjele rundt 200 millioner dollar i midler. 

Bridges

Broer er et av de kritiske punktene i kryptoøkosystemet. 

Individuelle blokkkjeder, inkludert Ethereum- og BNB-kjeder, er ikke i stand til å utveksle informasjon direkte, men for å gjøre det krever de nøyaktig såkalte "broer". 

Broers oppgave er å operere samtidig på forskjellige blokkkjeder for å trekke ut informasjon fra den ene og gjøre den tilgjengelig på den andre. 

For eksempel alle de såkalte innpakkede symboler er tokens opprettet på broer slik at tokens fra andre blokkkjeder kan representeres på de broen opererer på. 

Siden de er ikke-innfødte verktøy, kan broer ha sårbarhetsproblemer, avhengig av hvem som har laget dem, hvordan de ble opprettet, og om de har blitt testet eller ikke. Siden de er smarte kontrakter med åpen kildekode kan hvem som helst teoretisk sjekke dem, men noen ganger hender det at et eventuelt problem slipper gjennom sprekkene. 

Nå har det skjedd utallige ganger at en hacker har oppdaget sårbarheter på en bro og utnyttet den til å stjele tokens. 

Derfor kan ikke bekymringene som er reist av Prestwich ignoreres, men hvis en bro viser seg å være solid over tid, kan den anses som ganske pålitelig. 

Dessuten fungerer de forskjellige broene i mange tilfeller veldig likt, siden de alle gjør praktisk talt det samme med de samme verktøyene, som Pellegrino selv påpekte. Så sårbarhetssakene er isolerte, om enn mange, og for mange av dem er løsningene også allerede godt kjent og testet.