Giám đốc điều hành của Layerzero, Bryan Pellegrino đã bác bỏ các cáo buộc từ người đứng đầu Nomad liên quan đến cầu nối cross chain Stargate.
Trong 1 bài đăng trên blog, CTO của cầu nối cross chain Nomad, James Prestwich cho rằng LayerZero có thể bỏ qua các biện pháp kiểm soát bảo mật để truyền dữ liệu giữa các blockchain mà không cần sự cấp phép.
Hello, today we are disclosing two critical trusted-party vulnerabilities in the LayerZero smart contracts. These issues allow the LayerZero team to completely bypass the Oracle and Relayer for most applications (including stargate).https://t.co/C7Gh6ns56S
— James Prestwich (@_prestwich) January 30, 2023
Theo James Prestwich, các lỗ hổng chỉ có thể bị khai thác bởi các thành viên trong nhóm và đây là một trong những lý do anh ấy đưa ra cảnh báo, vì nguy cơ bị khai thác từ bên ngoài thấp hơn.
Lỗ hổng đầu tiên sẽ cho phép các tin nhắn lừa đảo được gửi từ LayerZero multisig. Kiểu khai thác này có thể dẫn đến việc đánh cắp “tất cả tiền của người dùng,” Prestwich viết trên Twitter.
Lỗ hổng thứ hai sẽ cho phép sửa đổi tin nhắn sau khi oracle và multisig đã ký tắt trên tin nhắn hoặc giao dịch. Tương tự, Prestwich tuyên bố lỗ hổng này có thể dẫn đến việc đánh cắp tất cả tiền của người dùng.
Prestwich cho biết nhóm LayerZero đã biết về các lỗ hổng trên và không tiết lộ hoặc giải quyết chúng theo cách khác”.
Prestwich cho rằng cầu nối cross chain Stargate có cả 2 lỗ hổng và đang bị nhóm LayerZero tích cực khai thác để sửa đổi các thông báo.
Prestwich cũng cho biết thêm 2 lỗ hổng trên là phổ biến và không phải là vấn đề lớn. Tuy nhiên, vấn đề là LayerZero đã phủ nhận xảy ra những lỗ hổng đó và tận dụng quyền truy cập để với Stargate.
Giám đốc điều hành của LayerZero, Bryan Pellegrino, đã bác bỏ các tuyên bố này, mặc dù ông thừa nhận rằng vấn đề này có thể ảnh hưởng đến phần lớn các dự án trên LayerZero.
It's funny because I would imagine a guy who promoted his project as trustless w/fraud proofs but retained the ability to upgrade contracts, did so, and was lost all of the funds (2nd messaging protocol in a row he's built that has been hacked) would focus on his own code
— Bryan Pellegrino (@PrimordialAA) January 30, 2023
Về cáo buộc của Prestwich cho rằng đội ngũ của LayerZero che giấu những lỗ hổng này, Pellegrino nói rằng đội ngũ không che dấu bất cứ điều gì.
Xem thêm: LayerZero là gì? Hướng dẫn trải nghiệm LayerZero để có cơ hội nhận Airdrop
LayerZero là một giao thức có khả năng tương tác omnichain hợp nhất các ứng dụng phi tập trung (dapps) trên các blockchains khác nhau được phát triển bởi LayerZero Labs.
Vào cuối tháng 3/2022, LayerZero Labs đã huy động được 135 triệu đô la với mức định giá 1 tỷ đô la do Andreessen Horowitz (a16z), FTX Ventures và Sequoia Capital đồng dẫn đầu. Trước đó vào tháng 9/2021, LayerZero cũng đã huy động 6 triệu đô trong vòng gọi vốn Series A do Multicoin Capital và Binance Labs đồng dẫn đầu.
