LayerZeroデフォルトライブラリコントラクトのセキュリティリスクが議論を呼び、研究者はクロスチェーンメッセージの偽造欠陥を指摘した

BlockBeats の報告によると、5月8日、今日早朝に ETHSecurity コミュニティのTelegramグループ内で、LayerZeroの共同創設者 Bryan Pellegrino とセキュリティ研究者の間で激しい議論が巻き起こった。研究者は、LayerZeroのデフォルトライブラリコントラクトに致命的な欠陥が存在し、LayerZero Labsは時間ロックなしで即時にこのコントラクトをアップグレードできるため、クロスチェーンメッセージを偽造できると指摘した。これは以前の rsETH 攻撃事件の根本的な原因であるとされる。報告によると、30億ドルを超えるLayerZero OFT（全链同質化トークン）がこのためにリスクにさらされていた。

Bantegによると、数週間前までにEthenaやEtherFiなどの主要プロジェクトはこのリスクのあるデフォルトライブラリコントラクトを使用し続けていた。現在も約1.78億ドルの価値が潜在的な攻撃リスクにさらされている。彼が公開したオンチェーンのデータによると、LayerZero Labsのマルチシグ署名者には非マルチシグ活動が存在し、Memeコインの取引やDEXでの交換、クロスチェーンブリッジ操作が行われている。これは、運用環境のマルチシグキーが一般的なウェブサイトに接続されていることを意味し、フィッシング攻撃のリスクを大きく高めている。批評家は、LayerZeroの秘密鍵管理レベルを「高校生並み」と直言している。

これに対し、LayerZeroの共同創設者Bryanは、関連する署名者は既に削除されており、取引は「テスト」であり、デフォルト設定は「安全性を優先しないチーム」に適していると反論した。また、多くの主要アプリがすでに切り替えを完了しており、LayerZeroはユーザーの安全性向上を推進しているが、すべてのアプリに対して個別に責任を追及しているわけではないと強調した。