LayerZero стандартная библиотека контрактов вызывает споры из-за рисков безопасности, исследователи указали на наличие уязвимости подделки межцепочечных сообщений

BlockBeats Новости, 8 мая, ранее сегодня, в Telegram-группе ETHSecurity Community разгорелась ожесточённая дискуссия между соучредителем LayerZero Брайаном Пеллегрино и специалистами по безопасности. Исследователи указали, что в стандартных библиотечных контрактах LayerZero есть критическая уязвимость, позволяющая LayerZero Labs без временной блокировки и мгновенного обновления этого контракта подделывать межцепочечные сообщения, что является основной причиной предыдущей атаки rsETH. Сообщается, что более 3 миллиардов долларов в межцепочечных однородных токенах LayerZero OFT подвергались риску из-за этого.

По информации, раскрытой Banteg, несколько недель назад такие крупные проекты, как Ethena и EtherFi, всё ещё использовали этот уязвимый стандартный библиотечный контракт. В настоящее время около 178 миллионов долларов находятся под угрозой потенциальной атаки. На основе данных, опубликованных на блокчейне, видно, что у мультиподписных подписантов LayerZero Labs есть не только мультиподписные операции, включая транзакции с мем-токенами, обмены на DEX и межцепочечные мосты. Это означает, что мультиподписные ключи в рабочей среде связаны с обычными сайтами, что значительно увеличивает риск фишинговых атак. Критики прямо заявляют, что уровень управления приватными ключами LayerZero «как у старшеклассника».

На это соучредитель LayerZero Брайан ответил, что соответствующие подписанты были удалены, транзакции — «тестовые», а стандартная конфигурация предназначена для «команд, не приоритетных в вопросах безопасности», и подчеркнул, что большинство крупных приложений уже перешли на новые настройки, LayerZero продвигает безопасность пользователей, но не обвиняет по отдельности все приложения.