Rủi ro an toàn của hợp đồng thư viện mặc định LayerZero gây tranh cãi, các nhà nghiên cứu chỉ ra tồn tại lỗ hổng giả mạo tin nhắn chuỗi chéo

BlockBeats Tin tức, ngày 8 tháng 5, vào đầu ngày hôm nay, trong nhóm Telegram của cộng đồng ETHSecurity, đã xảy ra cuộc tranh luận gay gắt giữa đồng sáng lập LayerZero Bryan Pellegrino và các nhà nghiên cứu an ninh. Các nhà nghiên cứu chỉ ra rằng, hợp đồng thư viện mặc định của LayerZero tồn tại lỗ hổng chết người, LayerZero Labs có thể nâng cấp hợp đồng này mà không cần khóa thời gian, từ đó giả mạo tin nhắn xuyên chuỗi, chính là nguyên nhân chính của vụ tấn công rsETH trước đây. Theo đó, hơn 3 tỷ USD của LayerZero OFT (Token đồng nhất toàn chuỗi) đã từng đối mặt với rủi ro.

Theo tiết lộ của Banteg, cách đây vài tuần, các dự án chính như Ethena, EtherFi vẫn đang sử dụng hợp đồng thư viện mặc định có rủi ro này. Hiện vẫn còn khoảng 1,78 tỷ USD giá trị bị đặt trong tình trạng tiềm ẩn nguy cơ tấn công. Dữ liệu trên chuỗi do ông tiết lộ cho thấy, các signer đa chữ ký của LayerZero Labs có hoạt động không phải đa chữ ký, bao gồm giao dịch Meme coin, đổi token trên DEX và thao tác qua cầu xuyên chuỗi. Điều này có nghĩa là khóa đa chữ ký trong môi trường sản xuất đã kết nối với các trang web thông thường, làm tăng đáng kể rủi ro bị lừa đảo qua mạng. Các nhà phê bình thẳng thắn cho rằng, mức độ quản lý khóa riêng của LayerZero “giống như học sinh trung học”.

Về phần mình, đồng sáng lập LayerZero Bryan phản hồi rằng, các signer liên quan đã bị loại bỏ, các giao dịch là “kiểm thử”, và cấu hình mặc định phù hợp với “nhóm không ưu tiên an toàn”, đồng thời nhấn mạnh rằng phần lớn các ứng dụng chính đã chuyển đổi, LayerZero đang thúc đẩy an toàn cho người dùng, nhưng chưa truy cứu trách nhiệm từng ứng dụng một.