El fundador de Summa, James Prestwich, ha acusado al protocolo puente LayerZero, valorado en USD 382 millones, de tener una "vulnerabilidad crítica".
Según un post de Prestwich del 30 de enero, esta vulnerabilidad "podría resultar en el robo de todos los fondos de los usuarios". El CEO de LayerZero, Bryan Pellegrino, ha calificado la acusación de Prestwich de "absolutamente chocante" y "salvajemente deshonesta", afirmando que la vulnerabilidad sólo se aplica a las aplicaciones que no modifican la configuración por defecto.
Absolutely shocking that a competitor would put out a wildly dishonest post about us. Happy to have @zellic_io @osec_io @ZOKYO_io or any other of the auditing firms come comment and dispel but let me summarize.
— Bryan Pellegrino (@PrimordialAA) January 30, 2023
If you set up your own config, absolutely none of this is true https://t.co/zXdqkqO4rZ
LayerZero es un protocolo utilizado para crear puentes entre cadenas de bloques. Su aplicación más notable es el puente Stargate, que se puede utilizar para mover monedas entre varias redes blockchain diferentes, incluyendo Ethereum, BNB Chain (BNB), Avalanche (AVAX), Polygon (MATIC) y otros. Stargate tiene USD 382 millones de valor total bloqueado (TVL) en sus contratos inteligentes a 30 de enero, según DeFi Llama.
Según su informe, el protocolo LayerZero proporciona una forma fiable de mover criptomonedas de una red a otra. Para ello utiliza un Oracle y un Relayer que verifican que las monedas están bloqueadas en una cadena antes de permitir que se acuñe una moneda en una cadena diferente. Siempre que el Oracle y el Relayer sean independientes y no actúen en connivencia entre sí, debería ser imposible acuñar monedas on-chain de destino sin que antes estén bloqueadas en la cadena de origen.
Sin embargo, Prestwich afirmó en una entrada de blog del 30 de enero que Stargate y otros puentes que utilizan la "configuración por defecto" de LayerZero adolecen de una vulnerabilidad crítica. Afirmaba que esta vulnerabilidad permite al equipo de LayerZero cambiar de forma remota "la biblioteca receptora predeterminada" o "modificar arbitrariamente las cargas útiles de los mensajes", lo que puede permitir al equipo eludir el Oracle y el Relayer para transmitir cualquier mensaje que deseen a través del puente. Esto implica que cuando LayerZero se utiliza con su configuración por defecto, su seguridad depende de la confianza en el equipo LayerZero y no en un protocolo descentralizado.
Prestwich afirmó además que Stargate sufre esta vulnerabilidad desde que utiliza la configuración por defecto. Para mitigar esta vulnerabilidad, Prestwich aconseja a los desarrolladores de aplicaciones que utilizan LayerZero que modifiquen sus contratos inteligentes para cambiar la configuración. Sin embargo, afirma que la mayoría de las aplicaciones de LayerZero siguen utilizando la configuración por defecto, lo que las pone en peligro.
El CEO de LayerZero, Bryan Pellegrino, negó enérgicamente las afirmaciones de Prestwich, calificándolas de "tremendamente deshonestas" en un tuit del 30 de enero.
En una conversación con Cointelegraph el 31 de enero, Pellegrino afirmó que todas las bibliotecas de validación "son inmutables para siempre, punto". El equipo puede añadir nuevas bibliotecas pero "nunca puede cambiar, eliminar o hacer nada a" las que ya existen. Aunque el equipo puede añadir nuevas bibliotecas al registro, si una aplicación ya ha elegido una determinada biblioteca o conjunto de bibliotecas para su uso, esto no puede ser cambiado por el equipo de LayerZero.
Pellegrino admitió que la biblioteca a la que "apunta" una aplicación puede ser modificada por el equipo de LayerZero si el desarrollador de la aplicación está utilizando los valores predeterminados, pero no si ya se ha alejado de la configuración por defecto.
En cuanto a la afirmación de Prestwich de que Stargate está en peligro, Pellegrino respondió diciendo que la StargateDAO votó el 3 de enero cambiar su biblioteca por defecto por una específica que es más eficiente en el consumo de gas. Espera que este cambio de biblioteca se aplique "esta semana (probablemente hoy)". Una vez que se haga esta actualización, "eso nunca podrá cambiar en ellos a menos que Stargate vote y lo cambie ellos mismos".
La seguridad de los puentes cross-chain ha sido un tema candente en la comunidad criptográfica en los últimos años, ya que se han perdido millones de dólares por hackeos de puentes. En mayo de 2022, el Ronin Bridge de Axie Infinity fue vulnerado por USD 600 millones por un atacante que robó las claves del monedero multisig de los desarrolladores y lo utilizó para acuñar monedas sin respaldo. Un ataque similar se produjo contra el puente Harmony Horizon el 24 de junio de 2022. En el ataque a Horizon se perdieron más de USD 100 millones. Desde entonces, el equipo de Harmony ha relanzado el puente utilizando el protocolo LayerZero.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
Sigue leyendo:
- Se lanza la moneda estable algorítmica 'Djed' respaldada por ADA en Cardano
- Lemon Cash se abre paso a las DeFi de la mano del protocolo Aave
- Friktion, un proyecto DeFi nativo de la red Solana, cierra su plataforma de usuarios
- Holders de Uniswap proponen cambiar la red Ethereum por BNB Chain para lanzar la versión 3.0 del protocolo
- El número de desarrolladores aumentó durante el criptoinvierno, revela un informe de Electric Capital
- El hacker de Wormhole mueve USD 155 millones, lo que es el mayor movimiento de fondos robados en meses
- 5 altcoins que produjeron ganan cias de dos dígitos mientras el precio de Bitcoin repuntaba en enero