Cryptonews

随着开发者推动安全争论,LayerZero 风险升级

Source
CryptoNewsTrend
Published
随着开发者推动安全争论,LayerZero 风险升级

LayerZero 的 Bryan Pellegrino(LayerZero 联合​​创始人兼首席执行官)和安全研究人员在 ETHSecurity 社区电报群中爆发了一场激烈的争论。争论的焦点是 LayerZero Labs 可以在没有时间锁的情况下升级的默认库合约,这使得超过 30 亿美元的 LayerZero Omnichain Fungible Tokens (LZ OFT) 面临类似于最近 rsETH 黑客攻击的风险。

Spark:易受攻击的默认库已暴露

安全研究人员强调,LayerZero 的默认库合约也允许团队进行即时升级,而无需任何延迟机制(如时间锁)。通过这种设置,团队成员可以伪造一条跨链消息,该消息可以模仿 rsETH 漏洞,攻击者通过伪造验证来耗尽资金。

据研究人员 Banteg 称,Ethena 和 EtherFi 等项目几周前还在使用这个默认库。即使是现在,链上数据显示,如果 LayerZero Labs 的控制权被滥用,来自各个项目的 1.78 亿美元价值仍然面临这种风险。

Yearn 开发者 Banteg 警告说,许多协议仍然危险地依赖于 LayerZero 的默认 3-of-5 多重签名设置,之后他加强了整件事。他认为,依赖默认接收库而没有更强保护的项目会让自己面临不必要的风险,因为对 LayerZero 多重签名的任何妥协都可能让攻击者立即耗尽连接的适配器。

在 Kelp 漏洞利用之后,Banteg 估计易受攻击的适配器最初代表了约 31.3 亿美元的潜在风险,但在一些项目强化其配置后,这一数字随后大幅下降。

尽管取得了这些进展,他强调许多协议仍然容易受到攻击。通过发布针对这些集成安全性的准确技术指南,Banteg 将争论从理论转向了可操作的风险,重新引发了人们对 LayerZero 中心化依赖性的担忧。

LayerZero 不需要采取恶意行动来避免危险的发生,其系统的任何妥协都可能导致对所有依赖项目的供应链攻击。这反映了过去在 LayerZero 的 Endpoint 和 UltraLightNode 合约中标记类似可信部分风险的审计。

多重签名者陷入高风险活动

链上证据表明,LayerZero 实验室的生产多重签名者(旨在确保数十亿美元的安全)被用于危险的个人活动。其中包括在 Uniswap 上交易 memecoin McPepes (PEPES)、DEX 互换以及桥接资产,将密钥暴露给钓鱼网站。

Chainlink 社区人物 Zach Rynes 在 X(以前称为 Twitter)上大声疾呼。他将其称为基本操作安全和密钥隔离的彻底失败,引发了供应链攻击的担忧。

LayerZero 的 Bryan 声称他们正在测试“$PEPE 的 OFT 集成”,但批评者指出 $PEPE 甚至尚未部署,而 McPepes 是完全不同的代币。这种对生产密钥的不当处理解释了他们之前的朝鲜黑客攻击漏洞,Lazarus Group 通过受损的 RCP 将其作为目标。

LayerZero 的安全问题历史

LayerZero Labs 因操作安全失误而面临反复审查。朝鲜黑客成功渗透了他们的基础设施,在 KelpDAO rsETH 漏洞中欺骗 RPC 数据,窃取了 290-2.92 亿美元,LayerZero 将此归咎于 Kelp 的单一 DVN 设置。

过去的报告(例如 ZeroValidation)详细介绍了多重签名漏洞,允许在没有任何适当签名的情况下发送任意消息,迁移的项目将这些视为中心化风险蔓延到用户资金的迹象。

rsETH 黑客攻击表明,薄弱的配置如何放大危险,LayerZero 在事件发生后停止了单验证器应用程序的签名。批评者认为,默认设置会在没有明确警告的情况下将用户推向危险的道路。

布莱恩与研究人员:Telegram 中的冲突

在 ETHSecurity Telegram 辩论中,Bryan 为 LayerZero 辩护,但研究人员反驳了图书馆风险和多重签名滥用问题。他们强调,与 DEX 和 memecoin 交易相关的生产密钥是钓鱼诱饵,尤其是在朝鲜违规后。布莱恩驳回了一些说法,但该组织强调了 30 亿美元以上的 OFT 风险。

影响者的强烈反对和项目转移

另一位加密货币影响者 Ed 在 X 上发帖称,该协议的捍卫者忽视了一个重大问题,即其自身的中心化基础设施已受到损害。

在 4 月 18 日发生与 LayerZero 相关的漏洞之后,KelpDAO 宣布将 rsETH 迁移到 Chainlink CCIP,原因是担心基础设施安全和未解决的生态系统问题。

Solv 协议现在发生了更大的转变。经过安全审查后,该协议正在将价值超过 7 亿美元的 SolvBTC 和 xSolvBTC 生态系统从 LayerZero 桥上移走。

总之,这些背靠背的迁移凸显了行业的不断转变,因为主要协议越来越优先考虑更强大的安全保证、主动监控和机构级跨链基础设施。

这些迁移