Uniswap: problémy s mostem LayerZero

Hlasování přes momentka k výběru cross-chain bridge mezi Ethereem a BNB Chain, který bude použit na Uniswap v3, dnes skončilo. 

Skutečně, po pozitivním výsledku hlasování o možném přistání Uniswapu na řetězci BNB začala práce na dlouhém procesu implementace všech nezbytných nástrojů, které umožní DEX pracovat i na blockchainu Binance. 

Před několika dny výkonný ředitel nadace Uniswap, Devin Walsh, zahájil nový nezávazný průzkum týkající se mostu, který by mohl být použit k tomu, aby protokol Uniswap na Ethereu mohl komunikovat s jeho verzí v řetězci BSC. 

Anketa navrhuje výběr ze čtyř mostů: Wormhole, LayerZero, deBridge a Celer. 

Právě teď je Wormhole mírně před LayerZero, ale jen těsně. 

Volba Uniswapu a problémy LayerZero

Nedávné problémy LayerZero mohou ovlivnit výsledek tohoto průzkumu, který se týká největšího světového DEX (Uniswap). 

Ve skutečnosti se nejedná o potvrzené problémy, pouze o obvinění, která mohla být vznesena specificky ve snaze poškodit pověst Bridge, aby prohrála dnes končící anketu. 

To vše vychází z a příspěvek včera zakladatelem jiné překlenovací služby typu cross-chain bridge,  

James Prestwich z Nomad tvrdil, že LayerZero má zadní vrátka, která by jí umožnila obejít bezpečnostní kontroly a předávat data bez něčího svolení.

Podle Prestwiche by se jednalo o dvě kritické zranitelnosti, jednu v inteligentní smlouvě Endpoint a druhou v inteligentní smlouvě UltraLightNodeV2. Prostřednictvím těchto zranitelností by mohl MultiSig od LayerZero „využívání uživatelských aplikací předáváním libovolných zpráv aplikaci bez odhlášení Relayer nebo Oracle.“

Prestwichova obvinění jsou velmi závažná, protože také tvrdí, že zranitelnost je aktivně využívána kódem LayerZero, což naznačuje, že nejen tým LayerZero si je toho vědom, ale také záměrně skrývá kontrolu, kterou by nad aplikacemi skutečně měl.

Jako takový by teoreticky měl LayerZero možnost jednostranně krást nebo přesouvat uzamčené prostředky na platformy, které využívají jeho překlenovací služby s výchozím nastavením. 

Pellegrinovo popření

Spoluzakladatel LayerZero Bryan Pellegrino existenci takových zadních vrátek popřel a také popřel, že by se je tým někdy pokusil skrýt. 

Vysvětlil, že každá aplikace má možnost vybrat pouze bezpečnostní vlastnosti, které hodlá použít, takže konfigurace je nastavena tak, aby nikdo nikdy nemohl udělat to, co Prestwich spekuluje. 

Podle Pellegrina by Prestwich sám věděl, že nazývat tuto funkci kritickou bezpečnostní zranitelností je šílené.

Stojí tedy za zmínku, že Pellegrino nepopřel existenci toho, co Prestwich nazývá „kritickými zranitelnostmi“ v inteligentních kontraktech Endpoint a UltraLightNodeV2, ale pouze popřel, že se skutečně jedná o kritické zranitelnosti. 

Je důležité mít na paměti, že Prestwichův most, Nomad, je ve skutečnosti konkurentem Pellegrina. 

Kromě toho Pellegrino tvrdí, že jiné mosty, jako je Nomad a Wormhole, mají také podobné vlastnosti, přičemž uvádí, že v nejhorším případě funguje LayerZero stejným způsobem jako Wormhole nebo Nomad. 

Možná to je důvod, proč se nezdá, že by taková obvinění měla na současný průzkum nějak zvlášť závažný dopad, protože Wormhole je před LayerZero jen o velmi málo hlasů. 

Částečně je to proto, že Nomad je velmi mostem dovnitř Loni v srpnu byla napadena hackery, kteří zneužili zneužití ke krádeži asi 200 milionů dolarů ve finančních prostředcích. 

Mosty

Mosty jsou jedním z kritických bodů krypto ekosystému. 

Jednotlivé blockchainy, včetně řetězců Ethereum a BNB, si nemohou vyměňovat informace přímo, ale k tomu potřebují přesně takzvané „mosty“. 

Úkolem mostů je fungovat současně na různých blockchainech tak, aby z jednoho získávaly informace a na druhém je zpřístupňovaly. 

Například všechny tzv zabalené žetony jsou tokeny vytvořené na mostech, takže tokeny z jiných blockchainů mohou být zastoupeny na těch, na kterých most funguje. 

Protože se nejedná o nativní nástroje, mohou mít mosty problémy se zranitelností v závislosti na tom, kdo je vytvořil, jak byly vytvořeny a zda byly nebo nebyly testovány. Vzhledem k tomu, že se jedná o chytré smlouvy s otevřeným zdrojovým kódem, může je teoreticky zkontrolovat každý, ale občas se stane, že nějaký případný problém proklouzne. 

Nyní se již nesčetněkrát stalo, že nějaký hacker objevil zranitelnost na nějakém mostě a zneužil jej ke krádeži tokenů. 

Proto obavy vznesené Prestwichem nelze ignorovat, pokud se však most časem ukáže jako pevný, lze jej považovat za docela spolehlivý. 

Navíc v mnoha případech různé mosty skutečně fungují velmi podobně, protože všechny dělají prakticky totéž se stejnými nástroji, jak sám Pellegrino poukázal. Případy zranitelnosti jsou tedy izolované, i když četné, a pro mnohé z nich jsou řešení také již dobře známá a otestovaná.