Uniswap: проблемы с мостом LayerZero

Голосование через снимок Выбор кроссчейн-моста между Ethereum и BNB Chain для использования в Uniswap v3 завершился сегодня. 

Действительно, после положительного исхода голосование о возможной посадке Uniswap в цепочке BNB началась работа над длительным процессом внедрения всех необходимых инструментов, позволяющих DEX работать и на блокчейне Binance. 

Несколько дней назад Исполнительный директор Фонда Uniswap Девин Уолш запустил новый необязательный опрос относительно моста, который можно использовать для обеспечения связи протокола Uniswap на Ethereum с его версией в цепочке BSC. 

Опрос предлагает на выбор четыре моста: Wormhole, LayerZero, deBridge и Celer. 

Прямо сейчас Wormhole немного опережает LayerZero, но ненамного. 

Выбор Uniswap и проблемы LayerZero

Недавние проблемы LayerZero могут повлиять на результаты этого опроса, касающегося крупнейшей в мире DEX (Uniswap). 

На самом деле это не подтвержденные проблемы, а только обвинения, которые, возможно, были выдвинуты специально, чтобы попытаться навредить репутации Bridge, чтобы он проиграл завершающийся сегодня опрос. 

Все это происходит от опубликовать вчера основателем другого межсетевого мостового сервиса,  

Джеймс Прествич из Nomad заявил, что у LayerZero есть бэкдор, который позволяет ему обходить элементы управления безопасностью и передавать данные без чьего-либо разрешения.

По словам Прествича, это будут две критические уязвимости: одна в смарт-контракте Endpoint, а другая — в смарт-контракте UltraLightNodeV2. Через эти уязвимости MultiSig от LayerZero может «эксплуатировать пользовательские приложения, передавая произвольные сообщения в приложение без подписи Relayer или Oracle».

Утверждения Прествича очень серьезны, поскольку он также утверждает, что уязвимость активно эксплуатируется кодом LayerZero, предполагая, что команда LayerZero не только знает об этом, но и намеренно скрывает фактический контроль над приложениями.

Таким образом, теоретически LayerZero будет иметь возможность в одностороннем порядке украсть или перевести заблокированные средства на платформы, которые используют его услуги моста с настройками по умолчанию. 

Отрицание Пеллегрино

Соучредитель LayerZero Брайан Пеллегрино отрицал существование такого бэкдора, а также отрицал, что команда когда-либо пыталась его скрыть. 

Он объяснил, что каждое приложение имеет возможность выбирать только те свойства безопасности, которые оно намеревается использовать, так что конфигурация настроена так, что никто никогда не сможет сделать то, о чем размышляет Прествич. 

Действительно, по словам Пеллегрино, сам Прествич знал бы, что называть эту функцию критической уязвимостью безопасности — безумие.

Таким образом, стоит отметить, что Пеллегрино не отрицал наличие того, что Прествич называет «критическими уязвимостями» в смарт-контрактах Endpoint и UltraLightNodeV2, а лишь отрицал, что это действительно критические уязвимости. 

Важно иметь в виду, что мост Прествича, Nomad, фактически является конкурентом Pellegrino. 

Кроме того, Пеллегрино утверждает, что другие мосты, такие как Nomad и Wormhole, также имеют аналогичные характеристики, заявляя, что в худшем случае LayerZero работает так же, как Wormhole или Nomad. 

Возможно, именно поэтому такие обвинения, похоже, не оказали особенно серьезного влияния на текущий опрос, поскольку Wormhole опережает LayerZero лишь на несколько голосов. 

Отчасти это связано с тем, что сам мост Номада в Август прошлого года был атакован хакерами, которые использовали эксплойт для кражи около 200 миллионов долларов. 

Мосты

Мосты — одна из критических точек криптоэкосистемы. 

Отдельные блокчейны, в том числе цепочки Ethereum и BNB, не могут обмениваться информацией напрямую, но для этого им нужны именно так называемые «мосты». 

Задача мостов — работать одновременно на разных блокчейнах, чтобы извлекать информацию из одного и делать ее доступной для другого. 

Например, все так называемые обернутые жетоны — это токены, созданные на мостах, чтобы токены из других блокчейнов могли быть представлены на тех, на которых работает мост. 

Поскольку это неродные инструменты, мосты могут иметь проблемы с уязвимостями, в зависимости от того, кто их создал, как они были созданы и были ли они протестированы. Поскольку это смарт-контракты с открытым исходным кодом, теоретически любой может их проверить, но иногда случается так, что какая-то возможная проблема ускользает. 

К настоящему времени бесчисленное количество раз случалось, что какой-то хакер обнаруживал уязвимости на каком-то мосту и использовал их для кражи токенов. 

Поэтому опасения, высказанные Прествичем, нельзя игнорировать, однако, если мост со временем окажется прочным, его можно считать вполне надежным. 

Более того, во многих случаях разные мосты на самом деле работают очень похоже, поскольку все они делают практически одно и то же с помощью одних и тех же инструментов, как указывал сам Пеллегрино. Так что случаи уязвимостей хоть и единичны, но и многочисленны, и для многих из них решения тоже уже хорошо известны и проверены.