Uniswap: праблемы з мостам LayerZero

Галасаванне праз здымак выбар перакрыжаванага моста паміж Ethereum і BNB Chain для выкарыстання на Uniswap v3 завяршыўся сёння. 

Сапраўды, пасля станоўчага выніку в галасаванне аб магчымым размяшчэнні Uniswap у ланцужку BNB, пачалася праца над працяглым працэсам укаранення ўсіх неабходных інструментаў, якія дазваляюць DEX таксама працаваць на блокчейне Binance. 

Некалькі дзён таму выканаўчы дырэктар фонду Uniswap Дэвін Уолш запусціў новае неабавязковае апытанне адносна моста, які можа быць выкарыстаны для таго, каб пратакол Uniswap на Ethereum мог мець зносіны з яго версіяй у ланцужку BSC. 

Апытанне прапануе выбар з чатырох брыджаў: Wormhole, LayerZero, deBridge і Celer. 

Зараз Wormhole трохі апярэджвае LayerZero, але зусім нязначна. 

Выбар Uniswap і праблемы LayerZero

Нядаўнія праблемы LayerZero могуць паўплываць на вынікі гэтага апытання, якое тычыцца найбуйнейшага ў свеце DEX (Uniswap). 

У рэчаіснасці гэта не пацверджаныя праблемы, а толькі абвінавачванні, якія, магчыма, былі высунуты спецыяльна, каб паспрабаваць пашкодзіць рэпутацыі Bridge, каб ён прайграў апытанне, якое завяршаецца сёння. 

Усё гэта вынікае з а паведамленне ўчора заснавальнікам іншага сэрвісу крос-ланцужкоў,  

Джэймс Прэствіч з Nomad сцвярджаў, што ў LayerZero ёсць бэкдор, які дазваляе абыходзіць сродкі бяспекі для перадачы даных без чый-небудзь дазволу.

Па словах Прэствіча, гэта будуць дзве крытычныя ўразлівасці: адна ў смарт-кантракце Endpoint, а другая ў смарт-кантракце UltraLightNodeV2. Праз гэтыя ўразлівасці LayerZero MultiSig можа «выкарыстоўваць карыстальніцкія прыкладанні шляхам перадачы адвольных паведамленняў прыкладанням без рэгістрацыі Relayer або Oracle».

Абвінавачанні Прэсвіча вельмі сур'ёзныя, таму што ён таксама сцвярджае, што ўразлівасць актыўна выкарыстоўваецца кодам LayerZero, што сведчыць аб тым, што каманда LayerZero не толькі ведае пра гэта, але і што яны наўмысна хаваюць кантроль, які яны на самой справе будуць мець над праграмамі.

Такім чынам, у тэорыі LayerZero будзе мець магчымасць у аднабаковым парадку красці або перамяшчаць заблакіраваныя сродкі на платформы, якія выкарыстоўваюць яго паслугі моста з наладамі па змаўчанні. 

Адмаўленне Пелегрына

Сузаснавальнік LayerZero Браян Пелегрына адмаўляў існаванне такога бэкдора, а таксама адмаўляў, што каманда калі-небудзь спрабавала яго схаваць. 

Ён растлумачыў, што кожнае прыкладанне мае магчымасць выбраць толькі ўласцівасці бяспекі, якія яно мае намер выкарыстоўваць, так што канфігурацыя наладжана так, што ніхто ніколі не можа зрабіць тое, пра што думае Prestwich. 

Сапраўды, па словах Пелегрына, Прэствіч сам ведаў бы, што называць гэтую функцыю крытычнай уразлівасцю бяспекі - вар'яцтва.

Такім чынам, варта адзначыць, што Пелегрына не адмаўляў існаванне таго, што Прэствіч называе «крытычнымі ўразлівасцямі» ў смарт-кантрактах Endpoint і UltraLightNodeV2, а толькі адмаўляў, што гэта сапраўды крытычныя ўразлівасці. 

Важна мець на ўвазе, што мост Прэствіча, Nomad, насамрэч з'яўляецца канкурэнтам Пелегрына. 

Акрамя таго, Пелегрына сцвярджае, што іншыя масты, такія як Nomad і Wormhole, таксама маюць падобныя характарыстыкі, заяўляючы, што ў горшым выпадку LayerZero працуе гэтак жа, як Wormhole або Nomad. 

Магчыма, таму падобныя абвінавачванні не аказалі асабліва сур'ёзнага ўплыву на бягучы апытанне, паколькі Wormhole апярэджвае LayerZero толькі на некалькі галасоў. 

Гэта часткова таму, што самы мост Nomad у Жнівень мінулага года быў атакаваны хакерамі, якія выкарысталі эксплойт, каб скрасці каля 200 мільёнаў долараў сродкаў. 

Масты

Масты - адна з найважнейшых кропак крыптаэкасістэмы. 

Асобныя блокчэйны, у тым ліку Ethereum і BNB, не могуць абменьвацца інфармацыяй напрамую, але для гэтага ім патрэбныя менавіта так званыя «масты». 

Задача мастоў - працаваць адначасова на розных блокчейнах, каб здабываць інфармацыю з аднаго і рабіць яе даступнай на іншым. 

Напрыклад, усе т.зв загорнутыя жэтоны - гэта токены, створаныя на мастах, каб токены з іншых блокчейнов маглі быць прадстаўлены на тых, на якіх працуе мост. 

Паколькі яны з'яўляюцца нероднымі інструментамі, масты могуць мець праблемы з уразлівасцю ў залежнасці ад таго, хто іх стварыў, як яны ствараліся і ці праходзілі яны праверку. Паколькі гэта смарт-кантракты з адкрытым зыходным кодам, кожны можа тэарэтычна праверыць іх, але часам здараецца, што нейкая магчымая праблема праслізгвае праз шчыліны. 

Да гэтага часу незлічоная колькасць разоў здаралася, што нейкі хакер выяўляў уразлівасці на нейкім мосце і выкарыстоўваў яго для крадзяжу токенаў. 

Такім чынам, нельга ігнараваць праблемы, выказаныя Прэствічам, аднак калі мост з цягам часу апынецца трывалым, яго можна лічыць цалкам надзейным. 

Больш за тое, у многіх выпадках розныя масты насамрэч працуюць вельмі падобна, паколькі ўсе яны робяць практычна аднолькавае дзеянне з дапамогай адных і тых жа інструментаў, як адзначыў сам Пелегрына. Такім чынам, выпадкі ўразлівасці адзінкавыя, хоць і шматлікія, і для многіх з іх рашэнні таксама ўжо добра вядомыя і правераныя.