Tối ngày 30/01, cộng đồng Twitter được dịp “hóng drama” khi mà một bài đăng “bâng quơ” về lỗ hổng kỹ thuật trên LayerZero (giải pháp hạ tầng cross-chai), khơi mào bởi đối thủ Nomad, lại vô tình kéo theo vô vàn tranh cãi và rất nhiều cái tên bị réo gọi.
Khởi nguồn
Trên trang cá nhân của mình, James Prestwich (người hiện là CTO của cầu nối Nomad) đã chia sẻ bài blog nói về 2 lỗ hổng trong sản phẩm của LayerZero.
Hello, today we are disclosing two critical trusted-party vulnerabilities in the LayerZero smart contracts. These issues allow the LayerZero team to completely bypass the Oracle and Relayer for most applications (including stargate).https://t.co/C7Gh6ns56S
— James Prestwich (@_prestwich) January 30, 2023
“Xin chào, hôm nay chúng tôi công bố 2 lỗ hổng nghiêm trọng trong smart contract của LayerZero liên quan đến việc uỷ quyền cho bên thứ 3. Những lỗ hổng này có thể cho phép đội ngũ LayerZero vượt qua mạng lưới Oracle và Relayer đang hỗ trợ cho các ứng dụng (bao gồm cả Stargate).”
Cũng trong chuỗi tweet này, James Prestwich cáo buộc đội ngũ LayerZero đã biết về “cửa sau” nói trên và sử dụng nó để thay đổi tin nhắn mã hoá từ Stargate sau khi mạng lưới Oracle và Relayer đã xác nhận.
Trước đó vào tháng 01/2023, L2Beat cũng đã đăng tải bài blog nói về những rủi ro trong cơ chế “Shared Security” (tức nhiều ứng dụng phụ thuộc về mặt an ninh vào nền tảng phía dưới).
Our research team kicks 2023 off with another security experiment. Read the full article here https://t.co/7GRIVqYrkc or a summary below ??? /1
— L2BEAT (@l2beat) January 5, 2023
Bài đăng trên cũng hướng chỉ trích về phía LayerZero khi cho rằng nền tảng này có đủ quyền lực để thiết lập quy chuẩn liên quan đến bảo mật mà nhiều dự án muốn xây dựng phía trên sẽ phải tuân theo.
Những đáp trả gay gắt
Đáp trả lại cáo buộc trên, Bryan Pellegrino (nhà sáng lập LayerZero) đây là định dạng “mặc định” và có thể được thay đổi nếu các đội ngũ dự án khác muốn tuỳ chỉnh cấu hình.
All of this is in reference to using the “defaults” on LayerZero. These are made for teams who aren’t prioritizing security but want to spin up something and test it, make it work, and have it out in the wild. In this case you’re “defaulting” to the current VL, Oracle, Relayer
— Bryan Pellegrino (@PrimordialAA) January 30, 2023
“Tất cả những cáo buộc trên đều nằm trong phạm vi sử dụng chế độ “mặc định” trên LayerZero. Lựa chọn này được tích hợp cho các dự án không ưu tiên bảo mật, thay vào đó là muốn triển khai một cái gì đó nhanh và có thể vận hành được. Trong trường hợp được đề cập ở trên, đó là chế độ “mặc định” của validator, oracle và relayer.”
Ngoài ra, Bryan còn lục lại những câu chuyện trong quá khứ từ đối thủ cạnh tranh của mình.
It’s funny because I would imagine a guy who promoted his project as trustless w/fraud proofs but retained the ability to upgrade contracts, did so, and was lost all of the funds (2nd messaging protocol in a row he’s built that has been hacked) would focus on his own code
— Bryan Pellegrino (@PrimordialAA) January 30, 2023
“Thật nực cười là những người giới thiệu dự án của mình là không cần phụ thuộc bên thứ 3 và có cơ chế chống gian lận cùng khả năng nâng cấp contract lại để mất tiền của người dùng. Đây là giao thức messaging thứ 2 anh ta xây dựng và đều bị hack. Anh ta nên tập trung vào dòng code của mình.”
Trong quá khứ, James Prestwich từng vướng vào cáo buộc đính kèm code bẩn để trục lợi cá nhân với cầu nối Optic trên Celo và Nomad – cầu nối anh hiện đang đầu quân cũng gặp phải một trong những vụ exploit lớn nhất lịch sử.
Những câu chuyện kéo theo
Cộng đồng sau đó nhanh chóng chỉ trích Bryan về cách ứng xử có phần hơi “cảm xúc” trên Twitter, khi anh liên tục miệt thị các đối thủ cạnh tranh của mình là “thằng đần”.
Song song đó, Arjun (nhà sáng lập Connext), dự án cũng có hợp tác mật thiết với Nomad cũng trở thành mục tiêu tấn công của Bryan trên các diễn đàn, khi anh dùng từ “thất vọng” để nói về đối thủ.
Ngoài ra, việc dùng cụm từ “không quan tâm đến an toàn bảo mật” mà Bryan sử dụng để nói về các dự án đối tác cũng gây nên những tranh cãi trong phần lớn người theo dõi.
LayerZero CEO now defending vulnerability by claiming that Stargate does not prioritize security. https://t.co/ig1tLMOaTp pic.twitter.com/MZhxTSl7XI
— James Prestwich (@_prestwich) January 30, 2023
Bartek – một nhà nghiên cứu quan tâm đến lĩnh vực bảo mật blockchain – thì chọn một cách tiếp cận ôn hoà hơn. Tài khoản này chia sẻ về việc phần lớn các ứng dụng cross-chain trên Ethereum không mấy quan tâm đến vấn đề bảo mật phía dưới.
If you follow @_prestwich & @LayerZero_Labs debate you might find it interesting to know that on Ethereum out of 185 x-chain apps using L0 only 10 cared to change any default security parameter. These apps do not care about the security or they simply chose to trust L0 ? https://t.co/6nQ1KCk8Zz
— bartek.eth (@bkiepuszewski) January 30, 2023
“Bạn sẽ thấy thú vị khi biết rằng trên Ethereum, chỉ có 10 trong số 185 ứng dụng cross-chain quan tâm đến việc điều chỉnh lại các tham số an ninh mặc định. Các ứng dụng này không quan tâm về mặt an toàn hay họ đơn giản chỉ là chọn đặt niềm tin vào các giải pháp L0?
Có thể thấy, làm sao để cân bằng giữa khía cạnh an toàn, phi tập trung và có thể phát triển quy mô lớn vẫn đang là tam đề khó giải quyết cho các giải pháp cross-chain. Mảng thị trường này vẫn chưa được định hình cụ thể và sẽ còn rất nhiều những cơ hội cho các dự án dám đứng lên để giải quyết bài toán này.
Coin68 tổng hợp
Có thể bạn quan tâm: