✨ Баг в LazerZero виявився елементом дизайну
опубліковано 1 лип 2024
Очільник LayerZero Браян Пеллегріно спростував заяву анонімного крипторозслідувача 0x52 про критичну вразливість в протоколі.
0x52 провів аудит UXDProtocol і зробив висновок що контракт, який обробляє повідомлення між протоколами, не обмежує довжину повідомлень та приймаючих адрес. Аудитор зазначив, що це дає зловмисникам можливість вказати дуже довгу адресу призначення, що може викликати помилки в системі і призвести до значних фінансових втрат.
Пеллегріно відповів, що можливість встановлювати необхідні розміри повідомлень та адрес є елементом дизайну протоколу. Фіксований ліміт дозволяє впровадження цензури, що суперечить цілям LayerZero. До того ж йдеться про код з 2022 року, який стосується конфігурації застосунків, а не самого Core-протоколу.
Це не тільки не помилка, це задумано в протоколі. Будь-який протокол обміну повідомленнями, який закріплює цю конфігурацію, зможе цензурувати будь-яку програму. Ви не можете мати одне без іншого. Ми віримо в стійкі до цензури технології,— зазначив очільник LayerZero.
Аргументи Пеллегріно переконали 0x52. Розслідувач видалив допис, де розповідав про нібито вразливість протоколу, і вибачився перед командою LayerZero.