بسیاری از کاربران و منتقدین در رسانههای مختلف مانند توییتر معتقد هستند که اتهام آسیب پذیری لیر زیرو ، میتواند منجر به از دست رفتن تمام سرمایههای کاربران آن شود اما مدیر عامل لیر زیرو برایان پلگرینو این ادعا را کاملا تکان دهنده و نادرست اعلام کرد.
او بیان کرده است که فقط در صورتی میتواند این پروژه آسیب پذیر شود که از تنطیمات پیش فرض قرادادها استفاده شود. در ادامه توضیح مختصری راجع به لیر زیرو چیست و اینکه چگونه آسیب پذیر شدن این پروژه بر روی امینت تراکنش ها تاثیر میگذارد صحبت میکنیم.
لیر زیرو زیرساخت ارتباط بلاک چینها
لیر زیرو یک پروتکل برای اجرای پروژه استارگیت است، که بیش از 382 میلیون دلار در این قرارداد هوشمند قفل شده است. درواقع قابل توجهترین کاربرد لیر زیرو در حال حاضر اجرای پروژهی استارگیت است. لیر زیرو یک پروتکل ارتباطی میان زنجیرهای (Cross-chain) است که برای حل مشکلات پلهای بلاک چین موجود ایجاد شده است.
پروژه Layerzero یک پروتکل بدون نیاز به اعتماد است که به کاربران امکان انتقال توکن یا هر نوع پیام دیگر را در یک تراکنش بر روی اپلیکیشنهای موجود در بلاک چینهای مختلف فراهم میکند. برخلاف پلهای بلاک چینی سنتی که کاربران در آنها نیاز به سوزاندن یا قفل کردن داراییها در بلاک چین مبدا را دارند و معمولا برای اتصال بین دو بلاک چین کاربرد دارند، پروژه Layerzero قابل تعمیم است و میتوان از آن در تمام زنجیرهها استفاده کرد.
طبق وایت پیپر آن، پروتکل لیر زیرو یک روش بدون نیاز به اعتماد برای انتقال ارزهای دیجیتال از یک شبکه به شبکه دیگر ارائه میکند، منظور از اعتماد این است که پروتکل بتواند تایید کند که یک تراکنش معتبر از بلاک چین مبدا به بلاک چین مقصد به سلامت رسیده است یا خیر .
آسیب پذیری لیر زیرو
در واقع لیر زیرو به دنبال روشی برای اعتماد سازی است تا تراکنشهای معتبر از مسیر مبدا خود خارج شده و به سلامت به مقصد برسند. رویکرد پروژه لیر زیرو برای حل این مشکل تقسیم وظایف موجود بین oracle و Relayer است. در این روش Relayer وظیفه ارسال تاییدیه برای تراکنش را دارد.
oracle نیز وظیفه انتشار هدر بلاک برای تراکنش ها را دارد تا یک تراکنش معتبر به درستی به مقصد برسد. با این حال پرستویچ در صفحه شخصی خود ادعا کرده است که پیش فرض اصلی که لیر زیرو از پل استارگیت و پل های دیگری استفاده شده است دچار آسیب پذیری بحرانی است.
او ادعا کرده است که این آسیب پذیری میتواند به تیم لیر زیرو اجازه دهد تا بتوانند بر روی تراکنش های ارسالی دست ببرند و به طور خودسرانه به وسیله oracle و Relayer هر پیامی که میخواهند را از طریق پل بلاک چین انتقال بدهند.
او اعلام کرده برای حل این آسیب پذیری به توسعه کنندگان پیشنهاد میکند که لیر زیرو برای تغییر قرار دادهای هوشمد خود از شکل جدیدی از پیکره بندی برای حفاظت از تراکنش ها استفاده کنند. این مساله نگرانیها در مورد آسیب پذیری لیر زیرو را بین کاربران آنها زیاد کرده است.
رد آسیب پذیری لیر زیرو توسط تیم پروژه
برایان پلگرینو یکی از توسعه دهندگان لیر زیرو در مقابل اداعای پرستویچ واکنش تندی نشان داد و اداعای او را غلط خواند. او عنوان کرد همه کتابخانه های اعتبارسنجی که پروژهها از آن استفاده میکنند همیشگی هستند و قابل تغییر نیستند و امکان حذف یا دسترسی به قرادادهای هوشمند قبلی وجود ندارد.
به گفته پلگرینو تنها میتوان قراردادهای جدید به پروژه اضافه کرد. او اذعان کرده است که تنها در صورتی این قراردادها قابل تغییر هستند که توسعه دهنگان اپلیکیشنها از حالت پایه قراردادها استفاده کنند و در صورتی که از حالت دیفالت خارج شوند امکان دست کاری توسط تیم لیر زیرو نیست.
برای حل مشکل آسیب پذیری لیر زیرو و تامین امنیت استارگیت، دائو استارگیت رای داده است که قرارداد های هوشمند آن از حال دیفالت خارج شوند. این تغییر باعث میشود که کسی نتواند از تیم لیر زیرو قراردادهای هوشمند یا کتابخانه استارگیت را تغییر دهد و فقط خود تیم استارگیت به آن دسترسی داشته باشند.
آسیب پذیری لیر زیرو چه خطراتی دارد؟
امنیت پل زنجیرهای در چند سال اخیر موضوعی داغ در جامعه کریپتو کارنسی بوده است، زیرا میلیونها دلار از طریق هک پل از دست رفته است. به عنوان مثال، در ماه می کلیدهای کیف پول توسعه دهندگان پل Axie Infinity Ronin توسط هکرها دزیده شد و از آن برای ضرب سکه بدون هیچ پشتوانه ای استفاده کردند.
همچنین حمله مشابهی علیه پل هارمونی هورایزن در 24 ژوئن رخ داد که 100 میلیون دلار ارز دیجیتال به سرقت رفت. پس از آن تیم هارمونی دوباره راه اندازی شد و از لیر زیرو در پروتکل خود استفاده کرد تا امنیت بیشتری برای پروژه خود ایجاد کند. این پروتکل در پروژههای دیگری نیز استفاده میشود و آسیب پذیری آن بازار را تحت تاثیر میگذارد.
