Tối ngày 30/01, cộng đồng Twitter được dịp “hóng drama” khi mà một bài đăng “bâng quơ” về lỗ hổng kỹ thuật trên LayerZero (giải pháp hạ tầng cross-chai), khơi mào bởi đối thủ Nomad, lại vô tình kéo theo vô vàn tranh cãi và rất nhiều cái tên bị réo gọi.
Cũng trong chuỗi tweet này, James Prestwich cáo buộc đội ngũ LayerZero đã biết về “cửa sau” nói trên và sử dụng nó để thay đổi tin nhắn mã hoá từ Stargate sau khi mạng lưới Oracle và Relayer đã xác nhận.
Trước đó vào tháng 01/2023, L2Beat cũng đã đăng tải bài blog nói về những rủi ro trong cơ chế “Shared Security” (tức nhiều ứng dụng phụ thuộc về mặt an ninh vào nền tảng phía dưới).
Bài đăng trên cũng hướng chỉ trích về phía LayerZero khi cho rằng nền tảng này có đủ quyền lực để thiết lập quy chuẩn liên quan đến bảo mật mà nhiều dự án muốn xây dựng phía trên sẽ phải tuân theo.
Trong quá khứ, James Prestwich từng vướng vào cáo buộc đính kèm code bẩn để trục lợi cá nhân với cầu nối Optic trên Celo và Nomad – cầu nối anh hiện đang đầu quân cũng gặp phải một trong những vụ exploit lớn nhất lịch sử.
Song song đó, Arjun (nhà sáng lập Connext), dự án cũng có hợp tác mật thiết với Nomad cũng trở thành mục tiêu tấn công của Bryan trên các diễn đàn, khi anh dùng từ “thất vọng” để nói về đối thủ.
Ngoài ra, việc dùng cụm từ “không quan tâm đến an toàn bảo mật” mà Bryan sử dụng để nói về các dự án đối tác cũng gây nên những tranh cãi trong phần lớn người theo dõi.
Bartek – một nhà nghiên cứu quan tâm đến lĩnh vực bảo mật blockchain – thì chọn một cách tiếp cận ôn hoà hơn. Tài khoản này chia sẻ về việc phần lớn các ứng dụng cross-chain trên Ethereum không mấy quan tâm đến vấn đề bảo mật phía dưới.
Có thể thấy, làm sao để cân bằng giữa khía cạnh an toàn, phi tập trung và có thể phát triển quy mô lớn vẫn đang là tam đề khó giải quyết cho các giải pháp cross-chain. Mảng thị trường này vẫn chưa được định hình cụ thể và sẽ còn rất nhiều những cơ hội cho các dự án dám đứng lên để giải quyết bài toán này.
Khởi nguồn
Trên trang cá nhân của mình, James Prestwich (người hiện là CTO của cầu nối Nomad) đã chia sẻ bài blog nói về 2 lỗ hổng trong sản phẩm của LayerZero.“Xin chào, hôm nay chúng tôi công bố 2 lỗ hổng nghiêm trọng trong smart contract của LayerZero liên quan đến việc uỷ quyền cho bên thứ 3. Những lỗ hổng này có thể cho phép đội ngũ LayerZero vượt qua mạng lưới Oracle và Relayer đang hỗ trợ cho các ứng dụng (bao gồm cả Stargate).”
Cũng trong chuỗi tweet này, James Prestwich cáo buộc đội ngũ LayerZero đã biết về “cửa sau” nói trên và sử dụng nó để thay đổi tin nhắn mã hoá từ Stargate sau khi mạng lưới Oracle và Relayer đã xác nhận.
Trước đó vào tháng 01/2023, L2Beat cũng đã đăng tải bài blog nói về những rủi ro trong cơ chế “Shared Security” (tức nhiều ứng dụng phụ thuộc về mặt an ninh vào nền tảng phía dưới).
Bài đăng trên cũng hướng chỉ trích về phía LayerZero khi cho rằng nền tảng này có đủ quyền lực để thiết lập quy chuẩn liên quan đến bảo mật mà nhiều dự án muốn xây dựng phía trên sẽ phải tuân theo.
Những đáp trả gay gắt
Đáp trả lại cáo buộc trên, Bryan Pellegrino (nhà sáng lập LayerZero) đây là định dạng “mặc định” và có thể được thay đổi nếu các đội ngũ dự án khác muốn tuỳ chỉnh cấu hình.Ngoài ra, Bryan còn lục lại những câu chuyện trong quá khứ từ đối thủ cạnh tranh của mình.“Tất cả những cáo buộc trên đều nằm trong phạm vi sử dụng chế độ “mặc định” trên LayerZero. Lựa chọn này được tích hợp cho các dự án không ưu tiên bảo mật, thay vào đó là muốn triển khai một cái gì đó nhanh và có thể vận hành được. Trong trường hợp được đề cập ở trên, đó là chế độ “mặc định” của validator, oracle và relayer.”
“Thật nực cười là những người giới thiệu dự án của mình là không cần phụ thuộc bên thứ 3 và có cơ chế chống gian lận cùng khả năng nâng cấp contract lại để mất tiền của người dùng. Đây là giao thức messaging thứ 2 anh ta xây dựng và đều bị hack. Anh ta nên tập trung vào dòng code của mình.”
Trong quá khứ, James Prestwich từng vướng vào cáo buộc đính kèm code bẩn để trục lợi cá nhân với cầu nối Optic trên Celo và Nomad – cầu nối anh hiện đang đầu quân cũng gặp phải một trong những vụ exploit lớn nhất lịch sử.
Những câu chuyện kéo theo
Cộng đồng sau đó nhanh chóng chỉ trích Bryan về cách ứng xử có phần hơi “cảm xúc” trên Twitter, khi anh liên tục miệt thị các đối thủ cạnh tranh của mình là “thằng đần”.Song song đó, Arjun (nhà sáng lập Connext), dự án cũng có hợp tác mật thiết với Nomad cũng trở thành mục tiêu tấn công của Bryan trên các diễn đàn, khi anh dùng từ “thất vọng” để nói về đối thủ.
Ngoài ra, việc dùng cụm từ “không quan tâm đến an toàn bảo mật” mà Bryan sử dụng để nói về các dự án đối tác cũng gây nên những tranh cãi trong phần lớn người theo dõi.
Bartek – một nhà nghiên cứu quan tâm đến lĩnh vực bảo mật blockchain – thì chọn một cách tiếp cận ôn hoà hơn. Tài khoản này chia sẻ về việc phần lớn các ứng dụng cross-chain trên Ethereum không mấy quan tâm đến vấn đề bảo mật phía dưới.
“Bạn sẽ thấy thú vị khi biết rằng trên Ethereum, chỉ có 10 trong số 185 ứng dụng cross-chain quan tâm đến việc điều chỉnh lại các tham số an ninh mặc định. Các ứng dụng này không quan tâm về mặt an toàn hay họ đơn giản chỉ là chọn đặt niềm tin vào các giải pháp L0?
Có thể thấy, làm sao để cân bằng giữa khía cạnh an toàn, phi tập trung và có thể phát triển quy mô lớn vẫn đang là tam đề khó giải quyết cho các giải pháp cross-chain. Mảng thị trường này vẫn chưa được định hình cụ thể và sẽ còn rất nhiều những cơ hội cho các dự án dám đứng lên để giải quyết bài toán này.