稍早我們曾報導 Uniswap 推出內建的跨鏈橋,而背後技術正是與跨鏈協議 Across Protocol 合作。不過近日全鏈互操作協議 LayerZero 的創辦人 Bryan Pellegrino 就公開在推特上指出 Across Protocol 存在代碼漏洞,儘管 Across Protocol 的創辦人 Hart Lambur 現身貼文底下回應,但該問題目前仍是一個羅生門。
Table of Contents
Across Protocol 外洩 Open Zeppelin 銷毀代幣的私有函數
Bryan Pellegrino 表示由於 Across Protocol 的漏洞,外洩了 Open Zeppelin 用於銷毀 ERC-20 代幣的內部私有函數。Open Zeppelin 合作的對象有以太坊基金會丶Coinbase丶Optimism丶AAVE丶Compound丶Polkadot 及 Uniswap,其開源合約庫可謂產業標準。
Bryan Pellegrino 指出這樣的漏洞使得 Across Protocol 可以隨意從任何錢包中提取代幣,隨時將任一帳戶的代幣清零,並製造惡意清算的風險。並表示 Hart Lambur 旗下的 Across Protocol 與預言機 UMA 代幣事實上可以無限增發代幣,有趣的是 Hart Lambur 上週才針對無限增發代幣的問題作出批評。
LayerZero 創辦人出面 debug:須將合約所有權轉移至新的智能合約
而 Bryan Pellegrino 也對此漏洞給出解方,他表示:「若要在不重新發行代幣的情況下修復此問題:請將合約所有權轉移至一個新的智能合約,該合約需限制代幣總供應量,禁止超量增發及銷毀操作。由於這是一個永久性漏洞,新的合約必須是不可變更的,並且不應包含任何所有權轉讓的功能。」
Across Protocol 社群提案,將總量固定在十億枚
對此 Hart Lambur 在貼文底下回應這是不誠實的 FUD,並指出 Across Protocol 的合約已經由 Open Zepplin 審計。而 Bryan Pellegrino 就藉此質疑 Hart Lambur 根本看不懂程式碼,並表示合約審計並不能解決問通。並揚言與 Hart Lambur 對賭最高級別的 debug 獎金一百萬鎂,表示如果哪天他自己發現錯了就自己捐給社區吧。
不過 Hart Lambur 還是堅持 Across Protocol 並不存在所謂漏洞,不過本著去中心化的精神他發起了一個社群治理投票,旨在將 Across Protocol 的代幣總量定在 10 億枚。
並且針對 Bryan Pellegrino 不斷的追問,直指問題已解決。至此該對話並沒有持續下去。
