稍早我们曾报导Uniswap推出内建的跨链桥,而背后技术正是与跨链协议Across Protocol合作。不过近日全链互操作协议LayerZero的创办人Bryan Pellegrino就公开在推特上指出Across Protocol存在代码漏洞,尽管Across Protocol的创办人Hart Lambur现身贴文底下回应,但该问题目前仍是一个罗生门。
Across Protocol外泄Open Zeppelin销毁代币的私有函数
Bryan Pellegrino表示由于Across Protocol的漏洞,外泄了Open Zeppelin用于销毁ERC-20代币的内部私有函数。Open Zeppelin合作的对象有以太坊基金会、Coinbase、Optimism、AAVE、Compound、Polkadot及Uniswap,其开源合约库可谓产业标准。
Bryan Pellegrino指出这样的漏洞使得Across Protocol可以随意从任何钱包中提取代币,随时将任一账户的代币清零,并制造恶意清算的风险。并表示Hart Lambur旗下的Across Protocol与预言机UMA代币事实上可以无限增发代币,有趣的是Hart Lambur上周才针对无限增发代币的问题作出批评。
LayerZero创办人出面debug:须将合约所有权转移至新的智能合约
而Bryan Pellegrino也对此漏洞给出解方,他表示:“若要在不重新发行代币的情况下修复此问题:请将合约所有权转移至一个新的智能合约,该合约需限制代币总供应量,禁止超量增发及销毁操作。由于这是一个永久性漏洞,新的合约必须是不可变更的,并且不应包含任何所有权转让的功能。”
Across Protocol社群提案,将总量固定在十亿枚
对此Hart Lambur在贴文底下回应这是不诚实的FUD,并指出Across Protocol的合约已经由Open Zepplin审计。而Bryan Pellegrino就借此质疑Hart Lambur根本看不懂程式码,并表示合约审计并不能解决问题。并扬言与Hart Lambur对赌最高级别的debug奖金一百万镑,表示如果哪天他自己发现错了就自己捐给社区吧。
不过Hart Lambur还是坚持Across Protocol并不存在所谓漏洞,不过本着去中心化的精神他发起了一个社群治理投票,旨在将Across Protocol的代币总量定在10亿枚。
并且针对Bryan Pellegrino不断的追问,直指问题已解决。至此该对话并没有持续下去。