LayerZero foi divulgado por ter usado carteiras multi-assinatura para transacionar Meme Coin, e o mecanismo padrão de atualização de contrato de biblioteca apresenta riscos

ChainCatcher mensagens, de acordo com informações do mercado, o cofundador e CEO da LayerZero Labs, Bryan Pellegrino, teve uma discussão acalorada hoje com pesquisadores de segurança no grupo Telegram ETHSecurity Community, envolvendo principalmente: que a LayerZero Labs pode atualizar imediatamente um contrato de biblioteca padrão sem limite de tempo para falsificar mensagens (semelhante ao ataque ao rsETH), colocando em risco mais de 3 bilhões de dólares em LZ OFT recentemente roubados; o pesquisador Banteg apontou que projetos principais como Ethena e EtherFi ainda estavam usando esse contrato de biblioteca padrão há várias semanas, e atualmente há 1,78 bilhão de dólares em risco, esses fundos vêm de projetos que ainda utilizam essa biblioteca padrão.

Dados on-chain mostram que os signatários multi-assinatura da LayerZero Labs participaram de atividades não relacionadas a multi-assinatura, como negociações de moedas meme, trocas em DEX e pontes entre blockchains, o que significa que as chaves multi-assinatura em ambiente de produção estiveram conectadas ao site, aumentando o risco de phishing. Sobre as atividades de transação realizadas pelos signatários multi-assinatura da LayerZero usando chaves de produção, Bryan confirmou que as transações foram feitas por membros da equipe de multi-assinatura, mas negou que fossem “negociações de moedas meme”, explicando que foi um teste com PEPE no padrão de token LZ OFT, e afirmou que os membros envolvidos já foram removidos. Bryan também sugeriu que os projetos “fixassem a configuração diretamente” ao invés de usar a configuração padrão para reduzir riscos. Banteg posteriormente marcou uma longa lista de usuários da LayerZero que ainda utilizam contratos de biblioteca padrão, indicando que esses projetos devem migrar o mais rápido possível para configurações fixas.