Oggi si concludono le votazioni su snapshot per selezionare il bridge cross-chain tra Ethereum e BNB Chain da utilizzare su Uniswap v3.
Infatti, dopo l’esito positivo del sondaggio sull’eventuale sbarco di Uniswap su BNB chain, è iniziato il lungo processo di implementazione di tutti gli strumenti necessari a consentire il funzionamento del DEX anche sulla blockchain di Binance.
Qualche giorno fa il direttore esecutivo della Uniswap Foundation, Devin Walsh, ha lanciato un nuovo sondaggio non vincolante in merito al bridge che potrebbe essere utilizzato per consentire al protocollo Uniswap su Ethereum di comunicare con la sua versione su BSC chain.
Il sondaggio propone di scegliere tra quattro bridge: Wormhole, LayerZero, deBridge e Celer.
In questo momento è leggermente in vantaggio Wormhole su LayerZero, ma solo di un soffio.
Summary
La scelta di Uniswap e i problemi di LayerZero
Sull’esito di questo sondaggio, che riguarda il maggiore DEX al mondo (Uniswap, per l’appunto), potrebbero avere un peso i recenti problemi di LayerZero.
In realtà non si tratta di problemi confermati, ma solo di accuse, che potrebbero essere state tirate fuori proprio per cercare di danneggiare la reputazione del bridge in modo da fargli perdere il sondaggio che si conclude oggi.
Tutto nasce da un post di ieri del fondatore di un altro servizio di bridging cross-chain, James Prestwich di Nomad, secondo cui LayerZero avrebbe una backdoor che consentirebbe di aggirare i controlli di sicurezza per passare dati senza il permesso di nessuno.
Secondo Prestwich si tratterebbe di due vulnerabilità critiche, una nello smart contract Endpoint ed un’altra in quello UltraLightNodeV2. Grazie a queste vulnerabilità il MultiSig di LayerZero potrebbe “sfruttare le applicazioni degli utenti passando messaggi arbitrari all’applicazione senza il sign-off di Relayer o Oracle”.
Le accuse di Prestwich sono gravissime, perchè afferma anche che la vulnerabilità viene attivamente sfruttata dal codice LayerZero, facendo ritenere che non solo il team LayerZero ne sia a conoscenza, ma anche che stia deliberatamente nascondendo il controllo che di fatto avrebbe sulle applicazioni.
In questo modo in teoria LayerZero avrebbe la possibilità di rubare o spostare unilateralmente fondi bloccati su piattaforme che utilizzano i suoi servizi di bridging con impostazioni predefinite.
La smentita di Pellegrino
Il co-fondatore di LayerZero, Bryan Pellegrino, ha smentito l’esistenza di una simile backdoor, negando anche che il team abbia mai cercato di nasconderla.
Ha spiegato che ogni applicazione ha la possibilità di selezionare solo le proprietà di sicurezza che intende utilizzare, in modo da impostare la configurazione così che nessuno possa mai fare ciò che Prestwich ipotizza.
Anzi secondo Pellegrino lo stesso Prestwich saprebbe che definire questa caratteristica una vulnerabilità di sicurezza critica è folle.
Da notare quindi che Pellegrino non ha smentito l’esistenza di quelle che Prestwich definisce “vulnerabilità critiche” negli smart contract Endpoint e UltraLightNodeV2, ma ha smentito solo che si tratti effettivamente di vulnerabilità critiche.
Non bisogna però dimenticare che il bridge di Prestwich, Nomad, è di fatto un concorrente di Pellegrino.
Inoltre Pellegrino sostiene che anche altri bridge, come Nomad e Wormhole, abbiano caratteristiche simili, affermando che nel peggiore dei casi LayerZero funziona come funziona Wormhole o Nomad.
Forse è per questo motivo che non sembra che tali accuse abbiano avuto un impatto particolarmente gravoso sul sondaggio in corso, dato che Wormhole è in vantaggio rispetto a LayerZero solo di pochissimo voti.
Anche perchè proprio il bridge di Nomad ad agosto dell’anno scorso fu attaccato da hacker che sfruttarono un exploit per rubare fondi per circa 200 milioni di dollari.
I bridge
I bridge sono uno dei punti critici del sistema crypto.
Le singole blockchain, tra cui anche Ethereum e BNB chain, non sono in grado di scambiarsi informazioni in modo diretto, ma per farlo necessitano per l’appunto dei cosiddetti “bridge” (ponti).
Il compito dei bridge è quello di operare simultaneamente su diverse blockchain in modo da estrarre informazioni da una e renderle disponibili sull’altra.
Ad esempio tutti i cosiddetti wrapped token sono token creati su bridge in modo da poter rappresentare token di altre blockchain su quelle su cui opera il bridge.
Essendo strumenti non nativi, i bridge possono avere problemi di vulnerabilità, a seconda di chi li ha creati come li ha creati, e di quanto siano stati o meno testati. Trattandosi di smart contract con codice open source chiunque in teoria può controllarli, ma a volte capita che qualche eventuale problema sfugga ai controlli.
Infatti ormai innumerevoli volte è accaduto che qualche hacker abbia scoperto vulnerabilità su qualche bridge e lo abbia sfruttato per rubare token.
Pertanto le preoccupazioni sollevate da Prestwich non possono essere ignorate, tuttavia se un bridge dimostra di essere solido nel corso del tempo può essere ritenuto abbastanza affidabile.
Inoltre in molti casi i diversi bridge in realtà funzionano in modo molto simile, dato che fanno tutti praticamente la stessa cosa con gli stessi strumenti, come ha fatto notare lo stesso Pellegrino. Quindi i casi di vulnerabilità sono isolati, seppur numerosi, e per molti di essi le soluzioni sono già anche ben note e sperimentate.
