CEO LayerZero cảnh báo lỗi nghiêm trọng trong token ACX của Across Protocol

Ngày 22 tháng 10, Bryan Pellegrino, CEO của LayerZero – giao thức tương tác chuỗi chéo, đã đăng trên mạng xã hội để cảnh báo nhóm phát triển Across Protocol về một lỗi nghiêm trọng trong hợp đồng token của họ.

Cụ thể, Pellegrino cho biết:

“Bạn đã vô tình mở ra một hàm vốn dĩ phải là hàm nội bộ riêng tư, được viết bởi Open Zeppelin trong quá trình triển khai token ERC20 để huỷ token, nhưng lại trao quyền này cho chủ sở hữu hợp đồng. Điều này cho phép bạn rút token từ bất kỳ ví nào và tùy ý đặt số dư của bất kỳ tài khoản nào về 0.”

Ngoài ra, CEO của LayerZero còn chỉ ra rằng cả Across Protocol và UMA Protocol đều đang gặp phải vấn đề nghiêm trọng khác, đó là khả năng phát hành số lượng token không giới hạn. Pellegrino cho biết ông đã cảnh báo nhóm phát triển về vấn đề này nhưng không nhận được phản hồi quan tâm.

Để giải quyết các vấn đề trên mà không cần phải phát hành lại token, Pellegrino khuyến nghị Across Protocol chuyển quyền sở hữu hợp đồng sang một smart contract mới. Hợp đồng này cần có cơ chế ngăn chặn việc phát hành vượt quá tổng nguồn cung và loại bỏ khả năng huỷ token. Ngoài ra, ông cũng nhấn mạnh rằng hợp đồng mới phải bất biến và không được chứa bất kỳ hàm nào cho phép chuyển quyền sở hữu.

Pellegrino cũng gợi ý rằng nếu Across Protocol có chương trình săn lỗi (bug bounty) đang hoạt động, đội ngũ LayerZero có thể được ghi nhận công lao cho việc phát hiện lỗ hổng này.

Dear @AcrossProtocol team,

I’m writing to you during your office hours of 9-5pm on M-F and have no reason to believe today is a national holiday.

I’d like to inform you that your token contract has a critical issue.

You mistakenly exposed what was meant to be an internal… pic.twitter.com/EpMu8zvVM8

— Bryan Pellegrino (臭企鹅) (@PrimordialAA) October 21, 2024