Uniswap 跨链合作方出现漏洞？LayerZero 创办人出面 debug，资安问题成罗生门

稍早我们曾报导 Uniswap 推出内建的跨链桥，而背后技术正是与跨链协议 Across Protocol 合作。不过近日全链互操作协议 LayerZero 的创办人 Bryan Pellegrino 就公开在推特上指出 Across Protocol 存在代码漏洞，尽管 Across Protocol 的创办人 Hart Lambur 现身贴文底下回应，但该问题目前仍是一个罗生门。

Table of Contents

ToggleAcross Protocol 外泄 Open Zeppelin 销毁代币的私有函数

Bryan Pellegrino 表示由于 Across Protocol 的漏洞，外泄了 Open Zeppelin 用于销毁 ERC20 代币的内部私有函数。Open Zeppelin 合作的对象有以太坊基金会丶Coinbase丶Optimism丶AAVE丶Compound丶Polkadot 及 Uniswap，其开源合约库可谓产业标准。

coinbase官网

Bryan Pellegrino 指出这样的漏洞使得 Across Protocol 可以随意从任何钱包中提取代币，随时将任一帐户的代币清零，并制造恶意清算的风险。并表示 Hart Lambur 旗下的 Across Protocol 与预言机 UMA 代币事实上可以无限增发代币，有趣的是 Hart Lambur 上周才针对无限增发代币的问题作出批评。

广告 内文未完请往下卷动LayerZero 创办人出面 debug：须将合约所有权转移至新的智能合约

而 Bryan Pellegrino 也对此漏洞给出解方，他表示：若要在不重新发行代币的情况下修复此问题：请将合约所有权转移至一个新的智能合约，该合约需限制代币总供应量，禁止超量增发及销毁操作。由于这是一个永久性漏洞，新的合约必须是不可变更的，并且不应包含任何所有权转让的功能。

Across Protocol 社群提案，将总量固定在十亿枚

对此 Hart Lambur 在贴文底下回应这是不诚实的 FUD，并指出 Across Protocol 的合约已经由 Open Zepplin 审计。而 Bryan Pellegrino 就借此质疑 Hart Lambur 根本看不懂程式码，并表示合约审计并不能解决问通。并扬言与 Hart Lambur 对赌最高级别的 debug 奖金一百万镁，表示如果哪天他自己发现错了就自己捐给社区吧。

不过 Hart Lambur 还是坚持 Across Protocol 并不存在所谓漏洞，不过本着去中心化的精神他发起了一个社群治理投票，旨在将 Across Protocol 的代币总量定在 10 亿枚。

并且针对 Bryan Pellegrino 不断的追问，直指问题已解决。至此该对话并没有持续下去。

Across Protocoldebug 大师LayerZeroOpen ZeppelinUMA Protocol 衍伸阅读