2022년 10월 22일, 크로스체인 상호작용 프로토콜 LayerZero의 CEO인 Bryan Pellegrino는 소셜 미디어에 Across Protocol 개발팀에 심각한 오류가 있는 그들의 토큰 계약에 대해 경고했습니다.
구체적으로 Pellegrino는 다음과 같이 말했습니다:
"당신은 실수로 Open Zeppelin이 ERC20 토큰 배포 과정에서 작성한 내부 전용 함수를 공개했습니다. 이 함수는 토큰을 소각할 수 있지만 계약 소유자에게 이 권한을 부여했습니다. 이를 통해 당신은 어떤 지갑에서든 토큰을 인출하고 임의의 계정 잔액을 0으로 만들 수 있습니다."
또한 LayerZero CEO는 Across Protocol과 우마(UMA) 프로토콜이 무제한 토큰 발행 능력이라는 다른 심각한 문제에 직면했다고 지적했습니다. Pellegrino는 이 문제를 개발팀에 경고했지만 응답을 받지 못했다고 말했습니다.
이러한 문제를 토큰 재발행 없이 해결하기 위해 Pellegrino는 Across Protocol이 계약 소유권을 새로운 스마트 계약으로 이전할 것을 제안했습니다. 이 새로운 계약에는 총 공급량을 초과하는 발행을 방지하고 토큰 소각 기능을 제거하는 메커니즘이 필요합니다. 또한 그는 이 새로운 계약이 불변이어야 하며 소유권 이전을 허용하는 함수를 포함하지 말아야 한다고 강조했습니다.
Pellegrino는 Across Protocol에 버그 바운티 프로그램이 있다면 LayerZero 팀이 이 취약점 발견에 대한 보상을 받을 수 있다고 제안했습니다.
