跨链通信协议LayerZero被爆存在一个关键漏洞,该漏洞由Blockian发现,用户应用程序可以操纵Oracle和Relayer费用,使它们能够在不产生任何成本的情况下发送消息,该漏洞主要围绕默认LayerZero节点 UltraLightNodeV2.sol的发送函数中的费用计算过程。UA可以将其Oracle和Relaye 配置为返回零费用的定制恶意版本,继而完全绕过费用计算过程。据悉,UA启动消息发送过程之后,可以将其Oracle和Relayer配置设置为自定义的免费版本,因此消息的费用计算为零,这种操纵的结果是用户代理能够在不产生任何费用的情况下发送消息。据悉Layer Zero团队目前已经通过让中继器在阻止消息之前检查交易中哪个UA调用了setConfig,快速修复了该错误。