Dyrektor generalny LayerZero, Bryan Pellegrino, zaprzeczył oskarżeniom, że LayerZero — w związku z mostem Stargate — ma dwie krytyczne luki zaufanych stron trzecich.
„Jest to w 100% niezgodne ze stanem faktycznym i poprosiłbym o rozmowę z każdym audytorem, który pracował nad projektem” – powiedział Pellegrino w rozmowie z The Block.
Odpowiadał na twierdzenia złożone dzisiaj przez programistę Jamesa Prestwicha, założyciela i CTO Nomad, konkurencyjnego protokołu cross-chain.
Prestwich powiedział, że dwie luki w zabezpieczeniach wynikają z przekaźnika LayerZero, który jest obecnie na dwustronnym multisig. Luki w zabezpieczeniach mogą być wykorzystywane tylko przez osoby z wewnątrz lub członków zespołu, którzy znają tożsamość, i to był jeden z powodów, dla których wydał Raport, ponieważ istnieje mniejsze ryzyko zewnętrznego exploita.
Pierwsza luka pozwoliłaby na wysyłanie oszukańczych wiadomości z multisig LayerZero. Ten rodzaj exploita może skutkować kradzieżą „wszystkich środków użytkownika”, Prestwich napisał na Twitterze.
Druga luka umożliwiałaby modyfikowanie wiadomości po tym, jak oracle i multisig podpisały się pod wiadomościami lub transakcjami. Podobnie Prestwich twierdzi, że ta luka może skutkować kradzieżą wszystkich funduszy użytkowników.
Powszechne luki w zabezpieczeniach
Prestwich powiedział, że zespół LayerZero był „świadomy powyższych luk w zabezpieczeniach” i „postanowił ich nie ujawniać ani w inny sposób się nimi nie zajmować”.
Twierdził, że Stargate jest otwarte na obie luki i jest aktywnie wykorzystywane przez zespół LayerZero do modyfikowania wiadomości. Stargate to protokół pomostowy, który jest jedną z największych aplikacji działających na LayerZero i został zbudowany przez zespół jako dowód koncepcji dla podstawowego protokołu.
Pierwsza luka może zostać złagodzona przez aplikacje dokonujące pewnych konfiguracji kodowania. Powiedział, że trwałe złagodzenie drugiej luki nie może nastąpić z powodu możliwego dodania nowych łańcuchów.
LayerZero korzysta z wyroczni i dwustronnego systemu multisig, aby upewnić się, że żadne fałszywe wiadomości ani transakcje nie zostaną wysłane.
W rozmowie z The Block Prestwich przyznał, że luki w zabezpieczeniach zaufanych stron trzecich są powszechne i nie stanowią dużego problemu, ponieważ zaufane strony są często godne zaufania. Powiedział jednak, że prawdziwym problemem było zaprzeczenie przez LayerZero, że jest to możliwe i wykorzystanie jego dostępu do problemów z łatami w Stargate.
LayerZero odrzuca roszczenia
Pellegrino z LayerZero skrytykował raport na Twitterze, powołanie jest „szalenie nieuczciwy”. Powiedział, że twierdzenia dotyczą tylko projektów, które używają domyślnych konfiguracji w sieci i że nie mają zastosowania do żadnych, które konfigurują własne konfiguracje.
Pellegrino powiedział The Block, że to dobrze, że zespoły mogą wybrać sposób, w jaki chcą skonfigurować swoje projekty. Twierdził, że powinni mieć możliwość wyboru ustawień, które chcą, w zależności od ich preferencji bezpieczeństwa.
Przyznał, że większość projektów opartych na LayerZero korzysta obecnie z domyślnych konfiguracji. Chociaż obejmuje to teraz Gwiezdne wrota, niedawno przegłosowano głosowanie, aby to zmienić i jest w trakcie wykonywania.
"Myślę, że każdy powinien wybrać i nikt nie powinien używać ustawień domyślnych, chyba że albo ufasz, że multisig nie działa złośliwie (większość tak robi), albo robisz coś, gdzie bezpieczeństwo nie jest priorytetem numer jeden” – powiedział.
Jeśli chodzi o zarzut, że LayerZero ukrył te zdolności, Pellegrino powiedział, że zespół bardzo o nich mówił.
© 2023 The Block Crypto, Inc. Wszelkie prawa zastrzeżone. Ten artykuł służy wyłącznie celom informacyjnym. Nie jest oferowany ani przeznaczony do wykorzystania jako porady prawne, podatkowe, inwestycyjne, finansowe lub inne.
Źródło: https://www.theblock.co/post/206770/layerzero-ceo-denies-accusations-of-critical-trusted-third-party-vulnerabilities?utm_source=rss&utm_medium=rss