Izvršni direktor LayerZero Bryan Pellegrino je zanikal obtožbe, da ima LayerZero – v povezavi z mostom Stargate – dve kritični ranljivosti zaupanja vrednih tretjih oseb.
"To je 100% dejansko napačno in prosil bi vas, da se pogovorite s katerim koli revizorjem, ki je delal na projektu," je Pellegrino povedal za The Block.
Odzval se je na trditve, ki jih je danes danes podal razvijalec James Prestwich, ustanovitelj in tehnični direktor Nomada, konkurenčnega medverižnega protokola.
Prestwich je dejal, da dve ranljivosti izhajata iz posrednika LayerZero, ki je trenutno na dvostranskem multisigu. Ranljivosti lahko izkoristijo samo notranji ljudje ali člani ekipe, ki poznajo identiteto, in to je bil eden od razlogov, zakaj je izdal Poročilo, saj obstaja manjše tveganje zunanjega zlorabe.
Prva ranljivost bi omogočila pošiljanje goljufivih sporočil iz LayerZero multisig. Ta vrsta izkoriščanja bi lahko povzročila krajo "vseh uporabniških sredstev", Prestwich Napisal na Twitterju.
Druga ranljivost bi omogočila spreminjanje sporočil, potem ko sta oracle in multisig podpisala sporočila ali transakcije. Podobno Prestwich trdi, da bi lahko ta ranljivost povzročila krajo vseh uporabnikovih sredstev.
Pogoste ranljivosti
Prestwich je dejal, da se ekipa LayerZero "zaveda zgornjih ranljivosti" in "se je odločila, da jih ne bo razkrila ali kako drugače obravnavala."
Stargate je odprt za obe ranljivosti in ga skupina LayerZero aktivno izkorišča za spreminjanje sporočil, je trdil. Stargate je premostitveni protokol, ki je ena največjih aplikacij, ki se izvajajo na LayerZero, in ga je ekipa zgradila kot dokaz koncepta za osnovni protokol.
Prvo ranljivost je mogoče ublažiti z aplikacijami, ki naredijo nekaj konfiguracij kodiranja. Trajna ublažitev druge ranljivosti se ne more zgoditi zaradi možnega dodajanja novih verig, je dejal.
LayerZero uporablja preročišča in dvostranski sistem multisig, da prepreči pošiljanje goljufivih sporočil ali transakcij.
V pogovoru z The Block je Prestwich priznal, da so ranljivosti zaupanja vrednih tretjih oseb pogoste in niso tako velik problem, ker so zaupanja vredne strani pogosto vredne zaupanja. Vendar je dejal, da je resnična težava v tem, da LayerZero zanika, da je to mogoče, in izkorišča svoj dostop do težav s popravki pri Stargate.
LayerZero zavrača trditve
Pellegrino iz LayerZero je na Twitterju ostro ogorčil poročilo, kliče je "divje nepošteno." Rekel je, da trditve veljajo le za projekte, ki uporabljajo privzete konfiguracije v omrežju, in da ne veljajo za tiste, ki nastavijo svoje lastne konfiguracije.
Pellegrino je za The Block povedal, da je dobro, da lahko ekipe izberejo, kako želijo postaviti svoje projekte. Trdil je, da bi morali imeti možnost izbire nastavitev, ki jih želijo, glede na njihove varnostne nastavitve.
Priznal je, da večina projektov, zgrajenih na LayerZero, trenutno uporablja privzete konfiguracije. Čeprav to trenutno vključuje Zvezdna vrata, je bilo pred kratkim sprejeto glasovanje za spremembo tega in je v postopku izvajanja.
"Mislim, da bi morali vsi izbrati in nihče ne bi smel uporabljati privzetih vrednosti, razen če bodisi zaupate multisig-u, da ne bo deloval zlonamerno (večina jih), ali če počnete nekaj, pri čemer varnost ni na prvem mestu,« je dejal.
Kar zadeva obtožbe, da je LayerZero skrival te sposobnosti, je Pellegrino dejal, da je bila ekipa o njih zelo javna.
© 2023 The Block Crypto, Inc. Vse pravice pridržane. Ta članek je na voljo samo v informativne namene. Ni na voljo ali namenjen uporabi kot pravni, davčni, naložbeni, finančni ali drug nasvet.
Vir: https://www.theblock.co/post/206770/layerzero-ceo-denies-accusations-of-critical-trusted-third-party-vulnerabilities?utm_source=rss&utm_medium=rss