Generálny riaditeľ LayerZero Bryan Pellegrino poprel obvinenia, že LayerZero – v súvislosti s mostom Stargate – má dve kritické dôveryhodné zraniteľnosti tretích strán.
"Je to 100% fakticky nesprávne a chcel by som vás požiadať, aby ste sa porozprávali s ktorýmkoľvek audítorom, ktorý pracoval na projekte," povedal Pellegrino pre The Block.
Reagoval tak na tvrdenia, ktoré dnes uviedol vývojár James Prestwich, zakladateľ a technický riaditeľ spoločnosti Nomad, konkurenčného cross-chain protokolu.
Prestwich uviedol, že tieto dve zraniteľnosti pochádzajú z relé LayerZero, ktorý je momentálne na dvojstrannom multisig. Zraniteľnosti môžu zneužiť iba zasvätení alebo členovia tímu, ktorí poznajú identitu, a to bol jeden z dôvodov, prečo zverejnil správa, pretože existuje nižšie riziko externého zneužitia.
Prvá zraniteľnosť by umožnila odosielanie podvodných správ z LayerZero multisig. Tento typ zneužitia by mohol viesť ku krádeži „všetkých používateľských prostriedkov“, Prestwich napísal na Twitteri.
Druhá zraniteľnosť by umožnila upravovať správy po tom, čo oracle a multisig odhlásili správy alebo transakcie. Podobne Prestwich tvrdí, že táto zraniteľnosť by mohla viesť ku krádeži všetkých používateľských prostriedkov.
Bežné zraniteľnosti
Prestwich uviedol, že tím LayerZero si bol „vedomý vyššie uvedených zraniteľností“ a „rozhodol sa ich nezverejniť ani inak riešiť“.
Hviezdna brána je otvorená obom zraniteľnostiam a tím LayerZero ju aktívne využíva na úpravu správ, tvrdil. Stargate je premosťovací protokol, ktorý je jednou z najväčších aplikácií bežiacich na LayerZero a bol vytvorený tímom ako dôkaz koncepcie základného protokolu.
Prvú zraniteľnosť možno zmierniť pomocou aplikácií, ktoré vytvoria určité konfigurácie kódovania. Trvalé zmiernenie druhej zraniteľnosti sa nemôže stať z dôvodu možného pridania nových reťazcov, povedal.
LayerZero používa Oracle a dvojstranný multisig systém, aby sa zaistilo, že nebudú odoslané žiadne podvodné správy alebo transakcie.
V rozhovore s The Block Prestwich uznal, že zraniteľnosti dôveryhodných tretích strán sú bežné a nepredstavujú taký veľký problém, pretože dôveryhodné strany sú často dôveryhodné. Povedal však, že skutočným problémom bolo, že LayerZero popiera, že je to možné, a využíva svoj prístup k problémom s opravami so Stargate.
LayerZero odmieta nároky
Pellegrino z LayerZero kritizoval správu na Twitteri, volanie je to „divoke nečestné“. Povedal, že tvrdenia sa vzťahujú iba na projekty, ktoré používajú predvolené konfigurácie v sieti, a že sa nevzťahujú na žiadne, ktoré si nastavujú svoje vlastné konfigurácie.
Pellegrino pre The Block povedal, že je dobré, že si tímy môžu vybrať, ako chcú svoje projekty nastaviť. Tvrdil, že by mali mať možnosť vybrať si nastavenia, ktoré chcú, v závislosti od ich bezpečnostných preferencií.
Uznal, že väčšina projektov postavených na LayerZero v súčasnosti používa predvolené konfigurácie. Aj keď to teraz zahŕňa Hviezdnu bránu, nedávno prebehlo hlasovanie, aby sa to zmenilo, a je v procese vykonávania.
"Myslím si, že každý by si mal vybrať a nikto by nemal používať predvolené hodnoty, pokiaľ buď nedôverujete multisig, že nekoná zlomyseľne (väčšina tak robí), alebo nerobíte niečo, kde bezpečnosť nie je prioritou číslo jedna,“ povedal.
Pokiaľ ide o obvinenie, že LayerZero tieto schopnosti skrýval, Pellegrino povedal, že tím o nich hovoril veľmi verejne.
© 2023 The Block Crypto, Inc. Všetky práva vyhradené. Tento článok sa poskytuje iba na informačné účely. Neponúka sa ani sa nemá používať ako právne, daňové, investičné, finančné alebo iné poradenstvo.
Zdroj: https://www.theblock.co/post/206770/layerzero-ceo-denies-accusations-of-critical-trusted-third-party-vulnerabilities?utm_source=rss&utm_medium=rss