CEO-ul LayerZero neagă acuzațiile de vulnerabilități critice ale terților de încredere

CEO-ul LayerZero, Bryan Pellegrino, a negat acuzațiile potrivit cărora LayerZero – în legătură cu podul său Stargate – are două vulnerabilități critice de încredere ale terților.

„Este 100% incorect din punct de vedere real și v-aș ruga să vorbiți cu orice auditor care a lucrat la proiect”, a spus Pellegrino pentru The Block.

El a răspuns la afirmațiile făcute astăzi mai devreme de dezvoltatorul James Prestwich, fondatorul și CTO al Nomad, un protocol rival încrucișat.

Prestwich a spus că cele două vulnerabilități provin din releul LayerZero, care se află în prezent pe un multisig cu două părți. Vulnerabilitățile pot fi exploatate doar de persoane din interior sau de membrii echipei care au identități cunoscute, iar acesta a fost unul dintre motivele pentru care a lansat raportul, deoarece există un risc mai mic de exploatare externă.

Prima vulnerabilitate ar permite trimiterea de mesaje frauduloase din multisig LayerZero. Acest tip de exploatare ar putea duce la furtul „toate fondurile utilizatorilor”, Prestwich scris pe Twitter.

A doua vulnerabilitate ar permite modificarea mesajelor după ce oracolul și multisig-ul s-au deconectat de la mesaje sau tranzacții. În mod similar, Prestwich susține că această vulnerabilitate ar putea duce la furtul tuturor fondurilor utilizatorilor.

Vulnerabilități comune

Prestwich a spus că echipa LayerZero era „conștientă de vulnerabilitățile de mai sus” și „a ales să nu le dezvăluie sau să le abordeze în alt mod”.

Stargate este deschis ambelor vulnerabilități și este exploatat în mod activ de echipa LayerZero pentru a modifica mesajele, a susținut el. Stargate este un protocol de legătură care este una dintre cele mai mari aplicații care rulează pe LayerZero și a fost construit de echipă ca o dovadă a conceptului pentru protocolul de bază.

Prima vulnerabilitate poate fi atenuată de aplicații care realizează unele configurații de codare. Atenuarea permanentă a celei de-a doua vulnerabilități nu se poate întâmpla din cauza posibilei adăugări de noi lanțuri, a spus el.

LayerZero folosește oracole și sistemul multisig bipartit pentru a se asigura că nu sunt trimise mesaje sau tranzacții frauduloase.

Într-o conversație cu The Block, Prestwich a recunoscut că vulnerabilitățile de încredere ale terților sunt comune și nu o problemă atât de mare, deoarece părțile de încredere sunt adesea de încredere. Cu toate acestea, el a spus că adevărata problemă a fost că LayerZero neagă că acest lucru este posibil și își folosește accesul la problemele de corecție cu Stargate.

LayerZero respinge pretențiile

Pellegrino de la LayerZero a criticat raportul pe Twitter, apel este „în mod sălbatic necinstit”. El a spus că afirmațiile se aplică doar proiectelor care folosesc configurațiile implicite în rețea și că nu se aplică niciunuia care își configurează propriile configurații.

Pellegrino a spus pentru The Block că este bine că echipele pot alege cum doresc să-și configureze proiectele. El a susținut că ar trebui să aibă posibilitatea de a alege setările pe care le doresc, în funcție de preferințele lor de securitate.

El a recunoscut că majoritatea proiectelor construite pe LayerZero folosesc în prezent configurațiile implicite. Deși aceasta include Stargate chiar acum, a fost trecut recent un vot pentru a schimba acest lucru și este în curs de executare.

Cred că toată lumea ar trebui să aleagă și nimeni nu ar trebui să folosească valorile implicite, cu excepția cazului în care fie aveți încredere în multisig pentru a nu acționa rău (majoritatea fac) sau faceți ceva în care securitatea nu este prioritatea numărul unu”, a spus el.

În ceea ce privește acuzația că LayerZero a ascuns aceste abilități, Pellegrino a spus că echipa a fost foarte public despre ele.

© 2023 The Block Crypto, Inc. Toate drepturile rezervate. Acest articol este furnizat doar în scop informativ. Nu este oferit sau intenționat să fie utilizat ca avize legale, fiscale, de investiții, financiare sau de altă natură.