Главният изпълнителен директор на LayerZero Брайън Пелегрино отхвърли обвиненията, че LayerZero — във връзка с неговия мост Stargate — има две критични надеждни уязвимости на трети страни.
„Това е 100% фактически невярно и бих ви помолил да говорите с всеки одитор, който е работил по проекта“, каза Пелегрино пред The Block.
Той отговаряше на твърдения, направени по-рано днес от разработчика Джеймс Престуич, основател и технически директор на Nomad, конкурентен междуверижен протокол.
Престуич каза, че двете уязвимости произтичат от релея LayerZero, който в момента е на двустранна мултисиг. Уязвимостите могат да бъдат използвани само от вътрешни лица или членове на екипа, които имат известна самоличност и това беше една от причините той да освободи доклада, тъй като има по-малък риск от външен експлойт.
Първата уязвимост би позволила изпращането на измамни съобщения от LayerZero multisig. Този тип експлоатация може да доведе до кражба на „всички потребителски средства“, Prestwich пише на Twitter.
Втората уязвимост би позволила модифициране на съобщения, след като оракулът и multisig са подписали съобщения или транзакции. По същия начин Prestwich твърди, че тази уязвимост може да доведе до кражба на всички потребителски средства.
Често срещани уязвимости
Prestwich каза, че екипът на LayerZero е бил „наясно с горните уязвимости“ и „е избрал да не ги разкрива или по друг начин да ги адресира“.
Stargate е отворен и за двете уязвимости и се използва активно от екипа на LayerZero за модифициране на съобщения, твърди той. Stargate е свързващ протокол, който е едно от най-големите приложения, работещи на LayerZero, и е създаден от екипа като доказателство за концепцията за основния протокол.
Първата уязвимост може да бъде смекчена чрез приложения, които правят някои конфигурации на кодиране. Постоянното смекчаване на втората уязвимост не може да се случи поради възможното добавяне на нови вериги, каза той.
LayerZero използва оракули и двустранната мултисиг система, за да гарантира, че няма да бъдат изпратени измамни съобщения или транзакции.
В разговор с The Block Престуич призна, че уязвимостите на доверени трети страни са често срещани и не са толкова голям проблем, защото доверените страни често са надеждни. Той обаче каза, че истинският проблем е, че LayerZero отрича, че това е възможно и използва достъпа си до проблеми с корекциите със Stargate.
LayerZero отхвърля твърденията
Пелегрино от LayerZero критикува доклада в Twitter, повикване това е „страшно нечестно“. Той каза, че твърденията се отнасят само за проекти, които използват конфигурациите по подразбиране в мрежата и че не се отнасят за такива, които създават свои собствени конфигурации.
Пелегрино каза пред The Block, че е добре екипите да могат да избират как искат да организират своите проекти. Той твърди, че те трябва да имат възможността да избират настройките, които искат, в зависимост от техните предпочитания за сигурност.
Той призна, че повечето проекти, изградени на LayerZero, в момента използват конфигурациите по подразбиране. Въпреки че в момента това включва Stargate, наскоро беше гласувано за промяна на това и то е в процес на изпълнение.
"Мисля, че всеки трябва да избере и никой не трябва да използва настройките по подразбиране, освен ако или не се доверявате на multisig да не действа злонамерено (повечето го правят) или правите нещо, при което сигурността не е приоритет номер едно,” каза той.
Що се отнася до обвинението, че LayerZero е скрил тези способности, Пелегрино каза, че екипът е бил много публичен за тях.
© 2023 The Block Crypto, Inc. Всички права запазени. Тази статия е предоставена само за информационни цели. Не се предлага или не се използва като правен, данъчен, инвестиционен, финансов или друг съвет.
Източник: https://www.theblock.co/post/206770/layerzero-ceo-denies-accusations-of-critical-trusted-third-party-vulnerabilities?utm_source=rss&utm_medium=rss