Izvršni direktor LayerZero-a Bryan Pellegrino negirao je optužbe da LayerZero - u vezi sa svojim mostom Stargate - ima dvije kritične propuste trećih strana od povjerenja.
“To je 100% činjenično netačno i zamolio bih vas da razgovarate sa bilo kojim revizorom koji je radio na projektu”, rekao je Pellegrino za The Block.
On je odgovarao na tvrdnje koje je ranije danas iznio programer James Prestwich, osnivač i CTO Nomada, rivalskog cross-chain protokola.
Prestwich je rekao da dvije ranjivosti potiču od LayerZero relayer-a, koji je trenutno na dvostranom multi-potpisu. Ranjivosti mogu iskoristiti samo insajderi ili članovi tima koji znaju identitete, a to je bio jedan od razloga zašto je objavio izvjestaj, jer postoji manji rizik od eksploatacije.
Prva ranjivost bi omogućila slanje lažnih poruka sa LayerZero multisig-a. Ova vrsta eksploatacije može dovesti do krađe "svih korisničkih sredstava", Prestwich napisao na Twitteru.
Druga ranjivost bi omogućila izmjenu poruka nakon što se oracle i multisig odjave za poruke ili transakcije. Slično, Prestwich tvrdi da bi ova ranjivost mogla dovesti do krađe svih korisničkih sredstava.
Uobičajene ranjivosti
Prestwich je rekao da je tim LayerZero "svjestan gore navedenih ranjivosti" i "odlučio je da ih ne otkrije ili na drugi način riješi."
Stargate je otvoren za obje ranjivosti i LayerZero tim ga aktivno iskorištava za modificiranje poruka, tvrdi on. Stargate je protokol za premošćivanje koji je jedna od najvećih aplikacija koje se pokreću na LayerZero-u, a tim je izgradio kao dokaz koncepta za osnovni protokol.
Prva ranjivost se može ublažiti aplikacijama koje prave neke konfiguracije kodiranja. Trajno ublažavanje druge ranjivosti se ne može dogoditi zbog mogućeg dodavanja novih lanaca, rekao je.
LayerZero koristi orakule i dvostrani multisig sistem kako bi osigurao da se ne šalju lažne poruke ili transakcije.
U razgovoru za The Block, Prestwich je priznao da su ranjivosti trećih strana od povjerenja uobičajene i nisu toliki problem jer su strane od povjerenja često pouzdane. Međutim, on je rekao da je pravi problem bio LayerZero koji poriče da je to moguće i koristi svoj pristup problemima zakrpa sa Stargate-om.
LayerZero odbacuje zahtjeve
Pellegrino iz LayerZero-a osudio je izvještaj na Twitteru, pozivajući to je "divlje nepošteno". Rekao je da se tvrdnje odnose samo na projekte koji koriste zadane konfiguracije na mreži i da se ne odnose na one koji postavljaju svoje vlastite konfiguracije.
Pellegrino je za The Block rekao da je dobro što timovi mogu birati kako žele postaviti svoje projekte. Tvrdio je da bi trebali imati mogućnost odabira postavki koje žele, ovisno o njihovim sigurnosnim preferencijama.
On je priznao da većina projekata izgrađenih na LayerZero trenutno koristi zadane konfiguracije. Iako ovo trenutno uključuje Stargate, nedavno je usvojeno glasanje da se ovo promijeni i u procesu je izvršenja.
"Mislim da bi svi trebali birati i niko ne bi trebao koristiti zadane postavke osim ako ne vjerujete da multisig neće djelovati zlonamjerno (većina radi) ili radite nešto gdje sigurnost nije prioritet broj jedan,” rekao je.
Što se tiče optužbi da je LayerZero sakrio ove sposobnosti, Pellegrino je rekao da je tim bio vrlo javan o njima.
© 2023. Block Crypto, Inc. Sva prava pridržana. Ovaj je članak dostupan samo u informativne svrhe. Ne nude se niti se koriste kao pravni, porezni, investicioni, finansijski ili drugi savjeti.
Izvor: https://www.theblock.co/post/206770/layerzero-ceo-denies-accusations-of-critical-trusted-third-party-vulnerabilities?utm_source=rss&utm_medium=rss