LayerZero-sjef Bryan Pellegrino benektet anklagene om at LayerZero – i forbindelse med Stargate-broen – har to kritiske pålitelige tredjepartssårbarheter.
"Det er 100% faktisk feil, og jeg vil be deg snakke med enhver revisor som har jobbet med prosjektet," sa Pellegrino til The Block.
Han svarte på påstander tidligere i dag av utvikler James Prestwich, grunnlegger og CTO av Nomad, en rivaliserende krysskjedeprotokoll.
Prestwich sa at de to sårbarhetene stammer fra LayerZero-relayeren, som for øyeblikket er på en to-parts multisig. Sårbarhetene kan bare utnyttes av innsidere, eller teammedlemmer som har kjente identiteter, og dette var en av grunnene til at han slapp ut rapporten, da det er lavere risiko for en ekstern utnyttelse.
Den første sårbarheten ville tillate at falske meldinger sendes fra LayerZero multisig. Denne typen utnyttelse kan resultere i tyveri av «alle brukermidler», Prestwich skrev på Twitter.
Den andre sårbarheten vil tillate endring av meldinger etter at oracle og multisig har meldt seg av på meldinger eller transaksjoner. På samme måte hevder Prestwich at denne sårbarheten kan føre til tyveri av alle brukermidler.
Sårbarheter vanlige
Prestwich sa at LayerZero-teamet var "bevisst om de ovennevnte sårbarhetene" og "valgte å ikke avsløre eller på annen måte adressere dem."
Stargate er åpen for begge sårbarheter og blir aktivt utnyttet av LayerZero-teamet for å endre meldinger, hevdet han. Stargate er en broprotokoll som er en av de største applikasjonene som kjører på LayerZero og ble bygget av teamet som et proof of concept for den underliggende protokollen.
Den første sårbarheten kan reduseres av applikasjoner som gjør noen kodekonfigurasjoner. Permanent reduksjon av den andre sårbarheten kan ikke skje på grunn av mulig tillegg av nye kjeder, sa han.
LayerZero bruker orakler og to-parts multisig-systemet for å sikre at ingen falske meldinger eller transaksjoner blir sendt.
I samtale med The Block erkjente Prestwich at pålitelige tredjepartssårbarheter er vanlige og ikke så stort problem fordi pålitelige parter ofte er pålitelige. Han sa imidlertid at det virkelige problemet var at LayerZero benektet at dette var mulig og utnyttet tilgangen til oppdateringsproblemer med Stargate.
LayerZero avviser krav
LayerZeros Pellegrino slo ned rapporten på Twitter, ringer det er «vill uærlig». Han sa at påstandene bare gjelder for prosjekter som bruker standardkonfigurasjonene på nettverket, og at de ikke gjelder for noen som setter opp sine egne konfigurasjoner.
Pellegrino sa til The Block at det er bra at team kan velge hvordan de vil sette opp prosjektene sine. Han argumenterte for at de burde ha muligheten til å velge innstillingene de vil ha, avhengig av sikkerhetspreferansene deres.
Han erkjente at de fleste prosjekter bygget på LayerZero for øyeblikket bruker standardkonfigurasjonene. Selv om dette inkluderer Stargate akkurat nå, ble det nylig vedtatt en avstemning for å endre dette, og det er i ferd med å bli henrettet.
"Jeg tror alle bør velge og ingen bør bruke standardinnstillingene med mindre du enten stoler på at multisig ikke handler ondsinnet (de fleste gjør det) eller gjør noe der sikkerhet ikke er førsteprioritet, sa han.
Når det gjelder anklagen om at LayerZero skjulte disse evnene, sa Pellegrino at laget har vært veldig offentlige om dem.
© 2023 The Block Crypto, Inc. Alle rettigheter reservert. Denne artikkelen er kun ment for informasjonsformål. Det blir ikke tilbudt eller ment å brukes som juridiske, skatte-, investerings-, økonomiske eller andre råd.
Kilde: https://www.theblock.co/post/206770/layerzero-ceo-denies-accusations-of-critical-trusted-third-party-vulnerabilities?utm_source=rss&utm_medium=rss