Izvršni direktor LayerZero Bryan Pellegrino zanijekao je optužbe da LayerZero — u vezi sa svojim mostom Stargate — ima dvije kritične pouzdane ranjivosti treće strane.
"To je 100% činjenično netočno i zamolio bih vas da razgovarate s bilo kojim revizorom koji je radio na projektu", rekao je Pellegrino za The Block.
Reagirao je na tvrdnje koje je ranije danas iznio programer James Prestwich, osnivač i tehnički direktor Nomada, konkurentskog međulančanog protokola.
Prestwich je rekao da dvije ranjivosti proizlaze iz LayerZero relayera, koji je trenutno na dvostranom multisigu. Ranjivost mogu iskoristiti samo insajderi ili članovi tima koji znaju identitet, a to je bio jedan od razloga zašto je objavio Izvješće, jer postoji manji rizik od eksternog iskorištavanja.
Prva ranjivost bi omogućila slanje lažnih poruka s LayerZero multisig. Ova vrsta iskorištavanja mogla bi rezultirati krađom "svih korisničkih sredstava", Prestwich napisao na Twitter.
Druga ranjivost bi omogućila modificiranje poruka nakon što se oracle i multisig odjave na poruke ili transakcije. Slično, Prestwich tvrdi da bi ova ranjivost mogla rezultirati krađom svih korisničkih sredstava.
Uobičajene ranjivosti
Prestwich je rekao da je LayerZero tim bio “svjestan gore navedenih ranjivosti” i “odlučio ih je ne otkriti niti ih na drugi način riješiti”.
Stargate je otvoren za obje ranjivosti i LayerZero tim ga aktivno iskorištava za modificiranje poruka, tvrdio je. Stargate je protokol za premošćivanje koji je jedna od najvećih aplikacija koje se izvode na LayerZero, a izradio ga je tim kao dokaz koncepta za temeljni protokol.
Prva se ranjivost može ublažiti tako da aplikacije naprave neke konfiguracije kodiranja. Trajno ublažavanje druge ranjivosti ne može se dogoditi zbog mogućeg dodavanja novih lanaca, rekao je.
LayerZero koristi oracle i dvostrani multisig sustav kako bi osigurao da se ne šalju lažne poruke ili transakcije.
U razgovoru za The Block, Prestwich je priznao da su ranjivosti pouzdanih trećih strana uobičajene i da nisu toliki problem jer su pouzdane strane često pouzdane. Međutim, rekao je da je pravi problem u tome što LayerZero niječe da je to moguće i iskorištava svoj pristup problemima sa zakrpama sa Stargateom.
LayerZero odbacuje tvrdnje
Pellegrino iz LayerZera oštro je osudio izvješće na Twitteru, nazivajući to je "divlje nepošteno". Rekao je da se tvrdnje odnose samo na projekte koji koriste zadane konfiguracije na mreži i da se ne odnose na projekte koji postavljaju vlastite konfiguracije.
Pellegrino je za The Block rekao da je dobro što timovi mogu izabrati kako žele postaviti svoje projekte. Tvrdio je da bi trebali imati mogućnost odabira postavki koje žele, ovisno o svojim sigurnosnim preferencijama.
Priznao je da većina projekata izgrađenih na LayerZero trenutno koristi zadane konfiguracije. Iako ovo trenutno uključuje Zvjezdana vrata, nedavno je izglasano da se to promijeni i to je u procesu izvršenja.
"Mislim da bi svatko trebao odabrati i nitko ne bi trebao koristiti zadane postavke osim ako vjerujete da multisig neće djelovati zlonamjerno (većina to čini) ili radite nešto u čemu sigurnost nije na prvom mjestu”, rekao je.
Što se tiče optužbi da je LayerZero skrivao ove sposobnosti, Pellegrino je rekao da je tim bio vrlo javan o njima.
© 2023. Block Crypto, Inc. Sva prava pridržana. Ovaj je članak dostupan samo u informativne svrhe. Ne nude se niti se koriste kao pravni, porezni, investicijski, financijski ili drugi savjeti.
Izvor: https://www.theblock.co/post/206770/layerzero-ceo-denies-accusations-of-critical-trusted-third-party-vulnerabilities?utm_source=rss&utm_medium=rss