LayerZero tegevjuht Bryan Pellegrino eitas süüdistusi, et LayerZerol on seoses oma Stargate'i sillaga kaks kriitilist usaldusväärset kolmanda osapoole haavatavust.
"See on 100% faktiliselt vale ja ma palun teil rääkida iga audiitoriga, kes on projekti kallal töötanud," ütles Pellegrino The Blockile.
Ta vastas väidetele, mille esitas täna varem arendaja James Prestwich, konkureeriva ahelaülese protokolli Nomad asutaja ja CTO.
Prestwich ütles, et kaks haavatavust tulenevad LayerZero releest, mis on praegu kahe osapoole multisigil. Turvaauke saavad ära kasutada ainult insaiderid või meeskonnaliikmed, kellel on identiteet, ja see oli üks põhjusi, miks ta avalikustas. aruande, kuna välise ärakasutamise oht on väiksem.
Esimene haavatavus võimaldaks saata LayerZero multisigist petturlikke sõnumeid. Seda tüüpi ärakasutamine võib põhjustada Prestwichi kogu kasutaja raha varguse kirjutas puperdama.
Teine haavatavus võimaldaks sõnumeid muuta pärast seda, kui oracle ja multisig on sõnumites või tehingutes välja loginud. Samamoodi väidab Prestwich, et see haavatavus võib kaasa tuua kogu kasutaja raha varguse.
Levinud haavatavused
Prestwich ütles, et LayerZero meeskond oli ülalnimetatud haavatavustest teadlik ja otsustas neid mitte avaldada ega muul viisil käsitleda.
Ta väitis, et Stargate on avatud mõlemale haavatavusele ja LayerZero meeskond kasutab seda aktiivselt sõnumite muutmiseks. Tähevärav on sillaprotokoll, mis on üks suurimaid LayerZero-s töötavaid rakendusi ja mille meeskond koostas alusprotokolli kontseptsiooni tõestuseks.
Esimest haavatavust saavad leevendada rakendused, mis teevad teatud kodeerimiskonfiguratsioone. Ta ütles, et teise haavatavuse püsiv leevendamine ei saa toimuda uute kettide võimaliku lisamise tõttu.
LayerZero kasutab oraakleeid ja kahe osapoole multisig-süsteemi, et tagada petturlike sõnumite või tehingute saatmine.
Vestluses The Blockiga tunnistas Prestwich, et usaldusväärsete kolmandate osapoolte haavatavused on tavalised ega ole nii suur probleem, sest usaldusväärsed osapooled on sageli usaldusväärsed. Tema sõnul oli aga tegelik probleem selles, et LayerZero eitas selle võimalikkust ja kasutas oma juurdepääsu Stargate'i plaastriprobleemidele.
LayerZero lükkab väited tagasi
LayerZero Pellegrino kritiseeris raportit Twitteris, kutsudes see on "metsikult ebaaus". Ta ütles, et nõuded kehtivad ainult projektidele, mis kasutavad võrgus vaikekonfiguratsioone, ja et need ei kehti nende kohta, mis seadistavad oma konfiguratsioonid.
Pellegrino ütles The Blockile, et on hea, et meeskonnad saavad valida, kuidas nad soovivad oma projekte üles seada. Ta väitis, et neil peaks olema võimalus valida soovitud seaded olenevalt nende turvaeelistustest.
Ta tunnistas, et enamik LayerZero-le ehitatud projekte kasutab praegu vaikekonfiguratsioone. Kuigi see hõlmab praegu Stargate'i, võeti hiljuti vastu hääletus selle muutmiseks ja see on täitmisel.
"Ma arvan, et kõik peaksid valima ja keegi ei peaks kasutama vaikeseadeid, välja arvatud juhul, kui usaldate multisigi, et see ei tegutse pahatahtlikult (enamik seda teeb), või teete midagi, mille puhul turvalisus pole prioriteet number üks, ”ütles ta.
Mis puudutab süüdistust, et LayerZero varjas neid võimeid, siis Pellegrino ütles, et meeskond on nende kohta väga avalik olnud.
© 2023 The Block Crypto, Inc. Kõik õigused kaitstud. See artikkel on esitatud ainult informatiivsel eesmärgil. Seda ei pakuta ega kavatseta kasutada juriidilise, maksu-, investeerimis-, finants- ega muu nõuandena.
Allikas: https://www.theblock.co/post/206770/layerzero-ceo-denies-accusations-of-critical-trusted-third-party-vulnerabilities?utm_source=rss&utm_medium=rss