Генеральний директор LayerZero Браян Пеллегріно спростував звинувачення в тому, що LayerZero — у зв’язку з його мостом Stargate — має дві критичні надійні вразливості сторонніх розробників.
«Це на 100% фактично невірно, і я прошу вас поговорити з будь-яким аудитором, який працював над проектом», — сказав Пеллегріно The Block.
Він відповідав на заяви, зроблені сьогодні розробником Джеймсом Прествічем, засновником і технічним директором Nomad, конкуруючого крос-чейн протоколу.
Прествіч сказав, що дві вразливості походять від ретранслятора LayerZero, який наразі працює на двосторонньому мультипідписі. Цією вразливістю можуть скористатися лише інсайдери або члени команди, які мають відомі особи, і це була одна з причин, чому він випустив доповідь, оскільки існує менший ризик зовнішнього експлойту.
Перша вразливість дозволить надсилати шахрайські повідомлення з LayerZero multisig. Цей тип експлойту може призвести до крадіжки «всіх коштів користувача», Prestwich пише на Twitter.
Друга вразливість дозволяє змінювати повідомлення після того, як оракул і multisig підписали повідомлення або транзакції. Подібним чином Prestwich стверджує, що ця вразливість може призвести до крадіжки всіх коштів користувача.
Поширені вразливості
Прествіч сказав, що команда LayerZero «знала про вищевказані вразливості» і «вирішила не розголошувати та іншим чином їх не вирішувати».
Зоряна брама відкрита для обох уразливостей і активно використовується командою LayerZero для зміни повідомлень, стверджував він. Stargate — це мостовий протокол, який є одним із найбільших додатків, що працюють на LayerZero, і був створений командою як доказ концепції базового протоколу.
Першу вразливість можна пом’якшити за допомогою програм, які налаштовують код. За його словами, постійне пом’якшення другої вразливості неможливе через можливе додавання нових ланцюжків.
LayerZero використовує оракули та двосторонню систему multisig, щоб не надсилати шахрайські повідомлення чи транзакції.
У розмові з The Block Прествіч визнав, що уразливості довірених третіх сторін є поширеними і не є такою великою проблемою, оскільки довірені сторони часто заслуговують на довіру. Однак він сказав, що справжня проблема полягає в тому, що LayerZero заперечує, що це можливо, і використовує свій доступ до проблем із виправленнями Stargate.
LayerZero відхиляє претензії
Пеллегріно з LayerZero розкритикував звіт у Twitter, покликання це «дико нечесно». Він сказав, що претензії стосуються лише проектів, які використовують конфігурації за замовчуванням у мережі, і що вони не стосуються проектів, які встановлюють власні конфігурації.
Пеллегріно сказав The Block, що добре, що команди можуть вибирати, як вони хочуть створити свої проекти. Він стверджував, що вони повинні мати можливість вибирати налаштування, які вони хочуть, залежно від своїх уподобань щодо безпеки.
Він визнав, що більшість проектів, побудованих на LayerZero, наразі використовують конфігурації за замовчуванням. Хоча зараз це включає Зоряні ворота, нещодавно було проведено голосування, щоб змінити це, і воно знаходиться в процесі виконання.
"Я вважаю, що кожен повинен вибрати, і ніхто не повинен використовувати значення за замовчуванням, якщо ви або не довіряєте multisig, що він не буде діяти зловмисно (більшість так і робить), або робите щось, де безпека не є пріоритетом номер один», — сказав він.
Що стосується звинувачень у тому, що LayerZero приховав ці здібності, Пеллегріно сказав, що команда дуже публічно розповіла про них.
© 2023 The Block Crypto, Inc. Всі права захищені. Ця стаття надана лише в інформаційних цілях. Він не пропонується або не може використовуватися як юридична, податкова, інвестиційна, фінансова чи інша порада.
Джерело: https://www.theblock.co/post/206770/layerzero-ceo-denies-accusations-of-critical-trusted-third-party-vulnerabilities?utm_source=rss&utm_medium=rss