A LayerZero vezérigazgatója, Bryan Pellegrino tagadta azokat a vádakat, amelyek szerint a LayerZero - a Csillagkapu-híddal kapcsolatban - két kritikus, megbízható, harmadik féltől származó sebezhetőséget tartalmaz.
„Ez 100%-ban tényszerűen téves, és megkérném, hogy beszéljen bármely auditorral, aki a projekten dolgozott” – mondta Pellegrino a The Blocknak.
James Prestwich fejlesztő, a Nomad, a rivális cross-chain protokoll alapítója és műszaki igazgatója által korábban megfogalmazott állításokra reagált.
Prestwich szerint a két sebezhetőség a LayerZero relayerből származik, amely jelenleg egy kétoldalú multisig-en van. A sérülékenységet csak bennfentesek, vagy személyazonossággal rendelkező csapattagok használhatják ki, és ez volt az egyik oka annak, hogy kiadta. A jelentés, mivel kisebb a kockázata a külső visszaéléseknek.
Az első biztonsági rés lehetővé tenné csalárd üzenetek küldését a LayerZero multisig-ről. Az ilyen típusú kizsákmányolás a Prestwich „összes felhasználói pénzének” ellopását eredményezheti írt a Twitter.
A második biztonsági rés lehetővé teszi az üzenetek módosítását, miután az oracle és a multisig bejelentkezett az üzenetekre vagy tranzakciókra. Hasonlóképpen, a Prestwich azt állítja, hogy ez a biztonsági rés az összes felhasználói pénz ellopását eredményezheti.
Gyakori a sebezhetőség
Prestwich szerint a LayerZero csapata „tudatában van a fenti sérülékenységeknek”, és „úgy döntött, hogy nem fedi fel vagy más módon nem foglalkozik velük”.
A Stargate mindkét sebezhetőségre nyitott, és a LayerZero csapata aktívan kihasználja üzenetek módosítására – állította. A Stargate egy áthidaló protokoll, amely az egyik legnagyobb LayerZero-n futó alkalmazás, amelyet a csapat az alapul szolgáló protokoll koncepciójának bizonyítékaként épített.
Az első biztonsági rést bizonyos kódolási konfigurációkat végrehajtó alkalmazások enyhíthetik. A második sebezhetőség tartós enyhítése nem valósulhat meg az esetleges új láncok hozzáadása miatt – mondta.
A LayerZero az orákulumokat és a kétoldalú multisig rendszert használja annak biztosítására, hogy ne kerüljenek elküldésre csalárd üzenetek vagy tranzakciók.
A The Blockkal folytatott beszélgetés során Prestwich elismerte, hogy a megbízható, harmadik féltől származó sebezhetőségek gyakoriak, és nem is olyan nagy probléma, mert a megbízható felek gyakran megbízhatóak. Azt mondta azonban, hogy az igazi probléma az volt, hogy a LayerZero tagadja, hogy ez lehetséges, és kihasználja a hozzáférését a Stargate javítási problémáihoz.
A LayerZero elutasítja a követeléseket
A LayerZero's Pellegrino a Twitteren bírálta a jelentést. hívás ez „vadul becstelen”. Azt mondta, hogy az állítások csak azokra a projektekre vonatkoznak, amelyek az alapértelmezett konfigurációkat használják a hálózaton, és nem vonatkoznak olyanokra, amelyek saját konfigurációkat állítanak be.
Pellegrino azt mondta a The Blocknak, hogy jó, hogy a csapatok megválaszthatják, hogyan akarják felállítani projekteiket. Azzal érvelt, hogy biztonsági preferenciáiktól függően meg kell tudniuk választani a kívánt beállításokat.
Elismerte, hogy a legtöbb LayerZero-ra épülő projekt jelenleg az alapértelmezett konfigurációkat használja. Bár ez most tartalmazza a Stargate-et, a közelmúltban szavaztak ennek megváltoztatásáról, és ennek végrehajtása folyamatban van.
"Úgy gondolom, hogy mindenkinek választania kell, és senki ne használja az alapértelmezett értékeket, hacsak nem bízik a multisig-ben, hogy nem cselekszik rosszindulatúan (a legtöbben ezt teszik), vagy olyan dolgot csinálnak, ahol a biztonság nem az első számú prioritás” – mondta.
Ami azt a vádat illeti, hogy a LayerZero elrejtette ezeket a képességeket, Pellegrino elmondta, hogy a csapat nagyon nyilvánosan beszélt róluk.
© 2023 The Block Crypto, Inc. Minden jog fenntartva. Ez a cikk csak tájékoztató jellegű. Nem kínálják, vagy nem szándékoznak felhasználni jogi, adóügyi, befektetési, pénzügyi vagy egyéb tanácsadásként.
Forrás: https://www.theblock.co/post/206770/layerzero-ceo-denies-accusations-of-critical-trusted-third-party-vulnerabilities?utm_source=rss&utm_medium=rss