LayerZeron toimitusjohtaja Bryan Pellegrino kiisti syytökset, joiden mukaan LayerZerolla - sen Stargate-sillan yhteydessä - olisi kaksi kriittistä luotettavaa kolmannen osapuolen haavoittuvuutta.
"Se on 100-prosenttisesti väärin, ja pyytäisin sinua puhumaan minkä tahansa projektin parissa työskennelleelle tilintarkastajalle", Pellegrino kertoi The Blockille.
Hän vastasi väitteisiin, joita esitti aiemmin tänään kehittäjä James Prestwich, kilpailevan ketjujen välisen protokollan Nomadin perustaja ja teknologiajohtaja.
Prestwich sanoi, että nämä kaksi haavoittuvuutta johtuvat LayerZero-välityksestä, joka on tällä hetkellä kahden osapuolen multisigissä. Haavoittuvuuksia voivat hyödyntää vain sisäpiiriläiset tai tiimin jäsenet, joilla on tiedossa henkilöllisyydet, ja tämä oli yksi syistä, miksi hän julkaisi raportti, koska ulkoisen hyväksikäytön riski on pienempi.
Ensimmäinen haavoittuvuus sallisi vilpillisten viestien lähettämisen LayerZero multisigistä. Tämän tyyppinen hyväksikäyttö voi johtaa "kaikkien käyttäjävarojen", Prestwichin, varkauksiin kirjoitti Twitterissä.
Toinen haavoittuvuus sallisi viestien muokkaamisen sen jälkeen, kun oraakkeli ja multisig ovat kirjautuneet pois viesteistä tai tapahtumista. Vastaavasti Prestwich väittää, että tämä haavoittuvuus voi johtaa kaikkien käyttäjien varojen varastamiseen.
Haavoittuvuudet yleisiä
Prestwich sanoi, että LayerZero-tiimi oli "tietoinen yllä olevista haavoittuvuuksista" ja "päätti olla paljastamatta tai muuten puuttumatta niihin".
Stargate on avoin molemmille haavoittuvuuksille, ja LayerZero-tiimi käyttää sitä aktiivisesti hyväkseen viestien muokkaamiseen, hän väitti. Stargate on siltausprotokolla, joka on yksi suurimmista LayerZerossa toimivista sovelluksista ja jonka tiimi on rakentanut todisteeksi taustalla olevan protokollan konseptista.
Ensimmäistä haavoittuvuutta voidaan lieventää sovelluksilla, jotka tekevät joitain koodauskokoonpanoja. Toisen haavoittuvuuden pysyvä lieventäminen ei voi tapahtua uusien ketjujen mahdollisen lisäämisen vuoksi, hän sanoi.
LayerZero käyttää oraakkeleita ja kahden osapuolen multisig-järjestelmää varmistaakseen, ettei vilpillisiä viestejä tai tapahtumia lähetetä.
Keskustelussa The Blockin kanssa Prestwich myönsi, että luotettujen kolmansien osapuolien haavoittuvuudet ovat yleisiä eivätkä ole niin suuri ongelma, koska luotettavat osapuolet ovat usein luotettavia. Hän kuitenkin sanoi, että todellinen ongelma oli LayerZero, joka kiisti tämän mahdollisuuden ja hyödynsi pääsyä Stargaten korjaustiedostoongelmiin.
LayerZero hylkää väitteet
LayerZeron Pellegrino kritisoi raportin Twitterissä, soittamalla se on "villisti epärehellistä". Hän sanoi, että väitteet koskevat vain projekteja, jotka käyttävät verkon oletuskokoonpanoja, eivätkä ne koske sellaisia, jotka määrittävät omat kokoonpanonsa.
Pellegrino kertoi The Blockille, että on hyvä, että tiimit voivat valita, miten he haluavat rakentaa projektinsa. Hän väitti, että heillä pitäisi olla mahdollisuus valita haluamansa asetukset suojausasetustensa mukaan.
Hän myönsi, että useimmat LayerZerolle rakennetut projektit käyttävät tällä hetkellä oletuskokoonpanoja. Vaikka tämä sisältää Stargaten tällä hetkellä, äänestettiin hiljattain tämän muuttamisesta, ja sitä ollaan toteuttamassa.
"Mielestäni kaikkien pitäisi valita, eikä kenenkään pitäisi käyttää oletusasetuksia, ellet joko luota multisigiin, ettei se toimi haitallisesti (useimmat tekevät), tai tee jotain, jossa turvallisuus ei ole ykkösprioriteetti”, hän sanoi.
Mitä tulee syytökseen siitä, että LayerZero piilotti nämä kyvyt, Pellegrino sanoi, että joukkue on ollut niistä hyvin julkinen.
© 2023 The Block Crypto, Inc. Kaikki oikeudet pidätetään. Tämä artikkeli on tarkoitettu vain tiedoksi. Sitä ei tarjota eikä ole tarkoitettu käytettäväksi juridisena, vero-, sijoitus-, rahoitus- tai muuna neuvona.
Lähde: https://www.theblock.co/post/206770/layerzero-ceo-denies-accusations-of-critical-trusted-third-party-vulnerabilities?utm_source=rss&utm_medium=rss