Генеральный директор LayerZero Брайан Пеллегрино отверг обвинения в том, что LayerZero — в связи с его мостом Звездных врат — имеет две критические уязвимости доверенных третьих сторон.
«Это на 100% неверно, и я прошу вас поговорить с любым аудитором, который работал над проектом», — сказал Пеллегрино The Block.
Он отвечал на заявления, сделанные ранее сегодня разработчиком Джеймсом Прествичем, основателем и техническим директором Nomad, конкурирующего межсетевого протокола.
Прествич сказал, что две уязвимости связаны с ретранслятором LayerZero, который в настоящее время использует двухстороннюю мультиподпись. Уязвимости могут быть использованы только инсайдерами или членами команды, чьи личности известны, и это было одной из причин, по которой он выпустил доклад, так как снижается риск внешнего эксплойта.
Первая уязвимость позволяет отправлять мошеннические сообщения с мультиподписи LayerZero. Этот тип эксплойта может привести к краже «всех пользовательских средств», Prestwich писал на Twitter.
Вторая уязвимость позволяет изменять сообщения после того, как оракул и мультиподпись подписывают сообщения или транзакции. Точно так же Prestwich утверждает, что эта уязвимость может привести к краже всех средств пользователей.
Общие уязвимости
Прествич сказал, что команда LayerZero «знала об указанных выше уязвимостях» и «решила не раскрывать их и не устранять иным образом».
По его словам, Stargate открыт для обеих уязвимостей и активно используется командой LayerZero для изменения сообщений. Stargate — это связующий протокол, который является одним из крупнейших приложений, работающих на LayerZero, и был создан командой в качестве доказательства концепции базового протокола.
Первая уязвимость может быть устранена с помощью приложений, выполняющих некоторые конфигурации кода. По его словам, постоянное устранение второй уязвимости невозможно из-за возможного добавления новых цепочек.
LayerZero использует оракулы и двухстороннюю систему мультиподписей, чтобы исключить отправку мошеннических сообщений или транзакций.
В разговоре с The Block Прествич признал, что уязвимости доверенных третьих сторон распространены и не представляют большой проблемы, поскольку доверенные стороны часто заслуживают доверия. Однако он сказал, что настоящая проблема заключалась в том, что LayerZero отрицала, что это возможно, и использовала свой доступ к проблемам с исправлениями в Stargate.
LayerZero отклоняет претензии
Пеллегрино из LayerZero раскритиковал отчет в Твиттере. вызова это «крайне нечестно». Он сказал, что претензии относятся только к проектам, которые используют конфигурации по умолчанию в сети, и что они не применяются к проектам, которые настраивают свои собственные конфигурации.
Пеллегрино сказал The Block, что это хорошо, что команды могут выбирать, как они хотят настроить свои проекты. Он утверждал, что у них должна быть возможность выбирать нужные параметры в зависимости от их предпочтений в области безопасности.
Он признал, что большинство проектов, построенных на LayerZero, в настоящее время используют конфигурации по умолчанию. Хотя сейчас это включает в себя Звездные врата, недавно было проведено голосование, чтобы изменить это, и оно находится в процессе выполнения.
Я думаю, что каждый должен выбирать, и никто не должен использовать значения по умолчанию, если вы либо не доверяете мультиподписи, чтобы не действовать злонамеренно (большинство так делает), либо делаете что-то, где безопасность не является приоритетом номер один», — сказал он.
Что касается обвинений в том, что LayerZero скрыли эти способности, Пеллегрино сказал, что команда очень много говорила о них.
© The Block Crypto, Inc., 2023. Все права защищены. Эта статья предоставлена исключительно для информационных целей. Он не предлагается или не предназначен для использования в качестве юридического, налогового, инвестиционного, финансового или другого совета.
Источник: https://www.theblock.co/post/206770/layerzero-ceo-denies-accusations-of-critical-trusted-first-party-vulnerabilities?utm_source=rss&utm_medium=rss.