LayerZero vd Bryan Pellegrino förnekade anklagelser om att LayerZero – i samband med sin Stargate-brygga – har två kritiska sårbarheter från tredje part.
"Det är 100 % faktistiskt felaktigt och jag skulle be dig prata med alla revisorer som har arbetat med projektet," sa Pellegrino till The Block.
Han svarade på påståenden som gjordes tidigare idag av utvecklaren James Prestwich, grundare och CTO för Nomad, ett rivaliserande tvärkedjeprotokoll.
Prestwich sa att de två sårbarheterna härrör från LayerZero-reläern, som för närvarande är på en tvåparts multisig. Sårbarheterna kan bara utnyttjas av insiders, eller teammedlemmar som har kända identiteter, och detta var en av anledningarna till att han släppte rapporten, eftersom det finns en lägre risk för en extern exploatering.
Den första sårbarheten skulle tillåta bedrägliga meddelanden att skickas från LayerZero multisig. Denna typ av utnyttjande kan resultera i stöld av "alla användarmedel", Prestwich skrev på Twitter.
Den andra sårbarheten skulle tillåta modifiering av meddelanden efter att oraklet och multisig har skrivit av på meddelanden eller transaktioner. På samma sätt hävdar Prestwich att denna sårbarhet kan resultera i stöld av alla användarmedel.
Sårbarheter vanliga
Prestwich sa att LayerZero-teamet var "medvetet om ovanstående sårbarheter" och "valde att inte avslöja eller på annat sätt ta itu med dem."
Stargate är öppen för båda sårbarheter och utnyttjas aktivt av LayerZero-teamet för att ändra meddelanden, hävdade han. Stargate är ett överbryggande protokoll som är en av de största applikationerna som körs på LayerZero och byggdes av teamet som ett proof of concept för det underliggande protokollet.
Den första sårbarheten kan mildras genom att applikationer gör vissa kodningskonfigurationer. Permanent minskning av den andra sårbarheten kan inte hända på grund av eventuellt tillägg av nya kedjor, sa han.
LayerZero använder orakel och tvåparts multisig-systemet för att säkerställa att inga bedrägliga meddelanden eller transaktioner skickas.
I samtal med The Block erkände Prestwich att betrodda tredjepartssårbarheter är vanliga och inte så stora problem eftersom betrodda parter ofta är pålitliga. Han sa dock att det verkliga problemet var att LayerZero förnekade att detta var möjligt och utnyttjade dess tillgång till patchproblem med Stargate.
LayerZero avvisar anspråk
LayerZeros Pellegrino kritiserade rapporten på Twitter, anropande det är "vildt oärligt". Han sa att anspråken bara gäller projekt som använder standardkonfigurationerna på nätverket och att de inte gäller för någon som ställer in sina egna konfigurationer.
Pellegrino sa till The Block att det är bra att team kan välja hur de vill lägga upp sina projekt. Han hävdade att de borde ha möjlighet att välja de inställningar de vill ha, beroende på deras säkerhetspreferenser.
Han erkände att de flesta projekt byggda på LayerZero för närvarande använder standardkonfigurationerna. Även om detta inkluderar Stargate just nu, antogs nyligen en omröstning för att ändra detta, och det håller på att exekveras.
"Jag tycker att alla ska välja och ingen ska använda standardinställningarna såvida du inte litar på att multisig inte agerar illvilligt (de flesta gör det) eller gör något där säkerheten inte är första prioritet”, sa han.
När det gäller anklagelsen om att LayerZero gömde dessa förmågor sa Pellegrino att laget har varit mycket offentligt om dem.
© 2023 The Block Crypto, Inc. Alla rättigheter förbehållna. Den här artikeln är endast avsedd för informationsändamål. Det erbjuds inte eller är avsett att användas som juridisk, skatt, investering, finansiell eller annan rådgivning.
Källa: https://www.theblock.co/post/206770/layerzero-ceo-denies-accusations-of-critical-trusted-third-party-vulnerabilities?utm_source=rss&utm_medium=rss