Генеральны дырэктар LayerZero Браян Пелегрына адхіліў абвінавачванні ў тым, што ў LayerZero — у сувязі з мостам Stargate — ёсць дзве крытычныя ўразлівасці старонніх вытворцаў.
«Гэта на 100% фактычна няправільна, і я прашу вас паразмаўляць з любым аўдытарам, які працаваў над праектам», — сказаў Пелегрына The Block.
Ён адказваў на заявы, зробленыя раней сёння распрацоўшчыкам Джэймсам Прэстуічам, заснавальнікам і тэхнічным дырэктарам Nomad, канкуруючага міжланцуговага пратаколу.
Прэствіч сказаў, што гэтыя дзве ўразлівасці вынікаюць з рэтранслятара LayerZero, які ў цяперашні час знаходзіцца на двухбаковым мультысігу. Уразлівасці могуць выкарыстоўваць толькі інсайдэры або члены каманды, якія ведаюць асобу, і гэта была адна з прычын, па якой ён выпусціў Справаздача, паколькі існуе меншы рызыка знешняга эксплойта.
Першая ўразлівасць дазваляе адпраўляць ашуканскія паведамленні з LayerZero multisig. Гэты тып эксплойта можа прывесці да крадзяжу «ўсіх сродкаў карыстальніка», Prestwich пісаў на Twitter.
Другая ўразлівасць дазваляе змяняць паведамленні пасля таго, як аракул і multisig падпісалі паведамленні або транзакцыі. Аналагічным чынам Prestwich сцвярджае, што гэтая ўразлівасць можа прывесці да крадзяжу ўсіх сродкаў карыстальніка.
Агульныя ўразлівасці
Прэствіч сказаў, што каманда LayerZero «ведала аб вышэйпералічаных уразлівасцях» і «выбрала не раскрываць іх і не вырашаць іх іншым чынам».
Зорныя вароты адкрыты для абедзвюх уразлівасцяў і актыўна выкарыстоўваюцца камандай LayerZero для змены паведамленняў, сцвярджаў ён. Stargate - гэта пратакол моста, які з'яўляецца адным з найбуйнейшых прыкладанняў, якія працуюць на LayerZero і быў створаны камандай у якасці доказу канцэпцыі асноўнага пратакола.
Першую ўразлівасць можна ліквідаваць, калі прыкладанні робяць некаторыя канфігурацыі кадавання. Пастаяннае змякчэнне другой уразлівасці не можа адбыцца з-за магчымага дадання новых ланцугоў, сказаў ён.
LayerZero выкарыстоўвае аракулы і двухбаковую сістэму multisig, каб гарантаваць адсутнасць адпраўкі махлярскіх паведамленняў або транзакцый.
У размове з The Block Прэствіч прызнаў, што ўразлівасці давераных старонніх з'яўляюцца звычайнай з'явай і не з'яўляюцца вялікай праблемай, таму што давераныя бакі часта заслугоўваюць даверу. Аднак ён сказаў, што сапраўдная праблема заключаецца ў тым, што LayerZero адмаўляе, што гэта магчыма, і выкарыстоўвае свой доступ да праблем з выпраўленнямі Stargate.
LayerZero адхіляе прэтэнзіі
Пелегрына з LayerZero раскрытыкаваў справаздачу ў Twitter, пакліканне гэта «дзіка несумленна». Ён сказаў, што прэтэнзіі адносяцца толькі да праектаў, якія выкарыстоўваюць канфігурацыі па змаўчанні ў сетцы, і што яны не адносяцца да праектаў, якія наладжваюць свае ўласныя канфігурацыі.
Пелегрына сказаў The Block, што добра, што каманды могуць выбіраць, як яны хочуць наладзіць свае праекты. Ён сцвярджаў, што яны павінны мець магчымасць выбіраць налады, якія яны хочуць, у залежнасці ад сваіх пераваг бяспекі.
Ён прызнаў, што большасць праектаў, пабудаваных на LayerZero, у цяперашні час выкарыстоўваюць канфігурацыі па змаўчанні. Нягледзячы на тое, што зараз гэта ўключае Зорныя вароты, нядаўна было прагаласавана, каб змяніць гэта, і яно знаходзіцца ў працэсе выканання.
"Я думаю, што кожны павінен выбіраць, і ніхто не павінен выкарыстоўваць значэнні па змаўчанні, калі толькі вы не давяраеце multisig, што ён не дзейнічае зламысна (большасць так робіць), або робіце нешта, дзе бяспека не з'яўляецца прыярытэтам нумар адзін», — сказаў ён.
Што тычыцца абвінавачвання ў тым, што LayerZero схаваў гэтыя здольнасці, Пелегрына сказаў, што каманда вельмі публічна распавядала пра іх.
© 2023 The Block Crypto, Inc. Усе правы абаронены. Гэты артыкул прадастаўляецца выключна ў інфармацыйных мэтах. Ён не прапануецца і не прызначаецца для выкарыстання ў якасці юрыдычных, падатковых, інвестыцыйных, фінансавых ці іншых рэкамендацый.
Крыніца: https://www.theblock.co/post/206770/layerzero-ceo-denies-accusations-of-critical-trusted-third-party-vulnerabilities?utm_source=rss&utm_medium=rss