Bryan Pellegrino, CEO von LayerZero, wies Anschuldigungen zurück, dass LayerZero – in Verbindung mit seiner Stargate-Brücke – zwei kritische Schwachstellen von Drittanbietern aufweist.
„Es ist sachlich zu 100 % falsch, und ich möchte Sie bitten, mit jedem Wirtschaftsprüfer zu sprechen, der an dem Projekt gearbeitet hat“, sagte Pellegrino gegenüber The Block.
Er reagierte damit auf Behauptungen des Entwicklers James Prestwich, Gründer und CTO von Nomad, einem konkurrierenden Cross-Chain-Protokoll.
Laut Prestwich stammen die beiden Schwachstellen vom LayerZero-Relayer, der sich derzeit auf einem Zwei-Parteien-Multisig befindet. Die Sicherheitslücken können nur von Insidern oder Teammitgliedern mit bekannter Identität ausgenutzt werden, und dies war einer der Gründe, warum er sie veröffentlichte der Bericht, da das Risiko eines externen Exploits geringer ist.
Die erste Schwachstelle würde es ermöglichen, betrügerische Nachrichten von der LayerZero-Multisig zu senden. Diese Art von Exploit könnte zum Diebstahl „aller Benutzergelder“, Prestwich, führen schrieb auf Twitter.
Die zweite Schwachstelle würde es ermöglichen, Nachrichten zu ändern, nachdem das Orakel und Multisig Nachrichten oder Transaktionen abgemeldet haben. In ähnlicher Weise behauptet Prestwich, dass diese Schwachstelle zum Diebstahl aller Benutzergelder führen könnte.
Schwachstellen häufig
Prestwich sagte, das LayerZero-Team sei sich „der oben genannten Schwachstellen bewusst“ und habe sich „entschieden, sie nicht offenzulegen oder anderweitig zu beheben“.
Stargate sei für beide Schwachstellen offen und werde vom LayerZero-Team aktiv ausgenutzt, um Nachrichten zu ändern, behauptete er. Stargate ist ein Bridging-Protokoll, das eine der größten Anwendungen ist, die auf LayerZero ausgeführt werden, und das vom Team als Proof of Concept für das zugrunde liegende Protokoll entwickelt wurde.
Die erste Schwachstelle kann durch Anwendungen gemildert werden, die einige Codierungskonfigurationen vornehmen. Eine dauerhafte Minderung der zweiten Schwachstelle könne aufgrund des möglichen Hinzufügens neuer Ketten nicht erfolgen, sagte er.
LayerZero verwendet Orakel und das Zwei-Parteien-Multisig-System, um sicherzustellen, dass keine betrügerischen Nachrichten oder Transaktionen gesendet werden.
Im Gespräch mit The Block räumte Prestwich ein, dass vertrauenswürdige Schwachstellen von Drittanbietern häufig vorkommen und kein so großes Problem darstellen, da vertrauenswürdige Parteien oft vertrauenswürdig sind. Er sagte jedoch, das eigentliche Problem sei, dass LayerZero leugnete, dass dies möglich sei, und seinen Zugriff auf Patch-Probleme mit Stargate nutzte.
LayerZero weist Ansprüche zurück
Pellegrino von LayerZero kritisierte den Bericht auf Twitter. Aufruf es „wild unehrlich“. Er sagte, die Ansprüche gelten nur für Projekte, die die Standardkonfigurationen im Netzwerk verwenden, und sie gelten nicht für Projekte, die ihre eigenen Konfigurationen einrichten.
Pellegrino sagte gegenüber The Block, dass es gut ist, dass Teams wählen können, wie sie ihre Projekte aufsetzen möchten. Er argumentierte, dass sie die Möglichkeit haben sollten, die gewünschten Einstellungen je nach ihren Sicherheitspräferenzen auszuwählen.
Er räumte ein, dass die meisten auf LayerZero erstellten Projekte derzeit die Standardkonfigurationen verwenden. Während dies derzeit Stargate einschließt, wurde kürzlich eine Abstimmung durchgeführt, um dies zu ändern, und es wird derzeit ausgeführt.
"Ich denke, jeder sollte wählen und niemand sollte die Standardeinstellungen verwenden, es sei denn, Sie vertrauen entweder darauf, dass Multisig nicht böswillig handelt (die meisten tun dies) oder etwas tun, bei dem Sicherheit nicht oberste Priorität hat“, sagte er.
Zu der Anschuldigung, dass LayerZero diese Fähigkeiten verstecke, sagte Pellegrino, dass das Team sehr öffentlich darüber gesprochen habe.
© 2023 The Block Crypto, Inc. Alle Rechte vorbehalten. Dieser Artikel dient nur zu Informationszwecken. Es wird nicht als Rechts-, Steuer-, Anlage-, Finanz- oder sonstige Beratung angeboten oder verwendet.
Quelle: https://www.theblock.co/post/206770/layerzero-ceo-denies-accusations-of-critical-trusted-third-party-vulnerabilities?utm_source=rss&utm_medium=rss