Il CEO di LayerZero nega le accuse di vulnerabilità critiche di terze parti attendibili

Il CEO di LayerZero, Bryan Pellegrino, ha negato le accuse secondo cui LayerZero, in relazione al suo ponte Stargate, ha due vulnerabilità critiche di terze parti attendibili.

"È scorretto al 100% e ti chiederei di parlare con qualsiasi revisore che abbia lavorato al progetto", ha detto Pellegrino a The Block.

Stava rispondendo alle affermazioni fatte oggi dallo sviluppatore James Prestwich, fondatore e CTO di Nomad, un protocollo cross-chain rivale.

Prestwich ha affermato che le due vulnerabilità derivano dal relayer LayerZero, che attualmente si trova su un multisig a due parti. Le vulnerabilità possono essere sfruttate solo da addetti ai lavori o membri del team che hanno identità note, e questo è stato uno dei motivi per cui ha rilasciato la relazione, in quanto vi è un minor rischio di exploit esterno.

La prima vulnerabilità consentirebbe l'invio di messaggi fraudolenti dal multisig di LayerZero. Questo tipo di exploit potrebbe comportare il furto di "tutti i fondi degli utenti", Prestwich ha scritto su Twitter.

La seconda vulnerabilità consentirebbe di modificare i messaggi dopo che Oracle e multisig hanno firmato i messaggi o le transazioni. Allo stesso modo, Prestwich afferma che questa vulnerabilità potrebbe comportare il furto di tutti i fondi degli utenti.

Vulnerabilità comuni

Prestwich ha affermato che il team di LayerZero era "a conoscenza delle vulnerabilità di cui sopra" e "ha scelto di non rivelarle o affrontarle in altro modo".

Stargate è aperto a entrambe le vulnerabilità ed è attivamente sfruttato dal team di LayerZero per modificare i messaggi, ha affermato. Stargate è un protocollo ponte che è una delle più grandi applicazioni in esecuzione su LayerZero ed è stato creato dal team come prova di concetto per il protocollo sottostante.

La prima vulnerabilità può essere mitigata dalle applicazioni che effettuano alcune configurazioni di codifica. La mitigazione permanente della seconda vulnerabilità non può avvenire a causa della possibile aggiunta di nuove catene, ha affermato.

LayerZero utilizza gli oracoli e il sistema multisig a due parti per garantire che non vengano inviati messaggi o transazioni fraudolente.

In una conversazione con The Block, Prestwich ha riconosciuto che le vulnerabilità di terze parti fidate sono comuni e non un grosso problema perché le parti fidate sono spesso affidabili. Tuttavia, ha affermato che il vero problema era che LayerZero negava che ciò fosse possibile e sfruttava il suo accesso ai problemi di patch con Stargate.

LayerZero respinge le affermazioni

Pellegrino di LayerZero ha criticato il rapporto su Twitter, chiamata è "selvaggiamente disonesto". Ha affermato che le affermazioni si applicano solo ai progetti che utilizzano le configurazioni predefinite sulla rete e che non si applicano a nessuno che imposta le proprie configurazioni.

Pellegrino ha detto a The Block che è positivo che i team siano in grado di scegliere come impostare i propri progetti. Ha sostenuto che dovrebbero avere la possibilità di scegliere le impostazioni che desiderano, a seconda delle loro preferenze di sicurezza.

Ha riconosciuto che la maggior parte dei progetti basati su LayerZero utilizza attualmente le configurazioni predefinite. Sebbene questo includa Stargate in questo momento, è stato recentemente approvato un voto per cambiarlo ed è in procinto di essere eseguito.

"Penso che tutti dovrebbero scegliere e nessuno dovrebbe usare le impostazioni predefinite a meno che non ti fidi che il multisig non agisca in modo dannoso (la maggior parte lo fa) o stia facendo qualcosa in cui la sicurezza non è la priorità numero uno ", ha affermato.

Per quanto riguarda l'accusa che LayerZero abbia nascosto queste abilità, Pellegrino ha affermato che il team è stato molto pubblico al riguardo.

© 2023 The Block Crypto, Inc. Tutti i diritti riservati. Questo articolo è fornito a solo scopo informativo. Non viene offerto o destinato a essere utilizzato come consulenza legale, fiscale, di investimento, finanziaria o di altro tipo.