Itinanggi ng LayerZero CEO ang mga akusasyon ng mga kritikal na pinagkakatiwalaang kahinaan ng third-party

Itinanggi ng CEO ng LayerZero na si Bryan Pellegrino ang mga akusasyon na ang LayerZero — kaugnay ng Stargate bridge nito — ay may dalawang kritikal na pinagkakatiwalaang kahinaan ng third-party.

"Ito ay 100% na hindi tama at hihilingin kong makipag-usap ka sa sinumang auditor na nagtrabaho sa proyekto," sinabi ni Pellegrino sa The Block.

Siya ay tumutugon sa mga paghahabol na ginawa kanina ng developer na si James Prestwich, tagapagtatag at CTO ng Nomad, isang karibal na cross-chain protocol.

Sinabi ni Prestwich na ang dalawang kahinaan ay nagmumula sa LayerZero relayer, na kasalukuyang nasa isang two-party multisig. Ang mga kahinaan ay maaari lamang pagsamantalahan ng mga tagaloob, o mga miyembro ng koponan na may alam na pagkakakilanlan, at ito ang isa sa mga dahilan kung bakit niya inilabas ang ulat, dahil may mas mababang panganib ng panlabas na pagsasamantala.

Ang unang kahinaan ay magpapahintulot sa mga mapanlinlang na mensahe na maipadala mula sa LayerZero multisig. Ang ganitong uri ng pagsasamantala ay maaaring magresulta sa pagnanakaw ng "lahat ng mga pondo ng gumagamit," Prestwich sinulat ni sa Twitter.

Ang pangalawang kahinaan ay magbibigay-daan sa pagbabago ng mga mensahe pagkatapos mag-sign off ang orakulo at multisig sa mga mensahe o transaksyon. Katulad nito, sinasabi ni Prestwich na ang kahinaang ito ay maaaring magresulta sa pagnanakaw ng lahat ng mga pondo ng user.

Karaniwang mga kahinaan

Sinabi ni Prestwich na ang LayerZero team ay "alam sa mga kahinaan sa itaas" at "pinili na huwag ibunyag o kung hindi man ay tugunan ang mga ito."

Ang Stargate ay bukas sa parehong mga kahinaan at aktibong pinagsamantalahan ng LayerZero team upang baguhin ang mga mensahe, sinabi niya. Ang Stargate ay isang bridging protocol na isa sa pinakamalaking application na tumatakbo sa LayerZero at binuo ng team bilang patunay ng konsepto para sa pinagbabatayan na protocol.

Ang unang kahinaan ay maaaring mabawasan ng mga application na gumagawa ng ilang mga pagsasaayos ng coding. Ang permanenteng pagpapagaan ng pangalawang kahinaan ay hindi maaaring mangyari dahil sa posibleng pagdaragdag ng mga bagong kadena, aniya.

Gumagamit ang LayerZero ng mga orakulo at ang two-party na multisig system upang matiyak na walang mapanlinlang na mensahe o transaksyon na maipapadala.

Sa pakikipag-usap sa The Block, kinilala ni Prestwich na karaniwan ang mga pinagkakatiwalaang kahinaan ng third-party at hindi ganoon kalaki ang problema dahil kadalasang mapagkakatiwalaan ang mga pinagkakatiwalaang partido. Gayunpaman, sinabi niya na ang tunay na problema ay ang pagtanggi ng LayerZero na posible ito at ang paggamit nito sa pag-access sa mga isyu sa pag-patch sa Stargate.

Tinatanggihan ng LayerZero ang mga claim

Binatikos ng Pellegrino ng LayerZero ang ulat sa Twitter, pagtatawag ito ay “mabangis na hindi tapat.” Sinabi niya na ang mga claim ay nalalapat lamang sa mga proyekto na gumagamit ng mga default na configuration sa network at hindi sila nalalapat sa alinmang nagse-set up ng sarili nilang mga configuration.

Sinabi ni Pellegrino sa The Block na mabuti na ang mga koponan ay makakapili kung paano nila gustong i-set up ang kanilang mga proyekto. Nagtalo siya na dapat silang magkaroon ng kakayahang pumili ng mga setting na gusto nila, depende sa kanilang mga kagustuhan sa seguridad.

Inamin niya na karamihan sa mga proyektong binuo sa LayerZero ay kasalukuyang gumagamit ng mga default na configuration. Bagama't kabilang dito ang Stargate ngayon, isang boto ang ipinasa kamakailan upang baguhin ito, at nasa proseso ito ng pagpapatupad.

"Sa tingin ko lahat ay dapat pumili at walang sinuman ang dapat gumamit ng mga default maliban kung pinagkakatiwalaan mo ang multisig na hindi kumilos nang malisya (karamihan) o gumagawa ng isang bagay kung saan ang seguridad ay hindi numero unong priyoridad, "sabi niya.

Tungkol sa akusasyon na itinago ng LayerZero ang mga kakayahan na ito, sinabi ni Pellegrino na ang koponan ay naging napaka-publiko tungkol sa kanila.

© 2023 Ang Block Crypto, Inc. Lahat ng Karapatan ay Nakareserba. Ang artikulong ito ay ibinigay para sa mga layuning pang-impormasyon lamang. Hindi ito inaalok o inilaan upang magamit bilang ligal, buwis, pamumuhunan, pinansiyal, o iba pang payo.