BTC 98900.8$
ETH 3341.22$
Tether (USDT) 1$
Toncoin (TON) 5.52$
telegram vk Х
telegram vk Х
Russian English
"

LayerZero отвечает на обвинения в уязвимости доверенных сторон

Дата публикации:31.01.2023, 18:29
3418
3418
Поделись с друзьями!

Генеральный директор LayerZero Брайан Пеллегрино отверг обвинения в том, что LayerZero — в связи с его мостом Stargate — имеет две критические уязвимости доверенных третьих сторон.

«Это на 100% неверно, и я прошу вас поговорить с любым аудитором, который работал над проектом», — сказал Пеллегрино.

Он отвечал на заявления, сделанные ранее сегодня разработчиком Джеймсом Прествичем, основателем и техническим директором Nomad, конкурирующего межсетевого протокола.

Прествич сказал, что две уязвимости связаны с ретранслятором LayerZero, который в настоящее время использует двухстороннюю мультиподпись. Уязвимости могут быть использованы только инсайдерами или членами команды, чьи личности известны, и это было одной из причин, по которой он опубликовал отчет, поскольку риск внешнего эксплойта ниже.

Первая уязвимость позволяет отправлять мошеннические сообщения с мультиподписи LayerZero. Этот тип эксплойта может привести к краже «всех пользовательских средств», — написал Прествич в твиттере.

Вторая уязвимость позволяет изменять сообщения после того, как оракул и мультиподпись подписывают сообщения или транзакции. Прествич утверждает, что эта уязвимость также может привести к краже всех средств пользователей.

Общие уязвимости

Прествич сказал, что команда LayerZero «знала об указанных выше уязвимостях» и «решила не раскрывать их и не устранять иным образом».

По его словам, Stargate открыт для обеих уязвимостей и активно используется командой LayerZero для изменения сообщений. Stargate (STG) — это связующий межсетевой протокол, который является одним из крупнейших приложений, работающих на LayerZero, и был создан командой в качестве доказательства концепции базового протокола.

Первая уязвимость может быть устранена с помощью приложений, выполняющих некоторые конфигурации кода. По его словам, постоянное устранение второй уязвимости невозможно из-за возможного добавления новых блокчейнов.

LayerZero использует оракулы и двухстороннюю систему мультиподписей, чтобы исключить отправку мошеннических сообщений или транзакций.

Прествич признал, что уязвимости доверенных третьих сторон распространены и не представляют большой проблемы, поскольку доверенные стороны потому так и называются, что просто заслуживают доверия. Однако он сказал, что настоящая проблема заключалась в том, что LayerZero отрицала, что это возможно, и использовала свой доступ к проблемам с исправлениями в Stargate.

LayerZero отклоняет претензии

Пеллегрино из LayerZero раскритиковал отчет в Твиттере, назвав его «крайне нечестным». Он сказал, что претензии относятся только к проектам, которые используют конфигурации по умолчанию в сети, и что они не применяются к проектам, которые создают свои собственные конфигурации.

Пеллегрино сказал, что это хорошо, что команды могут выбирать, как они хотят настроить свои проекты. Он утверждал, что у них должна быть возможность выбирать нужные параметры в зависимости от их предпочтений в области безопасности.

Он признал, что большинство проектов, построенных на LayerZero, в настоящее время используют конфигурации по умолчанию. Сейчас ее использует даже Stargate, но недавно было проведено голосование, чтобы изменить это, и оно находится в процессе выполнения.

«Я думаю, что каждый должен выбирать сам. Никто не должен использовать значения по умолчанию. Вы либо доверяете мультиподписи, чтобы не действовать злонамеренно (большинство так делает), либо делаете что-то, где безопасность не является приоритетом номер один», — сказал он.

Что касается обвинений в том, что LayerZero скрыли эти способности, Пеллегрино сказал, что команда очень много говорила о них.

Подписывайся на наш Telegram канал. Не трать время на мониторинг новостей. Только срочные и важные новости

https://t.me/block_chain24