" Генеральный директор LayerZero Брайан Пеллегрино отверг обвинения в том, что LayerZero — в связи с его мостом Stargate — имеет две критические уязвимости доверенных третьих сторон.
«Это на 100% неверно, и я прошу вас поговорить с любым аудитором, который работал над проектом», — сказал Пеллегрино.
Он отвечал на заявления, сделанные ранее сегодня разработчиком Джеймсом Прествичем, основателем и техническим директором Nomad, конкурирующего межсетевого протокола.
Прествич сказал, что две уязвимости связаны с ретранслятором LayerZero, который в настоящее время использует двухстороннюю мультиподпись. Уязвимости могут быть использованы только инсайдерами или членами команды, чьи личности известны, и это было одной из причин, по которой он опубликовал отчет, поскольку риск внешнего эксплойта ниже.
Первая уязвимость позволяет отправлять мошеннические сообщения с мультиподписи LayerZero. Этот тип эксплойта может привести к краже «всех пользовательских средств», — написал Прествич в твиттере.
Вторая уязвимость позволяет изменять сообщения после того, как оракул и мультиподпись подписывают сообщения или транзакции. Прествич утверждает, что эта уязвимость также может привести к краже всех средств пользователей.
Общие уязвимости
Прествич сказал, что команда LayerZero «знала об указанных выше уязвимостях» и «решила не раскрывать их и не устранять иным образом».
По его словам, Stargate открыт для обеих уязвимостей и активно используется командой LayerZero для изменения сообщений. Stargate (STG) — это связующий межсетевой протокол, который является одним из крупнейших приложений, работающих на LayerZero, и был создан командой в качестве доказательства концепции базового протокола.
Первая уязвимость может быть устранена с помощью приложений, выполняющих некоторые конфигурации кода. По его словам, постоянное устранение второй уязвимости невозможно из-за возможного добавления новых блокчейнов.
LayerZero использует оракулы и двухстороннюю систему мультиподписей, чтобы исключить отправку мошеннических сообщений или транзакций.
Прествич признал, что уязвимости доверенных третьих сторон распространены и не представляют большой проблемы, поскольку доверенные стороны потому так и называются, что просто заслуживают доверия. Однако он сказал, что настоящая проблема заключалась в том, что LayerZero отрицала, что это возможно, и использовала свой доступ к проблемам с исправлениями в Stargate.
LayerZero отклоняет претензии
Пеллегрино из LayerZero раскритиковал отчет в Твиттере, назвав его «крайне нечестным». Он сказал, что претензии относятся только к проектам, которые используют конфигурации по умолчанию в сети, и что они не применяются к проектам, которые создают свои собственные конфигурации.
Пеллегрино сказал, что это хорошо, что команды могут выбирать, как они хотят настроить свои проекты. Он утверждал, что у них должна быть возможность выбирать нужные параметры в зависимости от их предпочтений в области безопасности.
Он признал, что большинство проектов, построенных на LayerZero, в настоящее время используют конфигурации по умолчанию. Сейчас ее использует даже Stargate, но недавно было проведено голосование, чтобы изменить это, и оно находится в процессе выполнения.
«Я думаю, что каждый должен выбирать сам. Никто не должен использовать значения по умолчанию. Вы либо доверяете мультиподписи, чтобы не действовать злонамеренно (большинство так делает), либо делаете что-то, где безопасность не является приоритетом номер один», — сказал он.
Что касается обвинений в том, что LayerZero скрыли эти способности, Пеллегрино сказал, что команда очень много говорила о них.
