O CEO da LayerZero, Bryan Pellegrino, negou as acusações de que a LayerZero – em conexão com sua ponte Stargate – tem duas vulnerabilidades críticas de terceiros confiáveis.
“É 100% factualmente incorreto e peço que você fale com qualquer auditor que tenha trabalhado no projeto”, disse Pellegrino ao The Block.
Ele estava respondendo às reivindicações feitas hoje cedo pelo desenvolvedor James Prestwich, fundador e CTO da Nomad, um protocolo rival de cadeia cruzada.
Prestwich disse que as duas vulnerabilidades derivam do retransmissor LayerZero, que atualmente está em um multisig de duas partes. As vulnerabilidades só podem ser exploradas por pessoas de dentro ou membros da equipe que tenham identidades conhecidas, e esse foi um dos motivos pelos quais ele lançou o relatório, pois há um risco menor de uma exploração externa.
A primeira vulnerabilidade permitiria que mensagens fraudulentas fossem enviadas do multisig LayerZero. Esse tipo de exploração pode resultar no roubo de “todos os fundos do usuário”, disse Prestwich. escreveu no Twitter.
A segunda vulnerabilidade permitiria a modificação de mensagens após o oracle e o multisig terem assinado mensagens ou transações. Da mesma forma, Prestwich afirma que essa vulnerabilidade pode resultar no roubo de todos os fundos do usuário.
Vulnerabilidades comuns
Prestwich disse que a equipe do LayerZero estava “ciente das vulnerabilidades acima” e “optou por não divulgá-las ou resolvê-las de outra forma”.
O Stargate está aberto a ambas as vulnerabilidades e está sendo explorado ativamente pela equipe LayerZero para modificar mensagens, afirmou. Stargate é um protocolo de ponte que é um dos maiores aplicativos em execução no LayerZero e foi construído pela equipe como uma prova de conceito para o protocolo subjacente.
A primeira vulnerabilidade pode ser atenuada por aplicativos que fazem algumas configurações de codificação. A mitigação permanente da segunda vulnerabilidade não pode acontecer devido à possível adição de novas cadeias, disse ele.
O LayerZero usa oráculos e o sistema multisig de duas partes para garantir que nenhuma mensagem ou transação fraudulenta seja enviada.
Em conversa com o The Block, Prestwich reconheceu que as vulnerabilidades de terceiros confiáveis são comuns e não são um problema tão grande porque as partes confiáveis geralmente são confiáveis. No entanto, ele disse que o verdadeiro problema era o LayerZero negar que isso era possível e aproveitar seu acesso para corrigir problemas com o Stargate.
LayerZero rejeita reivindicações
Pellegrino, da LayerZero, criticou o relatório no Twitter, chamada é “extremamente desonesto”. Ele disse que as reivindicações se aplicam apenas a projetos que usam as configurações padrão na rede e que não se aplicam a nenhum que defina suas próprias configurações.
Pellegrino disse ao The Block que é bom que as equipes possam escolher como desejam configurar seus projetos. Ele argumentou que eles deveriam ter a capacidade de escolher as configurações que desejam, dependendo de suas preferências de segurança.
Ele reconheceu que a maioria dos projetos construídos no LayerZero atualmente usa as configurações padrão. Embora isso inclua Stargate agora, uma votação foi aprovada recentemente para mudar isso e está em processo de execução.
"Acho que todos devem escolher e ninguém deve usar os padrões, a menos que você confie no multisig para não agir de forma maliciosa (a maioria o faz) ou esteja fazendo algo em que a segurança não seja a prioridade número um”, disse ele.
Quanto à acusação de que o LayerZero escondeu essas habilidades, Pellegrino disse que a equipe tem falado muito sobre elas.
© 2023 The Block Crypto, Inc. Todos os direitos reservados. Este artigo é fornecido apenas para fins informativos. Não é oferecido ou deve ser usado como aconselhamento jurídico, tributário, de investimento, financeiro ou outro.
Fonte: https://www.theblock.co/post/206770/layerzero-ceo-denies-accusations-of-critical-trusted-third-party-vulnerabilities?utm_source=rss&utm_medium=rss