De CEO van LayerZero ontkent beschuldigingen van kritieke, vertrouwde kwetsbaarheden van derden

LayerZero CEO Bryan Pellegrino ontkende beschuldigingen dat LayerZero – in verband met zijn Stargate-brug – twee kritieke vertrouwde kwetsbaarheden van derden heeft.

"Het is 100% feitelijk onjuist en ik zou je willen vragen om met elke auditor te spreken die aan het project heeft gewerkt", vertelde Pellegrino aan The Block.

Hij reageerde op beweringen die eerder vandaag waren gedaan door ontwikkelaar James Prestwich, oprichter en CTO van Nomad, een rivaliserend cross-chain-protocol.

Prestwich zei dat de twee kwetsbaarheden voortkomen uit de LayerZero-relayer, die momenteel op een multisig met twee partijen staat. De kwetsbaarheden kunnen alleen worden uitgebuit door insiders of teamleden met bekende identiteiten, en dit was een van de redenen waarom hij het verslag, omdat er een lager risico is op een externe exploit.

Door de eerste kwetsbaarheid kunnen frauduleuze berichten worden verzonden vanaf de LayerZero multisig. Dit type exploit kan leiden tot diefstal van "alle gebruikersgelden", Prestwich schreef te volgen op Twitter.

De tweede kwetsbaarheid zou het mogelijk maken om berichten te wijzigen nadat de oracle en multisig berichten of transacties hebben ondertekend. Evenzo beweert Prestwich dat deze kwetsbaarheid kan leiden tot diefstal van alle gebruikersgelden.

Kwetsbaarheden komen vaak voor

Prestwich zei dat het LayerZero-team "op de hoogte was van de bovengenoemde kwetsbaarheden" en "ervoor koos deze niet bekend te maken of anderszins aan te pakken".

Stargate staat open voor beide kwetsbaarheden en wordt actief misbruikt door het LayerZero-team om berichten aan te passen, beweerde hij. Stargate is een overbruggingsprotocol dat een van de grootste applicaties is die op LayerZero draait en door het team is gebouwd als een proof of concept voor het onderliggende protocol.

De eerste kwetsbaarheid kan worden beperkt door toepassingen die enkele coderingsconfiguraties maken. Permanente beperking van de tweede kwetsbaarheid kan niet plaatsvinden vanwege de mogelijke toevoeging van nieuwe kettingen, zei hij.

LayerZero gebruikt orakels en het tweepartijen multisig-systeem om ervoor te zorgen dat er geen frauduleuze berichten of transacties worden verzonden.

In gesprek met The Block erkende Prestwich dat vertrouwde kwetsbaarheden van derden veel voorkomen en niet zo'n groot probleem zijn, omdat vertrouwde partijen vaak betrouwbaar zijn. Hij zei echter dat het echte probleem was dat LayerZero ontkende dat dit mogelijk was en gebruik maakte van zijn toegang tot patchproblemen met Stargate.

LayerZero wijst claims af

LayerZero's Pellegrino bekritiseerde het rapport op Twitter, bellen het is "ontzettend oneerlijk". Hij zei dat de claims alleen van toepassing zijn op projecten die de standaardconfiguraties op het netwerk gebruiken en dat ze niet van toepassing zijn op projecten die hun eigen configuraties opzetten.

Pellegrino vertelde The Block dat het goed is dat teams kunnen kiezen hoe ze hun projecten willen opzetten. Hij voerde aan dat ze de mogelijkheid moeten hebben om de instellingen te kiezen die ze willen, afhankelijk van hun beveiligingsvoorkeuren.

Hij erkende wel dat de meeste projecten die op LayerZero zijn gebouwd, momenteel de standaardconfiguraties gebruiken. Hoewel dit op dit moment Stargate omvat, is er onlangs een stemming aangenomen om dit te veranderen, en het wordt momenteel uitgevoerd.

"Ik denk dat iedereen zou moeten kiezen en niemand zou de standaardinstellingen moeten gebruiken, tenzij je erop vertrouwt dat de multisig niet kwaadaardig handelt (de meesten doen dat wel) of iets doet waarbij beveiliging niet de eerste prioriteit is”, zei hij.

Wat betreft de beschuldiging dat LayerZero deze capaciteiten verborg, zei Pellegrino dat het team er zeer openlijk over is geweest.

© 2023 The Block Crypto, Inc. Alle rechten voorbehouden. Dit artikel is uitsluitend bedoeld voor informatieve doeleinden. Het wordt niet aangeboden of bedoeld om te worden gebruikt als juridisch, fiscaal, investerings-, financieel of ander advies.