ファイナンス

LayerZero の CEO は、重要な信頼できるサードパーティの脆弱性に関する告発を否定します。

01/31/2023
ビットコインイーサリアムニュース

LayerZero の CEO である Bryan Pellegrino は、LayerZero が、その Stargate ブリッジに関連して、XNUMX つの重要な信頼できるサードパーティの脆弱性を持っているという告発を否定しました。

「事実としては 100% 間違っています。このプロジェクトに携わった監査人に話してもらいたいと思います」と Pellegrino 氏は The Block に語りました。

彼は今日、競合するクロスチェーン プロトコルである Nomad の創設者兼 CTO である開発者 James Prestwich によってなされた主張に応えていました。

Prestwich 氏によると、XNUMX つの脆弱性は、現在 XNUMX 者マルチシグ上にある LayerZero リレイヤーに起因するものです。 脆弱性は、内部関係者、または身元を知っているチーム メンバーによってのみ悪用される可能性があり、これが彼がリリースした理由の XNUMX つです レポート、外部の悪用のリスクが低いためです。

画像

最初の脆弱性により、LayerZero マルチシグから不正なメッセージが送信される可能性があります。 このタイプのエクスプロイトは、「すべてのユーザー資金」の盗難につながる可能性があります。 書いた Twitterで。

XNUMX 番目の脆弱性は、オラクルとマルチシグがメッセージまたはトランザクションをサインオフした後にメッセージを変更することを可能にします。 同様に、Prestwich は、こ​​の脆弱性によりすべてのユーザー資金が盗まれる可能性があると主張しています。

一般的な脆弱性

Prestwich 氏は、LayerZero チームは「上記の脆弱性を認識しており」、「それらを開示または対処しないことを選択した」と述べました。

Stargate は両方の脆弱性に対してオープンであり、メッセージを変更するために LayerZero チームによって積極的に悪用されている、と彼は主張しました。 Stargate は、LayerZero で実行される最大のアプリケーションの XNUMX つであるブリッジング プロトコルであり、基盤となるプロトコルの概念実証としてチームによって構築されました。

最初の脆弱性は、アプリケーションがいくつかのコーディング構成を作成することで軽減できます。 新しいチェーンが追加される可能性があるため、XNUMX つ目の脆弱性を恒久的に緩和することはできない、と彼は述べた。

LayerZero はオラクルと XNUMX 者間マルチシグ システムを使用して、不正なメッセージやトランザクションが送信されないようにします。

The Block との会話の中で、Prestwich は、信頼できるサードパーティの脆弱性は一般的であり、信頼できるパーティは信頼できることが多いため、それほど大きな問題ではないことを認めました. しかし、本当の問題は、LayerZero がその可能性を否定し、Stargate のパッチの問題へのアクセスを利用していることだと彼は言いました。

LayerZeroは主張を却下します

LayerZero の Pellegrino は、Twitter でこのレポートを酷評しました。 呼び出し それは「非常に不誠実」です。 彼は、主張はネットワーク上でデフォルトの構成を使用するプロジェクトにのみ適用され、独自の構成をセットアップするプロジェクトには適用されないと述べた.

Pellegrino 氏は The Block に、チームがプロジェクトのセットアップ方法を選択できるのは良いことだと語った. 彼は、セキュリティ設定に応じて、必要な設定を選択できるようにする必要があると主張しました。

彼は、LayerZero で構築されたほとんどのプロジェクトが現在デフォルト構成を使用していることを認めました。 これには現在スターゲイトが含まれていますが、これを変更するために最近投票が行われ、実行中です.

マルチシグが悪意を持って動作しないと信頼している場合 (ほとんどの場合そうです)、またはセキュリティが最優先事項ではないことをしている場合を除き、誰もがデフォルトを選択し、誰もデフォルトを使用すべきではないと思います」と彼は言いました.

LayerZero がこれらの能力を隠していたという告発について、Pellegrino 氏は、チームはそれらの能力について非常に公にしていると述べました。

©2023 The Block Crypto、Inc. All Rights Reserved。 この記事は情報提供のみを目的としています。 法律、税務、投資、財務、その他のアドバイスとしての使用を目的としたものではありません。

ソース: https://www.theblock.co/post/206770/layerzero-ceo-denies-accusations-of-critical-trusted-third-party-vulnerabilities?utm_source=rss&utm_medium=rss