КРАТКАЯ ИНФОРМАЦИЯ
- Технический директор Nomad Джеймс Прествич выступил с целым рядом обвинений в адрес конкурирующего проекта LayerZero, утверждая, что в нем имеются нераскрытые уязвимости доверенных третьих сторон.
- Генеральный директор LayerZero Брайан Пеллегрино отверг эти обвинения, хотя и признал, что проблема может затронуть большинство проектов на LayerZero.
Генеральный директор LayerZero Брайан Пеллегрино отверг обвинения в том, что LayerZero - в связи с ее мостом Stargate - имеет две критические уязвимости в доверенных сторонних системах.
"Это на 100% фактологически неверно, и я бы попросил вас поговорить с любым аудитором, который работал над проектом", - сказал Пеллегрино изданию The Block.
Он ответил на заявления, сделанные ранее сегодня разработчиком Джеймсом Прествичем, основателем и техническим директором Nomad, конкурирующего межцепочечного протокола.
Прествич сказал, что две уязвимости связаны с ретранслятором LayerZero, который в настоящее время работает на двухсторонней мультисигме. Уязвимости могут быть использованы только инсайдерами или членами команды, чьи личности известны, и это была одна из причин, по которой он опубликовал отчет, поскольку существует меньший риск внешнего использования.
Первая уязвимость позволяет отправлять мошеннические сообщения с мультисигнала LayerZero. Этот тип эксплуатации может привести к краже "всех средств пользователей", - написал Прествич в Twitter.
Вторая уязвимость позволяет изменять сообщения после того, как оракул и multisig подписали сообщения или транзакции. По словам Прествича, эта уязвимость также может привести к краже всех средств пользователей.
Уязвимости распространены
Прествич сказал, что команда LayerZero "знала о вышеуказанных уязвимостях" и "решила не раскрывать их и не устранять иным способом".
Stargate открыт для обеих уязвимостей и активно эксплуатируется командой LayerZero для модификации сообщений, утверждает он. Stargate - это протокол моста, который является одним из крупнейших приложений, работающих на LayerZero, и был создан командой в качестве доказательства концепции базового протокола.
Первая уязвимость может быть устранена путем внесения в приложения некоторых изменений в кодировку. Постоянное устранение второй уязвимости невозможно из-за возможного добавления новых цепочек, сказал он.
LayerZero использует оракулы и двухстороннюю систему multisig, чтобы гарантировать отсутствие мошеннических сообщений или транзакций.
В беседе с The Block Прествич признал, что уязвимости доверенных третьих сторон встречаются часто и не являются большой проблемой, поскольку доверенные стороны часто заслуживают доверия. Однако, по его словам, настоящая проблема заключается в том, что LayerZero отрицает, что такое возможно, и использует свой доступ для исправления проблем с Stargate.
LayerZero отвергает претензии
Пеллегрино из LayerZero раскритиковал отчет в Twitter, назвав его "дико нечестным". Он сказал, что претензии относятся только к проектам, которые используют стандартные конфигурации в сети, и что они не относятся к тем, кто устанавливает свои собственные конфигурации.
Пеллегрино сказал изданию The Block, что это хорошо, что команды могут выбирать, как они хотят настроить свои проекты. Он утверждает, что у них должна быть возможность выбирать нужные им настройки в зависимости от их предпочтений в области безопасности.
Он признал, что большинство проектов, построенных на LayerZero, в настоящее время используют конфигурации по умолчанию. Хотя сейчас это относится и к Stargate, недавно было проведено голосование, чтобы изменить это, и сейчас оно находится в процессе выполнения.
Источник
"Я думаю, что каждый должен выбирать, и никто не должен использовать настройки по умолчанию, если только вы не доверяете multisig в том, что он не действует злонамеренно (большинство доверяет), или если вы делаете что-то, где безопасность не является приоритетом номер один", - сказал он.