LayerZero 首席执行官布莱恩·佩莱格里诺 (Bryan Pellegrino) 否认有关 LayerZero 与其星际之门桥相关的指控存在两个关键的可信第三方漏洞。
“这 100% 与事实不符,我会请你与参与该项目的任何审计员交谈,”佩莱格里诺告诉 The Block。
他是在回应竞争对手跨链协议 Nomad 的创始人兼首席技术官 James Prestwich 今天早些时候提出的说法。
Prestwich 表示,这两个漏洞源于 LayerZero 中继器,该中继器目前处于两方多重签名中。 漏洞只能被内部人员,或者已知身份的团队成员利用,这也是他发布的原因之一 那个报告,因为外部攻击的风险较低。
第一个漏洞将允许从 LayerZero 多重签名发送欺诈性消息。 这种类型的利用可能会导致“所有用户资金”被盗,Prestwich 写 在Twitter上。
第二个漏洞将允许在 oracle 和 multisig 签署消息或交易后修改消息。 同样,Prestwich 声称此漏洞可能导致所有用户资金被盗。
漏洞常见
Prestwich 表示,LayerZero 团队“意识到上述漏洞”,“选择不披露或以其他方式解决这些漏洞”。
他声称,Stargate 对这两个漏洞都持开放态度,LayerZero 团队正在积极利用它来修改消息。 Stargate 是一种桥接协议,是在 LayerZero 上运行的最大应用程序之一,由团队构建,作为底层协议的概念证明。
第一个漏洞可以通过应用程序进行一些编码配置来缓解。 他说,由于可能会添加新链,因此无法永久缓解第二个漏洞。
LayerZero 使用预言机和两方多重签名系统来确保不会发送欺诈性消息或交易。
在与 The Block 的对话中,Prestwich 承认受信任的第三方漏洞很常见并且不是什么大问题,因为受信任的方通常是值得信赖的。 然而,他说真正的问题是 LayerZero 否认这是可能的,并利用其访问 Stargate 的补丁问题。
LayerZero 驳回索赔
LayerZero 的 Pellegrino 在 Twitter 上抨击了这篇报道, 调用 它“非常不诚实”。 他说,这些声明仅适用于使用网络默认配置的项目,不适用于任何设置自己配置的项目。
Pellegrino 告诉 The Block,团队能够选择他们想要如何设置项目是件好事。 他认为,他们应该能够根据自己的安全偏好选择自己想要的设置。
他确实承认,大多数基于 LayerZero 构建的项目目前都使用默认配置。 虽然这现在确实包括星际之门,但最近通过了一项投票来改变这一点,并且正在执行中。
“我认为每个人都应该选择并且没有人应该使用默认值,除非你相信多重签名不会恶意行为(大多数人这样做)或者正在做一些安全不是第一要务的事情,“他说。
对于 LayerZero 隐藏这些能力的指控,Pellegrino 表示团队一直非常公开。
©2023 The Block Crypto,Inc.保留所有权利。 本文仅供参考。 不提供或不打算将其用作法律,税务,投资,财务或其他建议。
来源:https://www.theblock.co/post/206770/layerzero-ceo-denies-accusations-of-critical-trusted-third-party-vulnerabilities?utm_source=rss&utm_medium=rss