LayerZero 首席執行官布萊恩·佩萊格里諾 (Bryan Pellegrino) 否認有關 LayerZero 與其星際之門橋相關的指控存在兩個關鍵的可信第三方漏洞。
“這 100% 與事實不符,我會請你與參與該項目的任何審計員交談,”佩萊格里諾告訴 The Block。
他是在回應競爭對手跨鏈協議 Nomad 的創始人兼首席技術官 James Prestwich 今天早些時候提出的說法。
Prestwich 表示,這兩個漏洞源於 LayerZero 中繼器,該中繼器目前處於兩方多重簽名中。 漏洞只能被內部人員,或者已知身份的團隊成員利用,這也是他發布的原因之一 報告,因為外部攻擊的風險較低。
第一個漏洞將允許從 LayerZero 多重簽名發送欺詐性消息。 這種類型的利用可能會導致“所有用戶資金”被盜,Prestwich 寫道: 在Twitter上。
第二個漏洞將允許在 oracle 和 multisig 簽署消息或交易後修改消息。 同樣,Prestwich 聲稱此漏洞可能導致所有用戶資金被盜。
漏洞常見
Prestwich 表示,LayerZero 團隊“意識到上述漏洞”,“選擇不披露或以其他方式解決這些漏洞”。
他聲稱,Stargate 對這兩個漏洞都持開放態度,LayerZero 團隊正在積極利用它來修改消息。 Stargate 是一種橋接協議,是在 LayerZero 上運行的最大應用程序之一,由團隊構建,作為底層協議的概念證明。
第一個漏洞可以通過應用程序進行一些編碼配置來緩解。 他說,由於可能會添加新鏈,因此無法永久緩解第二個漏洞。
LayerZero 使用預言機和兩方多重簽名系統來確保不會發送欺詐性消息或交易。
在與 The Block 的對話中,Prestwich 承認受信任的第三方漏洞很常見並且不是什麼大問題,因為受信任的方通常是值得信賴的。 然而,他說真正的問題是 LayerZero 否認這是可能的,並利用其訪問 Stargate 的補丁問題。
LayerZero 駁回索賠
LayerZero 的 Pellegrino 在 Twitter 上抨擊了這篇報導, 調用 它“非常不誠實”。 他說,這些聲明僅適用於使用網絡默認配置的項目,不適用於任何設置自己配置的項目。
Pellegrino 告訴 The Block,團隊能夠選擇他們想要如何設置項目是件好事。 他認為,他們應該能夠根據自己的安全偏好選擇自己想要的設置。
他確實承認,大多數基於 LayerZero 構建的項目目前都使用默認配置。 雖然這現在確實包括星際之門,但最近通過了一項投票來改變這一點,並且正在執行中。
“我認為每個人都應該選擇並且沒有人應該使用默認值,除非你相信多重簽名不會惡意行為(大多數人這樣做)或者正在做一些安全不是第一要務的事情,“他說。
對於 LayerZero 隱藏這些能力的指控,Pellegrino 表示團隊一直非常公開。
©2023 The Block Crypto,Inc.保留所有權利。 本文僅供參考。 不提供或不打算將其用作法律,稅務,投資,財務或其他建議。
來源:https://www.theblock.co/post/206770/layerzero-ceo-denies-accusations-of-critical-trusted-third-party-vulnerabilities?utm_source=rss&utm_medium=rss