Bryan Pellegrino LayerZeroko zuzendari nagusiak ukatu egin zituen LayerZerok - Stargate zubiarekin lotuta - hirugarrenen konfiantzazko bi ahultasun kritiko dituela.
"% 100ean okerra da eta proiektuan lan egin duen edozein auditorerekin hitz egitea eskatuko nizuke", esan zion Pellegrinok The Block-i.
Gaur goizaldean James Prestwich garatzaileak, Nomad-en sortzaile eta CTO, kate arteko protokolo arerio bat, egindako erreklamazioei erantzuten ari zen.
Prestwich-ek esan zuen bi ahulguneak LayerZero errelebotik datozela, gaur egun bi alderdiko multisig batean dagoena. Ahultasunak barnekoek edo identitatea ezagutzen duten taldekideek soilik ustiatu ditzakete, eta hori izan zen kaleratu zuen arrazoietako bat. txostena, kanpoko ustiapen baten arrisku txikiagoa baitago.
Lehenengo ahultasunak LayerZero multisig-etik iruzurrezko mezuak bidaltzea ahalbidetuko luke. Uste mota honek Prestwich "erabiltzaileen funts guztiak" lapurtu ditzake idatzi Twitter.
Bigarren ahulguneak mezuak aldatzea ahalbidetuko luke orakuluak eta multisig-ek mezuak edo transakzioak sinatu ondoren. Era berean, Prestwich-ek dio ahultasun honek erabiltzaileen funts guztiak lapurtzea eragin dezakeela.
Ahultasun arruntak
Prestwich-ek esan zuen LayerZero taldeak "aipatutako ahultasunen berri" zeudela eta "ez ezagutzera ematea edo bestela ez zuzentzea erabaki zuen".
Stargate bi ahultasunetara irekita dago eta LayerZero taldeak aktiboki ustiatzen ari da mezuak aldatzeko, esan zuen. Stargate LayerZero-n exekutatzen den aplikazio handienetako bat den zubi-protokolo bat da eta taldeak azpiko protokoloaren kontzeptu froga gisa eraiki zuen.
Lehenengo ahultasuna kodeketa konfigurazio batzuk egiten dituzten aplikazioek arindu dezakete. Bigarren ahultasunaren arintze iraunkorra ezin da gertatu kate berriak gehi daitezkeelako, esan zuen.
LayerZero-k orakuluak eta bi alderdiko multisig sistema erabiltzen ditu iruzurrezko mezurik edo transakziorik ez bidaltzeko.
The Block-ekin elkarrizketan, Prestwich-ek onartu du konfiantzazko hirugarrenen ahultasunak ohikoak direla eta ez dela horren arazo handia, konfiantzazko alderdiak askotan fidagarriak direlako. Hala ere, esan zuen benetako arazoa LayerZero-k hori posible zela ukatzea eta Stargate-rekin adabaki-arazoetarako sarbidea aprobetxatzea zela.
LayerZero-k erreklamazioak baztertzen ditu
LayerZero-ko Pellegrinok erreportajea gaitzetsi zuen Twitterren, telefonora deituz "basatia petrala" da. Esan zuen erreklamazioak sareko konfigurazio lehenetsiak erabiltzen dituzten proiektuei soilik aplikatzen zaizkiela eta ez zaizkiela beren konfigurazio propioak konfiguratzen dituztenei aplikatzen.
Pellegrinok The Block-i esan dio ona dela taldeek beren proiektuak nola ezarri nahi dituzten aukeratzea. Beren segurtasun-hobespenen arabera nahi dituzten ezarpenak aukeratzeko gaitasuna izan behar dutela argudiatu zuen.
LayerZero-n eraikitako proiektu gehienek konfigurazio lehenetsiak erabiltzen dituztela onartu zuen. Oraintxe bertan Stargate barne hartzen duen arren, duela gutxi hau aldatzeko bozketa egin da, eta exekutatzeko prozesuan dago.
"Uste dut denek aukeratu beharko lituzkeela eta inork ez lituzke lehenetsiak erabili behar multisig-a maltzurkeriaz ez jarduteko fidatzen ez bazara (gehienek egiten dute) edo segurtasuna lehen mailako lehentasuna ez den zerbait egiten ari bazara ", esan zuen.
LayerZerok gaitasun horiek ezkutatu zituelako salaketari dagokionez, Pellegrinok esan du taldeak oso publiko egin duela horien inguruan.
© 2023 The Block Crypto, Inc. Eskubide guztiak erreserbatuta daude. Artikulu hau informazio informatiboetarako bakarrik ematen da. Ez da eskaini edo pentsatu lege, zerga, inbertsio, finantza edo bestelako aholkularitza gisa erabiltzeko.
Iturria: https://www.theblock.co/post/206770/layerzero-ceo-denies-accusations-of-critical-trusted-third-party-vulnerabilities?utm_source=rss&utm_medium=rss