LayerZero-ի գործադիր տնօրեն Բրայան Պելեգրինոն հերքել է մեղադրանքներն այն մասին, որ LayerZero-ն՝ կապված իր Stargate կամրջի հետ, ունի երկու կարևոր վստահելի երրորդ կողմի խոցելիություն:
«Դա 100% փաստացիորեն սխալ է, և ես կխնդրեի, որ խոսեք ցանկացած աուդիտորի հետ, ով աշխատել է նախագծի վրա», - ասել է Պելեգրինոն The Block-ին:
Նա պատասխանում էր այսօր ավելի վաղ ծրագրավորող Ջեյմս Պրեստվիչի՝ Nomad-ի հիմնադիր և CTO-ի, հակառակորդ խաչաձեւ շղթայական արձանագրության, հայտարարություններին:
Փրեսթվիչն ասաց, որ երկու խոցելիությունները բխում են LayerZero ռելեերից, որը ներկայումս գտնվում է երկկողմանի բազմակողմանիության վրա: Խոցելիությունները կարող են շահագործվել միայն ինսայդերների կամ թիմի անդամների կողմից, ովքեր գիտեն ինքնություն, և դա պատճառներից մեկն էր, որ նա ազատ արձակեց: զեկույցը, քանի որ արտաքին շահագործման ավելի ցածր ռիսկ կա:
Առաջին խոցելիությունը թույլ կտա խարդախ հաղորդագրություններ ուղարկել LayerZero multisig-ից: Այս տեսակի շահագործումը կարող է հանգեցնել «օգտագործողի բոլոր միջոցների» հափշտակմանը, Prestwich գրել on Twitter:
Երկրորդ խոցելիությունը թույլ կտա փոփոխել հաղորդագրությունները այն բանից հետո, երբ Oracle-ը և Multisig-ը ստորագրեն հաղորդագրությունները կամ գործարքները: Նմանապես, Prestwich-ը պնդում է, որ այս խոցելիությունը կարող է հանգեցնել օգտագործողի բոլոր միջոցների հափշտակման:
Ընդհանուր խոցելիություն
Պրեստվիչն ասաց, որ LayerZero թիմը «տեղյակ է վերը նշված խոցելիությունների մասին» և «ընտրեց չբացահայտել կամ այլ կերպ չանդրադառնալ դրանք»:
Stargate-ը բաց է երկու խոցելիության համար և ակտիվորեն շահագործվում է LayerZero թիմի կողմից՝ հաղորդագրությունները փոփոխելու համար, պնդում է նա: Stargate-ը կամրջող արձանագրություն է, որը LayerZero-ով աշխատող ամենամեծ հավելվածներից է և ստեղծվել է թիմի կողմից՝ որպես հիմքում ընկած արձանագրության հայեցակարգի ապացույց:
Առաջին խոցելիությունը կարող է մեղմվել որոշ կոդավորման կոնֆիգուրացիաներ կատարող հավելվածների միջոցով: Երկրորդ խոցելիության մշտական մեղմացումը չի կարող տեղի ունենալ նոր շղթաների հնարավոր ավելացման պատճառով, ասաց նա։
LayerZero-ն օգտագործում է Oracles-ը և երկկողմանի multisig համակարգը՝ ապահովելու համար, որ կեղծ հաղորդագրություններ կամ գործարքներ չեն ուղարկվում:
The Block-ի հետ զրույցում Պրեստվիչը խոստովանեց, որ երրորդ կողմի վստահելի խոցելիությունները տարածված են և այնքան էլ մեծ խնդիր չեն, քանի որ վստահելի կողմերը հաճախ վստահելի են: Այնուամենայնիվ, նա ասաց, որ իրական խնդիրն այն է, որ LayerZero-ն հերքում է, որ դա հնարավոր է և օգտագործում է Stargate-ի հետ կարկատելու խնդիրների հասանելիությունը:
LayerZero-ն մերժում է պահանջները
LayerZero-ի Պելեգրինոն քննադատել է զեկույցը Twitter-ում, կոչում դա «խիստ անազնիվ է»։ Նա ասաց, որ պահանջները վերաբերում են միայն այն նախագծերին, որոնք օգտագործում են ցանցի լռելյայն կոնֆիգուրացիաները, և որ դրանք չեն վերաբերում իրենց սեփական կազմաձևերը ստեղծող նախագծերին:
Պելեգրինոն The Block-ին ասել է, որ լավ է, որ թիմերը կարողանում են ընտրել, թե ինչպես են ցանկանում ստեղծել իրենց նախագծերը: Նա պնդում էր, որ նրանք պետք է հնարավորություն ունենան ընտրելու իրենց ուզած կարգավորումները՝ կախված իրենց անվտանգության նախասիրություններից:
Նա խոստովանեց, որ LayerZero-ի վրա կառուցված նախագծերի մեծ մասը ներկայումս օգտագործում է լռելյայն կազմաձևերը: Թեև սա ներառում է Stargate-ը հենց հիմա, վերջերս քվեարկություն է ընդունվել սա փոխելու համար, և այն կատարման փուլում է:
"Կարծում եմ, բոլորը պետք է ընտրեն, և ոչ ոք չպետք է օգտագործի լռելյայնները, եթե դուք կամ վստահում եք multisig-ին, որ չարամտորեն չի գործում (շատերն անում են) կամ անում եք մի բան, որտեղ անվտանգությունը թիվ մեկ առաջնահերթությունը չէ», - ասաց նա:
Ինչ վերաբերում է մեղադրանքին, որ LayerZero-ն թաքցրել է այս ունակությունները, Պելեգրինոն ասաց, որ թիմը շատ հրապարակային է արտահայտվել դրանց մասին։
© 2023 The Block Crypto, Inc. Բոլոր իրավունքները պաշտպանված են: Այս հոդվածը տրամադրվում է միայն տեղեկատվական նպատակներով: Այն չի առաջարկվում կամ նախատեսված չէ օգտագործել որպես օրինական, հարկային, ներդրումային, ֆինանսական կամ այլ խորհրդատվություն:
Աղբյուր՝ https://www.theblock.co/post/206770/layerzero-ceo-denies-accusations-of-critical-trusted-third-party-vulnerabilities?utm_source=rss&utm_medium=rss