Bryan Pellegrino CEO ของ LayerZero ปฏิเสธข้อกล่าวหาที่ว่า LayerZero ซึ่งเกี่ยวข้องกับสะพาน Stargate นั้นมีช่องโหว่ของบุคคลที่สามที่เชื่อถือได้ที่สำคัญสองรายการ
“ข้อเท็จจริงนี้ไม่ถูกต้อง 100% และผมขอให้คุณพูดคุยกับผู้ตรวจสอบบัญชีที่เคยทำงานในโครงการ” Pellegrino กล่าวกับ The Block
เขาตอบสนองต่อคำกล่าวอ้างของนักพัฒนา James Prestwich ผู้ก่อตั้งและ CTO ของ Nomad ซึ่งเป็นโปรโตคอลข้ามสายของคู่แข่ง
Prestwich กล่าวว่าช่องโหว่ทั้งสองเกิดจาก LayerZero relayer ซึ่งปัจจุบันอยู่ใน multisig สองฝ่าย ช่องโหว่นี้สามารถถูกโจมตีโดยคนวงในหรือสมาชิกในทีมที่รู้จักตัวตนเท่านั้น และนี่เป็นหนึ่งในเหตุผลที่เขาปล่อย รายงานเนื่องจากมีความเสี่ยงต่ำกว่าจากการถูกโจมตีจากภายนอก
ช่องโหว่แรกจะอนุญาตให้ส่งข้อความหลอกลวงจาก Multisig LayerZero การหาประโยชน์ประเภทนี้อาจส่งผลให้เกิดการขโมย "เงินของผู้ใช้ทั้งหมด" Prestwich เขียน บน Twitter
ช่องโหว่ที่สองจะอนุญาตให้แก้ไขข้อความหลังจากที่ oracle และ multisig ลงชื่อออกจากข้อความหรือธุรกรรม ในทำนองเดียวกัน Prestwich อ้างว่าช่องโหว่นี้อาจส่งผลให้เกิดการขโมยเงินของผู้ใช้ทั้งหมด
ช่องโหว่ที่พบบ่อย
Prestwich กล่าวว่าทีม LayerZero “ตระหนักถึงช่องโหว่ข้างต้น” และ “เลือกที่จะไม่เปิดเผยหรือจัดการกับช่องโหว่เหล่านั้น”
Stargate เปิดให้ทั้งสองช่องโหว่และกำลังถูกใช้งานโดยทีม LayerZero เพื่อแก้ไขข้อความ เขาอ้างว่า Stargate เป็นโปรโตคอลการเชื่อมต่อที่เป็นหนึ่งในแอปพลิเคชันที่ใหญ่ที่สุดที่ทำงานบน LayerZero และสร้างขึ้นโดยทีมงานเพื่อพิสูจน์แนวคิดสำหรับโปรโตคอลพื้นฐาน
ช่องโหว่แรกสามารถบรรเทาได้ด้วยแอปพลิเคชันที่สร้างการกำหนดค่าการเข้ารหัสบางอย่าง เขากล่าวว่าการบรรเทาช่องโหว่ที่สองอย่างถาวรไม่สามารถเกิดขึ้นได้เนื่องจากมีการเพิ่มเชนใหม่เข้าไป
LayerZero ใช้ oracles และระบบ multisig สองฝ่ายเพื่อให้แน่ใจว่าไม่มีการส่งข้อความหรือธุรกรรมที่ฉ้อฉล
ในการสนทนากับ The Block นั้น Prestwich ยอมรับว่าช่องโหว่ของบุคคลที่สามที่เชื่อถือได้นั้นพบได้ทั่วไปและไม่ใช่ปัญหาใหญ่ขนาดนั้น เพราะบุคคลที่ไว้ใจได้มักจะไว้ใจได้ อย่างไรก็ตาม เขากล่าวว่าปัญหาที่แท้จริงคือ LayerZero ปฏิเสธว่าสิ่งนี้เป็นไปได้และใช้ประโยชน์จากการเข้าถึงปัญหาแพตช์กับ Stargate
LayerZero ยกเลิกการอ้างสิทธิ์
Pellegrino จาก LayerZero ตำหนิรายงานบน Twitter โทร มัน “ไม่ซื่อสัตย์อย่างยิ่ง” เขากล่าวว่าการอ้างสิทธิ์ใช้เฉพาะกับโครงการที่ใช้การกำหนดค่าเริ่มต้นบนเครือข่ายเท่านั้น และไม่มีผลกับโปรเจ็กต์ที่ตั้งการกำหนดค่าเอง
Pellegrino บอกกับ The Block ว่าเป็นเรื่องดีที่ทีมสามารถเลือกได้ว่าต้องการตั้งค่าโครงการอย่างไร เขาแย้งว่าพวกเขาควรจะสามารถเลือกการตั้งค่าที่พวกเขาต้องการได้ ขึ้นอยู่กับการตั้งค่าความปลอดภัยของพวกเขา
เขารับทราบว่าโปรเจ็กต์ส่วนใหญ่ที่สร้างบน LayerZero ในปัจจุบันใช้การกำหนดค่าเริ่มต้น แม้ว่าตอนนี้จะรวมถึง Stargate ด้วย แต่เพิ่งผ่านการโหวตเพื่อเปลี่ยนแปลงสิ่งนี้ และกำลังอยู่ในขั้นตอนการดำเนินการ
"ฉันคิดว่าทุกคนควรเลือกและไม่มีใครควรใช้ค่าเริ่มต้นเว้นแต่คุณจะไว้วางใจ multisig ว่าจะไม่กระทำการใด ๆ ที่มุ่งร้าย (ส่วนใหญ่ทำ) หรือกำลังทำบางสิ่งที่ความปลอดภัยไม่ใช่สิ่งสำคัญอันดับหนึ่ง” เขากล่าว
สำหรับข้อกล่าวหาว่า LayerZero ซ่อนความสามารถเหล่านี้ Pellegrino กล่าวว่าทีมงานเปิดเผยเกี่ยวกับความสามารถเหล่านี้
© 2023 The Block Crypto, Inc. สงวนลิขสิทธิ์ บทความนี้จัดทำขึ้นเพื่อให้ข้อมูลเท่านั้น ไม่มีการเสนอหรือมีจุดประสงค์เพื่อใช้เป็นคำแนะนำทางกฎหมายภาษีการลงทุนการเงินหรือคำแนะนำอื่น ๆ
ที่มา: https://www.theblock.co/post/206770/layerzero-ceo-denies-accusations-of-critical-trusted-third-party-vulnerabilities?utm_source=rss&utm_medium=rss