CEO LayerZero, Bryan Pellegrino, membantah tuduhan bahwa LayerZero — sehubungan dengan jembatan Stargate — memiliki dua kerentanan pihak ketiga tepercaya yang kritis.
“Ini 100% salah secara faktual dan saya akan meminta Anda berbicara dengan auditor mana pun yang telah mengerjakan proyek tersebut,” kata Pellegrino kepada The Block.
Dia menanggapi klaim yang dibuat hari ini oleh pengembang James Prestwich, pendiri dan CTO Nomad, protokol lintas rantai saingan.
Prestwich mengatakan dua kerentanan berasal dari relayer LayerZero, yang saat ini berada di multisig dua pihak. Kerentanan hanya dapat dimanfaatkan oleh orang dalam, atau anggota tim yang memiliki identitas yang diketahui, dan ini adalah salah satu alasan dia merilis laporan, karena ada risiko eksploitasi eksternal yang lebih rendah.
Kerentanan pertama akan memungkinkan pesan penipuan dikirim dari multisig LayerZero. Jenis eksploit ini dapat mengakibatkan pencurian “semua dana pengguna”, Prestwich menulis di Twitter.
Kerentanan kedua memungkinkan pengubahan pesan setelah oracle dan multisig menandatangani pesan atau transaksi. Demikian pula, Prestwich mengklaim kerentanan ini dapat mengakibatkan pencurian semua dana pengguna.
Kerentanan umum
Prestwich mengatakan tim LayerZero "menyadari kerentanan di atas" dan "memilih untuk tidak mengungkapkan atau mengatasinya."
Stargate terbuka untuk kedua kerentanan dan secara aktif dieksploitasi oleh tim LayerZero untuk memodifikasi pesan, klaimnya. Stargate adalah protokol penghubung yang merupakan salah satu aplikasi terbesar yang berjalan di LayerZero dan dibangun oleh tim sebagai bukti konsep untuk protokol yang mendasarinya.
Kerentanan pertama dapat dikurangi dengan aplikasi yang membuat beberapa konfigurasi pengkodean. Mitigasi permanen dari kerentanan kedua tidak dapat terjadi karena kemungkinan penambahan rantai baru, katanya.
LayerZero menggunakan oracle dan sistem multisig dua pihak untuk memastikan tidak ada pesan penipuan atau transaksi yang dikirim.
Dalam percakapan dengan The Block, Prestwich mengakui bahwa kerentanan pihak ketiga tepercaya adalah hal biasa dan bukan masalah besar karena pihak tepercaya seringkali dapat dipercaya. Namun, dia mengatakan masalah sebenarnya adalah LayerZero menyangkal bahwa ini mungkin dan memanfaatkan aksesnya untuk menambal masalah dengan Stargate.
LayerZero menolak klaim
Pellegrino dari LayerZero mengecam laporan itu di Twitter, panggilan itu "sangat tidak jujur." Dia mengatakan klaim hanya berlaku untuk proyek yang menggunakan konfigurasi default di jaringan dan tidak berlaku untuk proyek yang mengatur konfigurasinya sendiri.
Pellegrino memberi tahu The Block bahwa ada baiknya tim dapat memilih bagaimana mereka ingin mengatur proyek mereka. Dia berargumen bahwa mereka harus memiliki kemampuan untuk memilih pengaturan yang mereka inginkan, tergantung pada preferensi keamanan mereka.
Dia mengakui bahwa sebagian besar proyek yang dibangun di atas LayerZero saat ini menggunakan konfigurasi default. Meskipun ini termasuk Stargate sekarang, pemungutan suara baru-baru ini disahkan untuk mengubahnya, dan sedang dalam proses eksekusi.
"Saya pikir semua orang harus memilih dan tidak seorang pun harus menggunakan default kecuali Anda mempercayai multisig untuk tidak bertindak jahat (kebanyakan melakukannya) atau melakukan sesuatu di mana keamanan bukan prioritas nomor satu, ”katanya.
Adapun tuduhan bahwa LayerZero menyembunyikan kemampuan ini, Pellegrino mengatakan bahwa tim telah sangat terbuka tentang mereka.
© 2023 The Block Crypto, Inc. Semua Hak Dilindungi Undang-Undang. Artikel ini disediakan hanya untuk tujuan informasi. Itu tidak ditawarkan atau dimaksudkan untuk digunakan sebagai nasihat hukum, pajak, investasi, keuangan, atau lainnya.
Sumber: https://www.theblock.co/post/206770/layerzero-ceo-denies-accusations-of-critical-trusted-third-party-vulnerabilities?utm_source=rss&utm_medium=rss