Le PDG de LayerZero nie les accusations de vulnérabilités critiques de tiers de confiance
aurait deux vulnérabilités critiques de tiers de confiance.
« C’est 100% factuellement incorrect et je vous demanderais de parler à tout auditeur qui a travaillé sur le projet », a déclaré Pellegrino à The Block.
Il répondait aux affirmations faites plus tôt dans la journée par le développeur James Prestwich, fondateur et CTO de Nomad, un protocole cross-chain rival.
Prestwich a déclaré que les deux vulnérabilités proviennent du relais LayerZero, qui est actuellement sur un multisig bipartite. Les vulnérabilités ne peuvent être exploitées que par des initiés ou des membres de l’équipe qui ont des identités connues, et c’est l’une des raisons pour lesquelles il a publié le rapport, car le risque d’exploitation externe est moindre.
La première vulnérabilité permettrait l’envoi de messages frauduleux depuis le multisig LayerZero. Ce type d’exploit pourrait entraîner le vol de « tous les fonds des utilisateurs », a écrit Prestwich sur Twitter.
La deuxième vulnérabilité permettrait de modifier les messages après que l’oracle et le multisig ont signé les messages ou les transactions. De même, Prestwich affirme que cette vulnérabilité pourrait entraîner le vol de tous les fonds des utilisateurs.
Vulnérabilités courantes
Prestwich a déclaré que l’équipe de LayerZero était « consciente des vulnérabilités ci-dessus » et « a choisi de ne pas les divulguer ou de les traiter d’une autre manière ».
Stargate est ouvert aux deux vulnérabilités et est activement exploité par l’équipe LayerZero pour modifier les messages, a-t-il affirmé. Stargate est un protocole de pontage qui est l’une des plus grandes applications fonctionnant sur LayerZero et a été construit par l’équipe comme une preuve de concept pour le protocole sous-jacent.
La première vulnérabilité peut être atténuée par des applications effectuant certaines configurations de codage. Une atténuation permanente de la deuxième vulnérabilité ne peut pas se produire en raison de l’ajout possible de nouvelles chaînes, a-t-il déclaré.
LayerZero utilise des oracles et le système multisig bipartite pour s’assurer qu’aucun message ou transaction frauduleux ne soit envoyé.
Lors d’une conversation avec The Block, Prestwich a reconnu que les vulnérabilités des tiers de confiance sont courantes et ne posent pas un si gros problème car les parties de confiance sont souvent dignes de confiance. Cependant, il a déclaré que le vrai problème était que LayerZero niait que cela était possible et tirait parti de son accès aux problèmes de correctifs avec Stargate.
LayerZero rejette les réclamations
Pellegrino de LayerZero a critiqué le rapport sur Twitter, le qualifiant de « extrêmement malhonnête ». Il a déclaré que les revendications ne s’appliquent qu’aux projets qui utilisent les configurations par défaut sur le réseau et qu’elles ne s’appliquent pas à ceux qui configurent leurs propres configurations.
Pellegrino a déclaré à The Block qu’il est bon que les équipes puissent choisir comment elles souhaitent mettre en place leurs projets. Il a fait valoir qu’ils devraient avoir la possibilité de choisir les paramètres qu’ils souhaitent, en fonction de leurs préférences en matière de sécurité.
Il a reconnu que la plupart des projets construits sur LayerZero utilisent actuellement les configurations par défaut. Bien que cela inclue Stargate en ce moment, un vote a récemment été adopté pour changer cela, et il est en cours d’exécution.
« Je pense que tout le monde devrait choisir et personne ne devrait utiliser les valeurs par défaut à moins que vous ne fassiez confiance au multisig pour ne pas agir de manière malveillante (la plupart le font) ou que vous fassiez quelque chose où la sécurité n’est pas la priorité numéro un », a-t-il déclaré.
Quant à l’accusation selon laquelle LayerZero a caché ces capacités, Pellegrino a déclaré que l’équipe en avait été très publique.
Il n’est pas offert ou destiné à être utilisé comme conseil juridique, fiscal, d’investissement, financier ou autre.
