El CEO de LayerZero niega las acusaciones de vulnerabilidades críticas de terceros confiables

El CEO de LayerZero, Bryan Pellegrino, negó las acusaciones de que LayerZero, en relación con su puente Stargate, tiene dos vulnerabilidades críticas de terceros confiables.

“Es 100% incorrecto en cuanto a los hechos y le pediría que hable con cualquier auditor que haya trabajado en el proyecto”, dijo Pellegrino a The Block.

Estaba respondiendo a las afirmaciones hechas hoy por el desarrollador James Prestwich, fundador y CTO de Nomad, un protocolo de cadena cruzada rival.

Prestwich dijo que las dos vulnerabilidades provienen del repetidor LayerZero, que actualmente se encuentra en un multisig de dos partes. Las vulnerabilidades solo pueden ser explotadas por personas internas o miembros del equipo que tienen identidades conocidas, y esta fue una de las razones por las que lanzó el informe, ya que hay un menor riesgo de una vulnerabilidad externa.

La primera vulnerabilidad permitiría enviar mensajes fraudulentos desde LayerZero multisig. Este tipo de exploit podría resultar en el robo de "todos los fondos de los usuarios", Prestwich escribí en Twitter.

La segunda vulnerabilidad permitiría modificar mensajes después de que Oracle y multisig hayan firmado mensajes o transacciones. De manera similar, Prestwich afirma que esta vulnerabilidad podría resultar en el robo de todos los fondos de los usuarios.

Vulnerabilidades comunes

Prestwich dijo que el equipo de LayerZero estaba "consciente de las vulnerabilidades anteriores" y "optó por no revelarlas ni abordarlas".

Stargate está abierto a ambas vulnerabilidades y el equipo de LayerZero lo está explotando activamente para modificar mensajes, afirmó. Stargate es un protocolo puente que es una de las aplicaciones más grandes que se ejecutan en LayerZero y fue creado por el equipo como una prueba de concepto para el protocolo subyacente.

La primera vulnerabilidad puede ser mitigada por aplicaciones que realizan algunas configuraciones de codificación. La mitigación permanente de la segunda vulnerabilidad no puede ocurrir debido a la posible adición de nuevas cadenas, dijo.

LayerZero utiliza oráculos y el sistema multisig de dos partes para garantizar que no se envíen mensajes o transacciones fraudulentas.

En una conversación con The Block, Prestwich reconoció que las vulnerabilidades de terceros confiables son comunes y no son un problema tan grande porque las partes confiables a menudo son confiables. Sin embargo, dijo que el verdadero problema era que LayerZero negaba que esto fuera posible y aprovechaba su acceso a problemas de parches con Stargate.

LayerZero desestima reclamos

Pellegrino de LayerZero criticó el informe en Twitter, llamar es "tremendamente deshonesto". Dijo que los reclamos solo se aplican a proyectos que usan las configuraciones predeterminadas en la red y que no se aplican a ninguno que establezca sus propias configuraciones.

Pellegrino le dijo a The Block que es bueno que los equipos puedan elegir cómo quieren configurar sus proyectos. Argumentó que deberían tener la capacidad de elegir la configuración que deseen, según sus preferencias de seguridad.

Reconoció que la mayoría de los proyectos creados en LayerZero actualmente usan las configuraciones predeterminadas. Si bien esto incluye Stargate en este momento, recientemente se aprobó un voto para cambiar esto, y está en proceso de ejecución.

"Creo que todos deberían elegir y nadie debería usar los valores predeterminados, a menos que confíe en que multisig no actuará maliciosamente (la mayoría lo hace) o esté haciendo algo donde la seguridad no es la prioridad número uno”, dijo.

En cuanto a la acusación de que LayerZero ocultó estas habilidades, Pellegrino dijo que el equipo ha sido muy público al respecto.

© 2023 The Block Crypto, Inc. Todos los derechos reservados. Este artículo se proporciona sólo para fines informativos. No se ofrece ni pretende utilizarse como asesoramiento legal, fiscal, de inversión, financiero o de otro tipo.