LayerZero के सीईओ ने महत्वपूर्ण भरोसेमंद तृतीय-पक्ष कमजोरियों के आरोपों से इनकार किया

LayerZero के सीईओ ब्रायन पेलेग्रिनो ने आरोपों से इनकार किया कि LayerZero - अपने Stargate पुल के संबंध में - दो महत्वपूर्ण विश्वसनीय तृतीय-पक्ष भेद्यताएँ हैं।

पेलेग्रिनो ने द ब्लॉक को बताया, "यह 100% तथ्यात्मक रूप से गलत है और मैं आपको किसी भी ऑडिटर से बात करने के लिए कहूंगा, जिसने परियोजना पर काम किया है।"

वह प्रतिद्वंद्वी क्रॉस-चेन प्रोटोकॉल नोमैड के संस्थापक और सीटीओ, डेवलपर जेम्स प्रेस्टविच द्वारा आज पहले किए गए दावों का जवाब दे रहे थे।

प्रेस्टविच ने कहा कि लेयरजेरो रिलेयर से दो भेद्यताएं उत्पन्न होती हैं, जो वर्तमान में दो-पक्षीय मल्टीसिग पर है। भेद्यता का फायदा केवल अंदरूनी लोगों या टीम के सदस्यों द्वारा ही उठाया जा सकता है, जिनके पास पहचान है, और यह उन कारणों में से एक था जिसे उन्होंने जारी किया था। रिपोर्ट, क्योंकि बाहरी शोषण का जोखिम कम होता है।

पहली भेद्यता लेयरज़ेरो मल्टीसिग से धोखाधड़ी वाले संदेशों को भेजने की अनुमति देगी। इस प्रकार के शोषण के परिणामस्वरूप "सभी उपयोगकर्ता धन," प्रेस्टविच की चोरी हो सकती है लिखा था ट्विटर पर.

दूसरी भेद्यता संदेश या लेनदेन पर ऑरेकल और मल्टीसिग के हस्ताक्षर करने के बाद संदेशों को संशोधित करने की अनुमति देगी। इसी तरह, प्रेस्टविच का दावा है कि इस भेद्यता के परिणामस्वरूप सभी उपयोगकर्ता निधियों की चोरी हो सकती है।

भेद्यता सामान्य

प्रेस्टविच ने कहा कि लेयरजेरो टीम "उपरोक्त कमजोरियों से अवगत थी" और "उनका खुलासा या अन्यथा संबोधित नहीं करना चुना।"

उन्होंने दावा किया कि स्टारगेट दोनों कमजोरियों के लिए खुला है और संदेशों को संशोधित करने के लिए लेयरजेरो टीम द्वारा सक्रिय रूप से शोषण किया जा रहा है। Stargate एक ब्रिजिंग प्रोटोकॉल है जो LayerZero पर चलने वाले सबसे बड़े अनुप्रयोगों में से एक है और टीम द्वारा अंतर्निहित प्रोटोकॉल के लिए अवधारणा के प्रमाण के रूप में बनाया गया था।

कुछ कोडिंग कॉन्फ़िगरेशन बनाने वाले अनुप्रयोगों द्वारा पहली भेद्यता को कम किया जा सकता है। उन्होंने कहा कि नई श्रृंखलाओं के संभावित जोड़ के कारण दूसरी भेद्यता का स्थायी शमन नहीं हो सकता है।

कोई कपटपूर्ण संदेश या लेन-देन नहीं भेजे जाने को सुनिश्चित करने के लिए LayerZero oracles और दो-पक्षीय मल्टीसिग सिस्टम का उपयोग करता है।

द ब्लॉक के साथ बातचीत में, प्रेस्टविच ने स्वीकार किया कि विश्वसनीय तृतीय-पक्ष कमजोरियाँ आम हैं और यह इतनी बड़ी समस्या नहीं है क्योंकि विश्वसनीय पक्ष अक्सर भरोसेमंद होते हैं। हालांकि, उन्होंने कहा कि वास्तविक समस्या लेयरजेरो से इनकार करना था कि यह संभव था और स्टारगेट के साथ पैच मुद्दों तक अपनी पहुंच का लाभ उठा रहा था।

लेयरजीरो दावों को खारिज करता है

लेयरजीरो के पेलेग्रिनो ने ट्विटर पर रिपोर्ट की निंदा की, बुला यह "बेतहाशा बेईमानी है।" उन्होंने कहा कि दावे केवल उन परियोजनाओं पर लागू होते हैं जो नेटवर्क पर डिफ़ॉल्ट कॉन्फ़िगरेशन का उपयोग करते हैं और यह कि वे अपने कॉन्फ़िगरेशन सेट करने वाले किसी भी व्यक्ति पर लागू नहीं होते हैं।

पेलेग्रिनो ने द ब्लॉक को बताया कि यह अच्छा है कि टीमें यह चुनने में सक्षम हैं कि वे अपनी परियोजनाओं को कैसे स्थापित करना चाहते हैं। उन्होंने तर्क दिया कि उनके पास अपनी सुरक्षा प्राथमिकताओं के आधार पर अपनी इच्छित सेटिंग्स को चुनने की क्षमता होनी चाहिए।

उन्होंने स्वीकार किया कि लेयरजेरो पर निर्मित अधिकांश प्रोजेक्ट वर्तमान में डिफ़ॉल्ट कॉन्फ़िगरेशन का उपयोग करते हैं। जबकि इसमें अभी स्टारगेट शामिल है, इसे बदलने के लिए हाल ही में एक वोट पारित किया गया था, और यह निष्पादित होने की प्रक्रिया में है।

"मुझे लगता है कि हर किसी को चुनना चाहिए और किसी को भी डिफ़ॉल्ट का उपयोग नहीं करना चाहिए जब तक कि आप मल्टीसिग को दुर्भावनापूर्ण तरीके से कार्य न करने के लिए भरोसा करते हैं (ज्यादातर करते हैं) या ऐसा कुछ कर रहे हैं जहां सुरक्षा नंबर एक प्राथमिकता नहीं है, "उन्होंने कहा।

इस आरोप के संबंध में कि लेयरजीरो ने इन क्षमताओं को छुपाया, पेलेग्रिनो ने कहा कि टीम उनके बारे में बहुत सार्वजनिक रही है।

स्रोत: https://www.theblock.co/post/206770/layerzero-ceo-denies-accusations-of-critical-trusted-third-party-vulnerabilities?utm_source=rss&utm_medium=rss