Bridge Platform LayerZero Itinanggi ang Mga Paratang na Itinatago Nito ang 'Backdoor' Secret

Ang isang co-founder ng LayerZero, na nagbibigay ng mga serbisyo upang matulungan ang mga blockchain na tulay ang mga digital na asset sa pagitan ng isa't isa, ay tinatanggihan ang mga akusasyon mula sa isang katunggali na tinakpan nito ang pagkakaroon ng isang kritikal na "backdoor" na kahinaan sa code nito.

Si James Prestwich, tagapagtatag ng cross-chain bridging service na Nomad, ay diumano sa isang post sa blog noong Lunes na maaaring i-bypass ng LayerZero ang mga kontrol sa seguridad upang maipasa ang data sa pagitan ng mga blockchain nang walang pahintulot ng sinuman.

"Ang kahinaan ng pinagkakatiwalaang partido (tinatawag ding 'backdoor') ay isang hindi isiniwalat na kakayahan ng isang pinagkakatiwalaang partido, na maaaring ikompromiso ang paggana ng system," paliwanag ni Prestwich sa isang tweet na binabalangkas ang kanyang mga natuklasan. Ayon kay Prestwich, ang LayerZero ay may kakayahan na unilaterally na magnakaw o magpalipat-lipat sa mga pondong naka-lock sa mga platform na gumagamit ng mga bridging services nito na may mga default na setting.

Si Bryan Pellegrino, isang co-founder ng LayerZero, ay nagsabi na ang proyekto ay may mga backdoor-like na kakayahan ngunit itinanggi ng platform na sinubukang itago ang mga ito. Sinabi ni Pellegrino na bukas ang LayerZero tungkol sa mga kasanayan sa seguridad nito at binigyan ang mga developer ng kakayahang magtakda ng mga parameter na humahadlang sa LayerZero mula sa mga espesyal na pribilehiyo sa pag-access.

"Ang mali nila ay ang bawat application ay may kakayahang pumili lamang ng kanilang sariling mga katangian ng seguridad," sinabi ni Pellegrino sa CoinDesk. "Ang kailangan mo lang gawin ay itakda ang iyong configuration at wala nang magagawa ang sinuman," patuloy niya. "Alam ni James na ang paglalarawan ng anumang bagay bilang isang kritikal na kahinaan sa seguridad ay nakakabaliw."

Iminungkahi ni Pellegrino na ang mga motibo ni Prestwich ay maaaring nauugnay sa isang paparating na boto sa pamamahala ng Uniswap upang pumili ng isang tagapagbigay ng tulay.

Sinabi ni Pellegrino na ang mga nakikipagkumpitensyang tagapagbigay ng tulay tulad ng Nomad at Wormhole ay may parehong mga kakayahan sa "backdoor" na iniuugnay ni Prestwich sa LayerZero. "Sa pinakamasamang kaso, ang LayerZero ay katumbas ng kung paano gumagana ang Wormhole o kung paano gumagana ang anumang iba pang layer ng pagmemensahe," sinabi niya sa CoinDesk.

Iba pang mga tulay - kabilang ang Nomad, na nagdusa mula sa a nine-figure hack sa tag-araw - may katulad na mga kakayahan sa pag-access sa LayerZero's, idinagdag niya.

"Ang pagkakaiba sa pagitan ng backdoor at isang trust assumption ay kung ito ay isiniwalat at naidokumento, at kung ang koponan ay naglalayong itago ito o hindi," sinabi niya sa CoinDesk. Ayon sa tagapagtatag ng Nomad, ang LayerZero itinanggi sa publiko sa isang talakayan sa forum ng Uniswap na mayroon itong anumang uri ng mga espesyal na kakayahan.

"Dahil tinanggihan nila sa publiko ang kakayahang ito, naniniwala kami na maaaring sinasadya nilang itago ang lawak ng kanilang kontrol sa mga aplikasyon," orihinal na tweet ni Prestwich.

Ang code auditor ng LayerZero, si Zellic, nagtweet noong Lunes na ang koponan ay "napaka-upfront tungkol sa mga katangian ng seguridad ng system, at lahat ito ay malawak na kilala at mahusay na dokumentado."

Iminungkahi ni Prestwich na mayroong potensyal na salungatan ng interes dahil ang mga auditor ay binabayaran ng proyekto.

"Kung tatanungin mo ang sinumang tao sa Twitter, 'Maaari bang nakawin ng LayerZero ang lahat Stargate pondo?' Ang sagot ay hindi. Ang mga auditor at LayerZero ay lumalabas at sinasabing lahat ng tao ay laging alam na maaari naming nakawin ang pera. Hindi iyon isang depensa at hindi rin totoo,” sinabi niya sa CoinDesk.

Kung bakit siya nagpasya na ibunyag ang "backdoor" sa code ng LayerZero, sinabi ni Prestwich sa kanyang post sa blog, "Pinili naming ganap na ibunyag dahil naniniwala kami na alam ng LayerZero ang mga isyung ito, at ang pampublikong Disclosure ay ang pinakamahusay na paraan upang i-prompt ang mga developer ng app na magtakda ng configuration."

Iminungkahi ni Pellegrino na ang mga motibo ni Prestwich ay mas kasuklam-suklam at nakatali sa isang paparating na boto sa pamamahala ng Uniswap , na makikita sa komunidad sa likod ng pinakamalaking desentralisadong palitan na pumili ng isang opisyal na tagapagbigay ng tulay. Ang mga nangungunang contenders sa boto ay ang LayerZero at Wormhole, isa pang pangunahing serbisyo ng tulay.

"Ang narinig namin ay ang bawat kakumpitensya ngayon ay labis na nasasabik dahil kung ang LayerZero ang mananalo dito, kami ay karaniwang nagpapanatili ng isang malinaw na front-runner na posisyon, samantalang kung ang Wormhole ay nanalo, walang malinaw na front-runner," paliwanag ni Pellegrino sa CoinDesk.

Itinanggi ni Prestwich na naudyukan siyang hamakin ang LayerZero bilang ONE sa mga kakumpitensya nito. "Sa tingin ko mahirap ilarawan si Nomad bilang isang katunggali sa sinumang ibinigay sa sitwasyong kinalalagyan natin," sinabi niya sa CoinDesk. Bilang resulta ng pag-hack noong nakaraang tag-araw, "T kami nagpapatakbo ng tulay o cross-chain messaging protocol sa loob ng humigit-kumulang anim na buwan."

Sinabi ni Prestwich sa CoinDesk na hiniling ng isang botante ng Uniswap na i-audit niya ang code ng LayerZero "bilang isang hindi interesadong third party" dahil sa kanyang malawak na background sa cross-chain bridge Technology at ang solidity programming language. Sinabi ni Prestwich na ang taong humiling ng pag-audit ay hindi gumana para sa Uniswap, ngunit tumanggi siyang magkomento kung ang tao ay nauugnay sa Wormhole.

Sinabi ni Prestwich na hindi siya nakatanggap ng bayad para sa kanyang pananaliksik at hindi ito ipinakita sa sinuman maliban sa LayerZero bago ang publikasyon.

PAGWAWASTO (Ene. 30, 21:25 UTC): Hiniling si Prestwich na i-audit ang code ng LayerZero "bilang" isang hindi interesadong third party sa Uniswap na boto, hindi "ni" ng isang hindi interesadong third party sa boto.