Plataforma de ponte LayerZero nega alegações de que manteve Secret "backdoor"

Um cofundador da LayerZero, que fornece serviços para ajudar blockchains a conectar ativos digitais entre si, está negando acusações de um concorrente de que encobriu a existência de uma vulnerabilidade crítica de "backdoor" em seu código.

James Prestwich, fundador do serviço de ponte entre cadeias Nomad, alegou em umpostagem de blogna segunda-feira que o LayerZero pode ignorar os controles de segurança para passar dados entre blockchains sem a permissão de ninguém.

“Uma vulnerabilidade de parte confiável (também chamada de ‘backdoor’) é uma capacidade não divulgada de uma parte confiável, que pode comprometer a função do sistema”, explicou Prestwich em um tweet descrevendo suas descobertas. De acordo com Prestwich, a LayerZero tem a capacidade de roubar unilateralmente ou movimentar fundos bloqueados com plataformas que usam seus serviços de ponte com configurações padrão.

Bryan Pellegrino, um cofundador da LayerZero, disse que o projeto tem capacidades do tipo backdoor, mas negou que a plataforma tenha tentado escondê-las. Pellegrino disse que a LayerZero era aberta sobre suas práticas de segurança e deu aos desenvolvedores a capacidade de definir parâmetros impedindo a LayerZero de privilégios especiais de acesso.

“O que eles estão errados é que cada aplicativo tem a capacidade de simplesmente selecionar suas próprias propriedades de segurança”, Pellegrino disse ao CoinDesk. “Tudo o que você precisa fazer é definir sua configuração e não há nada que alguém possa fazer”, ele continuou. “James sabe que descrever qualquer coisa como uma vulnerabilidade crítica de segurança é insano.”

Pellegrino sugeriu que os motivos de Prestwich podem estar ligados a uma próxima votação de governança da Uniswap para escolher um provedor de ponte.

Pellegrino disse que provedores de ponte concorrentes, como Nomad e Wormhole, têm as mesmas capacidades de “backdoor” que Prestwich atribui ao LayerZero. “No pior dos casos, o LayerZero é equivalente a como o Wormhole ou qualquer outra camada de mensagens funciona”, ele disse ao CoinDesk.

Outras pontes –incluindo Nomad, que sofreu de umahack de nove dígitosdurante o verão – têm capacidades de acesso semelhantes às do LayerZero, acrescentou.

“A diferença entre um backdoor e uma suposição de confiança é se ele é ou não divulgado e documentado, e se a equipe busca ou não escondê-lo”, ele disse ao CoinDesk. De acordo com o fundador do Nomad, LayerZero negado publicamente em uma discussão no fórum Uniswap que ele tinha algum tipo de capacidade especial.

“Como eles negaram publicamente essa capacidade, acreditamos que eles podem estar ocultando deliberadamente a extensão de seu controle sobre os aplicativos”, tuitou Prestwich originalmente.

O auditor de código da LayerZero, Zellic,tweetouna segunda-feira que a equipe “foi muito direta sobre as propriedades de segurança do sistema, e tudo isso é amplamente conhecido e bem documentado”.

Prestwich sugeriu que há um potencial conflito de interesses porque os auditores são pagos pelo projeto.

“Se você perguntar a qualquer pessoa no Twitter: ‘O LayerZero pode roubar tudoPortal Estelar fundos?' A resposta seria não. Os auditores e a LayerZero estão saindo e dizendo que todos sempre souberam que poderíamos roubar o dinheiro. Isso não é uma defesa e também não é verdade”, disse ele à CoinDesk.

Quanto ao motivo pelo qual ele decidiu divulgar o "backdoor" no código do LayerZero, Prestwich disse em sua postagem no blog: "Escolhemos divulgar completamente porque acreditamos que o LayerZero está ciente desses problemas, e a Aviso Importante pública é a melhor maneira de levar os desenvolvedores de aplicativos a definir a configuração".

Pellegrino sugeriu que os motivos de Prestwich eram mais nefastos e vinculados a uma próxima votação de governança da Uniswap , que verá a comunidade por trás da maior exchange descentralizada selecionar um provedor de bridge oficial. Os principais concorrentes na votação são LayerZero e Wormhole, outro grande serviço de bridge.

“O que ouvimos é que todos os concorrentes estão extremamente animados agora porque, se a LayerZero vencer, basicamente manteremos uma posição clara de favoritos, enquanto que se a Wormhole vencer, não haverá um favorito claro”, explicou Pellegrino ao CoinDesk.

Prestwich nega que ele foi motivado a menosprezar o LayerZero como um de seus concorrentes. “Eu acho que é difícil descrever o Nomad como um concorrente para qualquer um, dada a situação em que estamos”, ele disse ao CoinDesk. Como resultado do hack do verão passado, “Nós T executamos uma ponte ou um protocolo de mensagens entre cadeias em cerca de seis meses.”

Prestwich disse ao CoinDesk que um eleitor da Uniswap pediu que ele auditasse o código da LayerZero "como uma terceira parte desinteressada", dada sua vasta experiência em Tecnologia de ponte entre cadeias e na linguagem de programação solidity. Prestwich disse que a pessoa que solicitou a auditoria não trabalhava para a Uniswap, mas se recusou a comentar se a pessoa estava associada à Wormhole.

Prestwich disse que não recebeu pagamento por sua pesquisa e não a mostrou a ninguém além da LayerZero antes da publicação.

CORREÇÃO (30 de janeiro, 21:25 UTC): Prestwich foi solicitado a auditar o código do LayerZero "como" um terceiro desinteressado na votação do Uniswap , não "por" um terceiro desinteressado na votação.