La plateforme de pont LayerZero nie les allégations selon lesquelles elle aurait gardé Secret la « porte dérobée »

Un cofondateur de LayerZero, qui fournit des services pour aider les blockchains à relier les actifs numériques entre eux, nie les accusations d'un concurrent selon lesquelles il aurait dissimulé l'existence d'une vulnérabilité critique de type « porte dérobée » dans son code.

James Prestwich, fondateur du service de pontage inter-chaînes Nomad, a affirmé dans unarticle de bloglundi, LayerZero peut contourner les contrôles de sécurité afin de transmettre des données entre les blockchains sans l'autorisation de personne.

« Une vulnérabilité de tiers de confiance (également appelée « porte dérobée ») est une capacité non divulguée d'un tiers de confiance, susceptible de compromettre le fonctionnement du système », a expliqué Prestwich dans un tweet présentant ses conclusions. Selon lui, LayerZero est capable de voler ou de transférer unilatéralement des fonds bloqués sur des plateformes utilisant ses services de passerelle avec les paramètres par défaut.

Bryan Pellegrino, cofondateur de LayerZero, a déclaré que le projet possédait des fonctionnalités de type « backdoor », mais a nié que la plateforme ait jamais tenté de les dissimuler. Pellegrino a précisé que LayerZero était transparent quant à ses pratiques de sécurité et avait donné aux développeurs la possibilité de définir des paramètres lui interdisant des privilèges d'accès spéciaux.

« Leur erreur, c'est que chaque application a la possibilité de sélectionner ses propres propriétés de sécurité », a déclaré Pellegrino à CoinDesk. « Il suffit de configurer sa propre application et personne ne peut rien faire », a-t-il poursuivi. « James sait que qualifier quoi que ce soit de vulnérabilité de sécurité critique est absurde. »

Pellegrino a suggéré que les motivations de Prestwich pourraient être liées à un prochain vote de gouvernance Uniswap pour choisir un fournisseur de pont.

Pellegrino a déclaré que les fournisseurs de passerelles concurrents, tels que Nomad et Wormhole, disposent des mêmes capacités de « porte dérobée » que Prestwich attribue à LayerZero. « Dans le pire des cas, LayerZero fonctionne de manière équivalente à Wormhole ou à toute autre couche de messagerie », a-t-il déclaré à CoinDesk.

Autres ponts –y compris Nomad, qui souffrait d'unepiratage à neuf chiffresau cours de l’été – ont des capacités d’accès similaires à celles de LayerZero, a-t-il ajouté.

« La différence entre une porte dérobée et une hypothèse de confiance réside dans sa divulgation et sa documentation, et dans la volonté de l'équipe de la dissimuler », a-t-il déclaré à CoinDesk. Selon le fondateur de Nomad, LayerZero publiquement nié dans une discussion sur le forum Uniswap, il a déclaré qu'il avait des capacités spéciales.

« Parce qu’ils ont publiquement nié cette capacité, nous pensons qu’ils dissimulent délibérément l’étendue de leur contrôle sur les applications », a initialement tweeté Prestwich.

L'auditeur de code de LayerZero, Zellic,tweetélundi, l'équipe « a été très franche sur les propriétés de sécurité du système, et tout cela est largement connu et bien documenté ».

Prestwich a suggéré qu’il existe un conflit d’intérêt potentiel car les auditeurs sont payés par le projet.

« Si vous demandez à n'importe qui sur Twitter : « LayerZero peut-il voler tous lesPorte des étoiles « Des fonds ? » La réponse serait non. Les auditeurs et LayerZero affirment que tout le monde a toujours su que nous pouvions voler l'argent. « Ce n'est pas une défense et c'est également faux », a-t-il déclaré à CoinDesk.

Quant à la raison pour laquelle il a décidé de divulguer la « porte dérobée » dans le code de LayerZero, Prestwich a déclaré dans son article de blog : « Nous avons choisi de divulguer entièrement parce que nous pensons que LayerZero est conscient de ces problèmes, et la Déclaration de transparence publique est le meilleur moyen d'inciter les développeurs d'applications à définir la configuration. »

Pellegrino a suggéré que les motivations de Prestwich étaient plus malveillantes et liées au prochain vote sur la gouvernance Uniswap , qui verra la communauté derrière la plus grande plateforme d'échange décentralisée choisir un fournisseur de passerelle officiel. Les principaux prétendants au vote sont LayerZero et Wormhole, un autre service de passerelle majeur.

« Ce que nous avons entendu, c'est que tous les concurrents sont actuellement extrêmement excités car si LayerZero gagne, nous maintenons fondamentalement une position de favori clair, alors que si Wormhole gagne, il n'y a pas de favori clair », a expliqué Pellegrino à CoinDesk.

Prestwich nie avoir été motivé à dénigrer LayerZero comme ONEun de ses concurrents. « Je pense qu'il est difficile de qualifier Nomad de concurrent compte tenu de la situation actuelle », a-t-il déclaré à CoinDesk. Suite au piratage de l'été dernier, « nous n'avons T déployé de pont ni de protocole de messagerie inter-chaînes depuis environ six mois. »

Prestwich a déclaré à CoinDesk qu'un électeur Uniswap lui avait demandé d'auditer le code de LayerZero « en tant que tiers désintéressé », compte tenu de sa vaste expérience en Technologies de pont inter-chaînes et du langage de programmation Solidity. Prestwich a précisé que la personne ayant demandé l'audit ne travaillait pas pour Uniswap, mais il a refusé de commenter son éventuelle implication dans Wormhole.

Prestwich a déclaré qu'il n'avait pas reçu de paiement pour ses recherches et qu'il ne les avait montrées à personne d'autre que LayerZero avant la publication.

CORRECTION (30 janvier, 21h25 UTC) : Prestwich a été invité à auditer le code de LayerZero « en tant que » tiers désintéressé dans le vote Uniswap , et non « par » un tiers désintéressé dans le vote.