La piattaforma Bridge LayerZero nega le accuse di aver tenuto Secret il "Backdoor"

Un co-fondatore di LayerZero, che fornisce servizi per aiutare le blockchain a collegare tra loro le risorse digitali, sta negando le accuse di un concorrente secondo cui avrebbe nascosto l'esistenza di una vulnerabilità critica "backdoor" nel suo codice.

James Prestwich, fondatore del servizio di bridging cross-chain Nomad, ha affermato in unpost del blogLunedì LayerZero può aggirare i controlli di sicurezza per passare dati tra blockchain senza il permesso di nessuno.

"Una vulnerabilità di una parte attendibile (chiamata anche 'backdoor') è una capacità non divulgata di una parte attendibile, che può compromettere il funzionamento del sistema", ha spiegato Prestwich in un tweet in cui ha delineato le sue scoperte. Secondo Prestwich, LayerZero ha la capacità di rubare o spostare unilateralmente fondi bloccati con piattaforme che utilizzano i suoi servizi di bridging con impostazioni predefinite.

Bryan Pellegrino, uno dei fondatori di LayerZero, ha affermato che il progetto ha delle capacità simili a backdoor, ma ha negato che la piattaforma abbia mai provato a nasconderle. Pellegrino ha affermato che LayerZero era aperta riguardo alle sue pratiche di sicurezza e ha dato agli sviluppatori la possibilità di impostare parametri che impediscono a LayerZero di accedere a privilegi speciali.

"Quello che sbagliano è che ogni applicazione ha la capacità di selezionare semplicemente le proprie proprietà di sicurezza", ha detto Pellegrino a CoinDesk. "Tutto quello che devi fare è impostare la tua configurazione e non c'è niente che nessuno possa mai fare", ha continuato. "James sa che descrivere qualsiasi cosa come una vulnerabilità di sicurezza critica è folle".

Pellegrino ha ipotizzato che le motivazioni di Prestwich potrebbero essere legate all'imminente voto sulla governance Uniswap per scegliere un fornitore di ponti.

Pellegrino ha affermato che i provider di bridge concorrenti come Nomad e Wormhole hanno le stesse capacità di "backdoor" che Prestwich attribuisce a LayerZero. "Nel caso peggiore, LayerZero è equivalente a come funziona Wormhole o qualsiasi altro livello di messaggistica", ha detto a CoinDesk.

Altri ponti –compreso Nomade, che ha sofferto di unahack a nove cifredurante l'estate – hanno capacità di accesso simili a quelle di LayerZero, ha aggiunto.

"La differenza tra una backdoor e un'assunzione di fiducia è se viene divulgata e documentata o meno, e se il team cerca o meno di nasconderla", ha detto a CoinDesk. Secondo il fondatore di Nomad, LayerZero negato pubblicamente in una discussione sul forum Uniswap , si diceva che avesse qualche tipo di capacità speciale.

"Poiché hanno negato pubblicamente questa capacità, crediamo che stiano deliberatamente nascondendo l'entità del loro controllo sulle applicazioni", ha twittato originariamente Prestwich.

L'auditor del codice di LayerZero, Zellic,twittatolunedì che il team "è stato molto schietto sulle proprietà di sicurezza del sistema, e questo è ampiamente noto e ben documentato".

Prestwich ha ipotizzato che esista un potenziale conflitto di interessi poiché i revisori sono pagati in base al progetto.

"Se chiedi a chiunque su Twitter, 'LayerZero può rubare tuttoPortale stellare fondi?' La risposta sarebbe no. I revisori e LayerZero stanno uscendo allo scoperto e dicono che tutti hanno sempre saputo che avremmo potuto rubare i soldi. Questa non è una difesa e non è nemmeno vera", ha detto a CoinDesk.

Per quanto riguarda il motivo per cui ha deciso di divulgare la "backdoor" nel codice di LayerZero, Prestwich ha affermato nel suo post sul blog: "Abbiamo scelto di divulgare completamente perché crediamo che LayerZero sia a conoscenza di questi problemi e la Dichiarazione informativa pubblica è il modo migliore per spingere gli sviluppatori di app a impostare la configurazione".

Pellegrino ha suggerito che le motivazioni di Prestwich erano più nefaste e legate a un imminente voto sulla governance Uniswap , che vedrà la comunità dietro il più grande exchange decentralizzato selezionare un fornitore di bridge ufficiale. I principali contendenti al voto sono LayerZero e Wormhole, un altro importante servizio di bridge.

"Quello che abbiamo sentito è che tutti i concorrenti in questo momento sono estremamente entusiasti perché se LayerZero vince, manterremo sostanzialmente una chiara posizione di favorito, mentre se Wormhole vince, non ci sarà un chiaro favorito", ha spiegato Pellegrino a CoinDesk.

Prestwich nega di essere stato motivato a screditare LayerZero come ONE dei suoi concorrenti. "Penso che sia difficile descrivere Nomad come un concorrente per chiunque, data la situazione in cui ci troviamo", ha detto a CoinDesk. Come risultato dell'hack dell'estate scorsa, "T abbiamo eseguito un bridge o un protocollo di messaggistica cross-chain per circa sei mesi".

Prestwich ha detto a CoinDesk che un elettore Uniswap gli ha chiesto di verificare il codice di LayerZero "come terza parte disinteressata", data la sua vasta esperienza nella Tecnologie dei bridge cross-chain e nel linguaggio di programmazione Solidity. Prestwich ha detto che la persona che ha richiesto la verifica non lavorava per Uniswap, ma si è rifiutato di commentare se la persona fosse associata a Wormhole.

Prestwich ha dichiarato di non aver ricevuto alcun pagamento per la sua ricerca e di non averla mostrata a nessuno, se non a LayerZero, prima della pubblicazione.

CORREZIONE (30 gennaio, 21:25 UTC): a Prestwich è stato chiesto di verificare il codice di LayerZero "come" terza parte disinteressata nel voto Uniswap , non "da" una terza parte disinteressata nel voto.