Nomad 創辦人提出兩大漏洞
跨鏈協議 Nomad 創辦人兼技術長 James Prestwich 在昨晚發布的審計報告中,披露了競爭對手 LayerZero 的兩個重大可信第三方漏洞,並強調此漏洞的利用可能會導致「所有用戶資金」被盜。
根據 James Prestwich 的說法,這兩個漏洞源於 LayerZero 的中繼器,第一個漏洞允許 LayerZero 使用多重簽名發送欺詐性消息,藉此竊取用戶資金;而第二個漏洞則允許預言機(Oracle)和多重簽名簽署過的消息或交易被修改。
James Prestwich 表示,集成 LayerZero 的應用可以透過一些安全偏好的設置來規避第一個漏洞,但第二個漏洞可能難以被永久修復。此外,James Prestwich 還指控,LayerZero 團隊實際上早就意識到上述漏洞,但團隊卻刻意選擇不披露或以其他方式繞過這些漏洞,就連他們團隊自己做的跨鏈橋 Stargate 也沒有針對這些漏洞做出修正,甚至利用這些後門修改 Stargate 的消息。
LayerZero 反擊:100% 與事實不符
針對,競爭對手的指控,LayerZero 執行長 Bryan Pellegrino 表示這些漏洞指控 100% 與事實不符。接受 The Block 採訪時,Bryan Pellegrino 指出受信任的第三方漏洞是很常見的,並不是什麼大問題,因為受信任方通常是值得信賴的,Bryan Pellegrino 還強調,如果今天 LayerZero 否認這種第三方漏洞的可能性那才是真的有問題,代表團隊想要私底下做壞事。
另一方面,Bryan Pellegrino 也在推特上公開表示,James Prestwich 所謂的漏洞事實上是應用集成 LayerZero 的默認設置,所有項目方都可以透過修改安全偏好設置來改善這些問題:
「這些都不是錯誤或嚴重漏洞,這正是系統的構建方式和運行方式。」
最後,Bryan Pellegrino 還酸言酸語的說道,自己的協議被駭客洗劫一空,不專注於自己的程式碼,還有空審計其他協議,這種行為真是有趣。(Nomad 於 2022 年 8 月遭駭 1.9 億美金)
值得一提的是,除了 Bryan Pellegrino 自己以外,包含 Zellic、Zokyo、OtterSec 等審計公司都出面為 LayerZero 說話,也有許多集成 LayerZero 的應用開發者也都紛紛跳出來表示 LayerZero 協議沒有問題。
