Informe de auditoría de seguridad Golden Depth 丨ETH 2.0 publicado, en general puede no cumplir con las expectativas

Golden Finance Blockchain, 27 de marzo  La empresa de tecnología de seguridad Least Authority ha publicado oficialmente el informe de auditoría de seguridad sobre la especificación Ethereum 2.0. Una revisión importante.

Least Authority realizó una auditoría de seguridad de Ethereum 2.0 en enero a pedido de la Fundación Ethereum, con la que la empresa trabajó el 6 de marzo. Elaboración de la versión final del informe de auditoría.

La Fundación Ethereum encarga a la Autoridad Mínima que audite ETH 2.0

La firma de seguridad tecnológica Least Authority revisó la especificación central Ethereum 2.0 de "fase cero", la especificación Beacon Chain y el documento Beacon Chain Fork Choice (Beacon Chain Fork Choice), el documento de red P2P, la especificación Honest Validator (Honest Validator) Validator) y el documento de implementación de Ethereum 2.0 (Implementación Go).

La empresa de software como servicio Crypto APIs se asocia con Sepior para lanzar el servicio de billetera MPC: el 15 de noviembre, la empresa búlgara de software como servicio Crypto APIs lanzó una billetera como servicio (WaaS) mejorada, cuyo objetivo es para proporcionar a las pymes e instituciones una billetera digital multidivisa más segura y protegida. El servicio utiliza métodos avanzados de administración de claves de cifrado de computación multiparte (MPC), proporcionados por Sepior, una empresa de software de seguridad danesa que se especializa en el cifrado de umbral. (Globe Newswire) [2021/11/15 6:52:49]

El informe de auditoría señaló que, si bien se han revisado aspectos específicos del diseño de ethereum 2.0, es posible que el sistema en su conjunto no esté funcionando como se esperaba.

El informe de auditoría destaca los riesgos del proponente del bloque

Aunque el informe de auditoría cree que la especificación Ethereum 2.0 está bien pensada y es completa, también señala que la seguridad del sistema siempre ha sido una consideración importante en la fase de diseño. Least Authority presta especial atención a la seguridad de la capa P2P. y el riesgo de los proponentes del bloque.

DOT supera la marca de los 23 dólares con un aumento intradiario del 1,38 %: los datos de Huobi Global muestran que el DOT ha subido a corto plazo, superando la marca de los 23 dólares, y ahora cotiza a 23,006 dólares, con un aumento intradiario del 1,38 %. fluctúa mucho, así que por favor haga un buen trabajo en el control de riesgos. [2021/5/23 22:33:25]

Los investigadores descubrieron que la especificación de red Ethereum 2.0 hace que sea bastante fácil para los validadores de bloques crear las direcciones IP de otros validadores de bloques. Dado que la información del proponente de bloques mencionada en el documento de especificación de Ethereum 2.0 es pública, Least Authority está preocupada de que los atacantes puedan intentar implementar ataques DDoS estratégicamente. También advirtieron en el informe que los atacantes pueden usar una gran cantidad de nodos para lanzar ataques dirigidos a los proponentes de bloques. .

Least Authority cita preocupaciones sobre los protocolos de red P2P

Least Authority, la firma de ciberseguridad, también descubrió que Ethereum 2.0 carecía de estabilidad con respecto a P2P y el sistema Ethereum Node Record (ENR), y señaló específicamente que no podían sacar conclusiones sobre cómo funcionaría el sistema P2P con el sistema Ethereum Node Record. . No solo eso, también se encontró un "problema de spam" en el sistema de correo P2P del protocolo Ethereum 2.0,

Least Authority advirtió en el informe que la falta de una entidad centralizada para supervisar el comportamiento de los nodos de Ethereum 2.0 puede generar la posibilidad de que los nodos deshonestos inunden la red de Ethereum con una cantidad infinita de mensajes de bloque antiguos. Al mismo tiempo, habrá casi sin penalización.

La Autoridad Mínima concluye:

"Este tipo de ataque ralentizará la potencia de procesamiento de la red Ethereum durante la ejecución, e incluso puede detener la red".

En el informe de auditoría final de Ethereum 2.0 de Least Authority, se identificaron un total de diez problemas, dos de los cuales se resolvieron y un problema se confirmó más tarde como inválido.

El 23 de marzo, el CEO de ZenGo, Ouriel Ohayon (Ouriel Ohayon), emitió una advertencia y proporcionó una herramienta llamada baDAPProve para demostrar que puede haber problemas de seguridad en las herramientas Ethereum DeFi, y los problemas relacionados aún no se han resuelto por completo. Se informa que la vulnerabilidad no es un error de código, sino un problema con la forma en que la billetera interactúa con los usuarios y establece los permisos de transacción de manera predeterminada.

Después de investigar una gran cantidad de billeteras, incluidas Metamask, Opera e imToken, Oriel Ohayon descubrió que cuando los usuarios aprueban una transacción específica, generalmente también aprueban todas las transacciones futuras de forma predeterminada, lo que es una oportunidad para que los programas maliciosos interactúen con los fondos de los usuarios sin su consentimiento. el conocimiento o el consentimiento abre la puerta a robar potencialmente todas las tenencias de Ethereum.

La vulnerabilidad descubierta por Oriel Ohayon podría provocar un gran conflicto en la criptoindustria, pero ha sido bien documentada. El equipo de ZenGo alertó a los usuarios sobre esta posible vulnerabilidad con una demostración de la herramienta baDAPProve, que mostraba a un usuario enviando varios FRT (una moneda de prueba) a una "aplicación de intercambio no autorizada" y permitiendo que el programa retirara los tokens y realizara transacciones automáticamente. Si los usuarios necesitan usar activos en la plataforma DeFi, deben iniciar una transacción de autorización y establecer un límite de autorización. A veces, para simplificar el proceso del usuario, el límite se establece mucho más allá de la cantidad requerida por el usuario. Para un atacante, esta operación puede usarse para robar los fondos del usuario, incluso si el usuario ya no usa la DApp. baDAPProve puede simular este escenario en la red de prueba y usar esta herramienta para eventualmente robar todos los activos del usuario.

Parte de este artículo está compilado de cointelegraph

Tags：

Intercambio de Ethereum