Аудит ETH 2.0: основні ризики - пропозицій блоків та протокол P2P


Published on 26 Mar. 2020
Financial 3521844 1280

Компанія з безпеки технологій Least Authority опублікувала аудит специфікацій на ETH 2.0 - довгоочікуваний аналіз протоколу Eтереуму (ETH).

Least Authority проводив аудит ETH 2.0 з січня на прохання Ethereum Foundation. Компанія працювала разом із Фондом протягом усього процесу і 6 березня склала остаточну версію звіту.

Ethereum Foundation доручає Least Authority повноваження щодо аудиту ETH 2.0

Компанія з безпеки переглянула основні специфікації ETH 2.0 для фази 0, специфікації Beacon Chain, документи Beacon Chain Fork Choice, документацію однорангової мережі (P2P), специфікацію Honest Validator та документацію для Go-реалізації  в ETH 2.0. 

У звіті зазначається, що, хоча конкретні аспекти дизайну ETH 2.0 можуть бути переглянуті, "колективна система може працювати не так як задумано".

Звіт підкреслює ризики для пропозицій блоків

Хоча у звіті сказано, що специфікації ETH 2.0 є "дуже продуманими та всебічними", там також зазначають, що "безпека була уважно вивчена на етапі проєктування", Least Authority підкреслює занепокоєння щодо рівня P2P та ризику пропозицій блоків.

Дослідники стверджують, що через специфікації мережі  для валідаторів блоків досить просто  встановити IP-адреси інших валідаторів. 

Оскільки документація передбачає, що розробники блоків є загальновідомими, компанія стурбована тим, що зловмисник може намагатися стратегічно виконувати DDoS-атаки.

Звіт також попереджає, що зловмисник може використовувати великий обсяг нод, щоб розпочати цілеспрямовану атаку на тих, хто пропонує блоки.

Least Authority відзначає занепокоєння щодо однорангового протоколу P2P

Компанія також стверджує, що бракує документації, яка б стосувалася систем P2P і записів нод Ethereum node records (ENR) ETH 2.0, підкреслюючи, що вони "не змогли зробити висновок про те, як система P2P включає систему ENR".

"Проблема зі спамом" також визначена в системі обміну повідомленнями протоколу P2P. У звіті зазначається, що відсутність централізованого об'єкта, що здійснює нагляд за діями нод, відкриває можливість для нечесної ноди, яка намагається переповнити мережу необмеженою кількістю старих блок-повідомлень, при цьому отримуючи невеликий штраф.

"Цей тип атаки сповільнить або потенційно зупинить роботу мережі протягом тривалості атаки",

- підсумовують у висновках.

У звіті також підкреслюється занепокоєння щодо "неузгоджених стимулів для пліток" та відсутності "протокольних пліток, стійких до BAR", і закликає Ethereum Foundation регулярно шукати експертні перевірки свого коду.

З 10 проблем, виявлених у підсумковому звіті компанії, дві були вже виправлені, а одну було визнано недійсною.

Вразливість безпеки виявлена ​​серед гаманців Ethereum Dapp

23 березня провайдер криптогаманця ZenGO оголосив, що створив тест-мережу, щоб виділити головний недолік безпеки, що присутній у децентралізованих додатках гаманців (DАpp), - закликаючи провайдерів гаманців інформувати користувачів про цю вразливість.

Тест-мережа ZenGo демонструє, як через авторизацію однієї транзакції між гаманцем користувача та смарт-контрактом DАpp додаток надає дозвіл на доступ до всіх коштів, що є в цьому гаманці.


More news

Хвиля колективних судових позовів накрила знані криптокомпанії


У п’ятницю в Нью-Йорку на цілу низку знаних криптовалютних проєктів, серед яких Binance, Civic та Tron, було подано колективні позови до суду

06 Apr. 2020

Oб’єми торгів біткойн-ф'ючерсами сягнули двотижневого максимуму


Біткойн (BTC) знову привертає увагу інвесторів. На це зокрема вказує різке збільшення обсягів продажу на ф'ючерсних ринках, що досягли своїх максимумів з часу падіння основної валюти нижче $4000

03 Apr. 2020

Президент Венесуели підтримав лікарів ейрдропом Petro


Ніколас Мадуро (Nicolas Maduro), колишній водій автобуса та обраний президент Венесуели, оголосив кампанію, скеровану на підтримку медичного персоналу країни в умовах пандемії коронавірусу, і роздав кожному лікарю по одному Petro

03 Apr. 2020