Аудит ETH 2.0: основні ризики - пропозицій блоків та протокол P2P


Published on 26 Mar. 2020
Financial 3521844 1280

Компанія з безпеки технологій Least Authority опублікувала аудит специфікацій на ETH 2.0 - довгоочікуваний аналіз протоколу Eтереуму (ETH).

Least Authority проводив аудит ETH 2.0 з січня на прохання Ethereum Foundation. Компанія працювала разом із Фондом протягом усього процесу і 6 березня склала остаточну версію звіту.

Ethereum Foundation доручає Least Authority повноваження щодо аудиту ETH 2.0

Компанія з безпеки переглянула основні специфікації ETH 2.0 для фази 0, специфікації Beacon Chain, документи Beacon Chain Fork Choice, документацію однорангової мережі (P2P), специфікацію Honest Validator та документацію для Go-реалізації  в ETH 2.0. 

У звіті зазначається, що, хоча конкретні аспекти дизайну ETH 2.0 можуть бути переглянуті, "колективна система може працювати не так як задумано".

Звіт підкреслює ризики для пропозицій блоків

Хоча у звіті сказано, що специфікації ETH 2.0 є "дуже продуманими та всебічними", там також зазначають, що "безпека була уважно вивчена на етапі проєктування", Least Authority підкреслює занепокоєння щодо рівня P2P та ризику пропозицій блоків.

Дослідники стверджують, що через специфікації мережі  для валідаторів блоків досить просто  встановити IP-адреси інших валідаторів. 

Оскільки документація передбачає, що розробники блоків є загальновідомими, компанія стурбована тим, що зловмисник може намагатися стратегічно виконувати DDoS-атаки.

Звіт також попереджає, що зловмисник може використовувати великий обсяг нод, щоб розпочати цілеспрямовану атаку на тих, хто пропонує блоки.

Least Authority відзначає занепокоєння щодо однорангового протоколу P2P

Компанія також стверджує, що бракує документації, яка б стосувалася систем P2P і записів нод Ethereum node records (ENR) ETH 2.0, підкреслюючи, що вони "не змогли зробити висновок про те, як система P2P включає систему ENR".

"Проблема зі спамом" також визначена в системі обміну повідомленнями протоколу P2P. У звіті зазначається, що відсутність централізованого об'єкта, що здійснює нагляд за діями нод, відкриває можливість для нечесної ноди, яка намагається переповнити мережу необмеженою кількістю старих блок-повідомлень, при цьому отримуючи невеликий штраф.

"Цей тип атаки сповільнить або потенційно зупинить роботу мережі протягом тривалості атаки",

- підсумовують у висновках.

У звіті також підкреслюється занепокоєння щодо "неузгоджених стимулів для пліток" та відсутності "протокольних пліток, стійких до BAR", і закликає Ethereum Foundation регулярно шукати експертні перевірки свого коду.

З 10 проблем, виявлених у підсумковому звіті компанії, дві були вже виправлені, а одну було визнано недійсною.

Вразливість безпеки виявлена ​​серед гаманців Ethereum Dapp

23 березня провайдер криптогаманця ZenGO оголосив, що створив тест-мережу, щоб виділити головний недолік безпеки, що присутній у децентралізованих додатках гаманців (DАpp), - закликаючи провайдерів гаманців інформувати користувачів про цю вразливість.

Тест-мережа ZenGo демонструє, як через авторизацію однієї транзакції між гаманцем користувача та смарт-контрактом DАpp додаток надає дозвіл на доступ до всіх коштів, що є в цьому гаманці.


More news

Чарльз Хоскінсон: Етереум був би кращим, якби Бутерін використовував "Snow White"


Засновник Cardano Чарльз Хоскінсон (Charles Hoskinson) заявив, що Етереум міг би розвиватися більш гладко з додаванням консенсусу Snow White PoS

21 Apr. 2020

Binance Chain оприлюднила White Paper блокчейну, на якому можна розробляти смарт-контракти


Розробники Binance Chain відкрили технічні характеристики для нового блокчейну, який зможе забезпечити складну функціональність смарт-контрактів в екосистемі Binance Coin (BNB)

17 Apr. 2020

Reddit ймовірно планує впровадити систему бонусів, розроблених за стандартом ERC-20


Сьогодні, 13 квітня з’явилася більш детальна інформація щодо системи “Community Points” на базі Redhere. Відео, розміщене на платформі, призначене для демонстрації та відповідає на поширені запитання, як працюватиме система

13 Apr. 2020