Аудит ETH 2.0: основные риски – предложения блоков и протокол P2P

Компания по безопасности технологий Least Authority опубликовала аудит спецификаций на ETH 2.0 – долгожданный анализ протокола Эфириума (ETH).

Least Authority проводил аудит ETH 2.0 с января по просьбе Ethereum Foundation. Компания работала вместе с Фондом в течение всего процесса и 6 марта составила окончательную версию отчета.

Ethereum Foundation поручает Least Authority полномочия по аудиту ETH 2.0

Компания по безопасности пересмотрела основные спецификации ETH 2.0 для фазы 0, спецификации Beacon Chain, документы Beacon Chain Fork Choice, документацию одноранговой сети (P2P), спецификацию Honest Validator и документацию для Go-реализации в ETH 2.0.

В отчете отмечается, что, хотя конкретные аспекты дизайна ETH 2.0 могут быть пересмотрены, “коллективная система может работатьне так как задумано”.

Отчет подчеркивает риски для предложений блоков

Хотя в отчете сказано, что спецификации ETH 2.0 “очень продуманны и всесторонние”, там также отмечают, что “безопасность была внимательно изучена на этапе проектирования”, Least Authority подчеркивает беспокойство по состоянию уровня P2P и риски предложений блоков.

Исследователи утверждают, что из спецификации сети для валидаторов блоков достаточно просто установить IP-адреса других валидаторов.

Поскольку документация предусматривает, что разработчики блоков является общеизвестными, компания обеспокоена тем, что злоумышленник может попытаться стратегически выполнять DDoS-атаки.

Отчет также предупреждает, что злоумышленник может использовать большой объем нод, чтобы начать целенаправленную атаку на тех, кто предлагает блоки.

Least Authority отмечает обеспокоенность одноранговым протоколом P2P

Компания также утверждает, что не хватает документации, которая бы касалась систем P2P и записей нод Ethereum node records (ENR) ETH 2.0, подчеркивая, что они “не смогли сделать вывод о том, как система P2P включает систему ENR”.

“Проблема со спамом” также определена в системе обмена сообщениями протокола P2P. В отчете отмечается, что отсутствие централизованного объекта, осуществляющего надзор за действиями нод, открывает возможность для нечестной ноды, которая пытается переполнить сеть неограниченным количеством старых блок-сообщений, при этом получая небольшой штраф.

“Этот тип атаки замедлит или потенциально остановит работу сети в течение длительности атаки”,

– заключают в выводах.

В отчете также подчеркивается обеспокоенность “несогласованных стимулов для сплетен” и отсутствие “протокольных сплетен, устойчивых к BAR”, и призывают Ethereum Foundation регулярно искать экспертные проверки своего кода.

Из 10 проблем, выявленных в итоговом отчете компании, две были уже исправлены, а одна была признана недействительной.

Уязвимость безопасности обнаружена среди кошельков Ethereum Dapp

23 марта провайдер криптокошелька ZenGO объявил, что создал тест-сеть, чтобы выделить главный недостаток безопасности, присутствующий в децентрализованных приложениях кошельков (DАpp) – призывая провайдеров кошельков информировать пользователей об этой уязвимости.

Тест-сеть ZenGo демонстрирует, как через авторизацию одной транзакции между кошельком пользователя и смарт-контрактом DАpp приложение предоставляет разрешение на доступ ко всем средствам, в этом кошельке.