Informe de auditoría de seguridad Golden Depth 丨ETH 2.0 publicado, en general puede no cumplir con las expectativas

Golden Finance Blockchain, 27 de marzo  La empresa de tecnología de seguridad Least Authority ha publicado oficialmente el informe de auditoría de seguridad sobre la especificación Ethereum 2.0. Una revisión importante.

Least Authority realizó una auditoría de seguridad de Ethereum 2.0 en enero a pedido de la Fundación Ethereum, con la que la empresa trabajó el 6 de marzo. Elaboración de la versión final del informe de auditoría.

Golden Morning News | 19 de julio Durante la noche Actualizaciones importantes: 21:00-7:00 Palabras clave: Subcomité Stablecoin, DeFi, Ripple

1. El gobierno de EE. UU. pospuso el anuncio de las reglas de información de informes de intercambio.

2. La Asociación de Empresas de Activos Cifrados de Japón anunció la creación de un subcomité de monedas estables.

3. Zhu Jiaming: la tecnología DeFi ha destruido por completo la lógica básica de las finanzas tradicionales.

4. Ripple CTO: Ripple planea ingresar al campo DeFi.

5. El valor de mercado total actual de los tokens DeFi supera los US$9 mil millones.

6. El valor total de los activos bloqueados en el ecosistema DeFi superó los $ 2.6 mil millones.

7. El suministro activo de Ethereum en 3-5 años alcanzó un récord de 18 millones de piezas.

8. Comentarista de seguridad cibernética: use la tecnología blockchain para evitar la piratería de Twitter.

9. El tiempo de inactividad del proveedor de servicios de CDN Cloudflare en las primeras horas de ayer provocó una disminución en el volumen de transacciones de Bitcoin. [2020/7/19]

La Fundación Ethereum encarga a la Autoridad Mínima que audite ETH 2.0

Golden Evening News | Lista de acontecimientos importantes en la noche del 28 de febrero: 12:00-21:00 Palabras clave: ataque DDOS, CBDC canadiense, seguridad de activos

1. Aduana de Shanghai: Fortalecer la investigación sobre la innovación del sistema aduanero de nuevas tecnologías como blockchain.

2. Canadá no lanzará una CBDC a menos que Libra tenga éxito.

3. Presidente de SBI: Cooperará con varias compañías de valores para establecer un intercambio privado de tokens de valores.

4. KLM Royal Dutch Airlines utiliza la tecnología blockchain R3 para el procesamiento financiero.

5. Bitfinex sufrió un ataque DDOS.

6. CEO de OKEx: OKEx sufrió otro ataque DDos.

7. El nuevo troyano invade el programa de verificación 2FA de Google para robar códigos o afectar la seguridad de los activos cifrados.

8. La nueva configuración en la versión 80 de Microsoft Edge puede evitar aplicaciones maliciosas de minería de Bitcoin.

9. Bitcoin continuó cayendo, una vez cayendo por debajo de la marca de $ 8,500. [2020/2/28]

La firma de seguridad tecnológica Least Authority revisó la especificación central Ethereum 2.0 de "fase cero", la especificación Beacon Chain y el documento Beacon Chain Fork Choice (Beacon Chain Fork Choice), el documento de red P2P, la especificación Honest Validator (Honest Validator) Validator) y el documento de implementación de Ethereum 2.0 (Implementación Go).

Informe en vivo de Jinse Finance Wu You, socio fundador de Mirror Lake Capital: Blockchain es un mundo completamente nuevo: Informe en vivo de Jinse Finance, en el foro de mesa redonda sobre "Qué actitud adoptar la cadena de bloques" en el Foro de la Cumbre de Blockchain de China de 2018, "La razón La razón por la que la cadena de bloques es emocionante no es la atracción del valor de mercado vertiginoso del año pasado, sino porque la cadena de bloques es un mundo completamente nuevo. En el nuevo mundo de las monedas digitales, la inversión en la cadena de bloques debe centrarse en la acuñación, las transacciones y las aplicaciones. los que acuñan dinero, los que dominan el poder de la computación y los que dominan las transacciones son los verdaderos "Thanos" y tienen derecho a hablar. Al igual que el mundo entero, debemos ser una persona capaz y buena, con energía positiva, valores correctos, y bondad 'Thanos'.[2018/5/20]

El informe de auditoría señaló que, si bien se han revisado aspectos específicos del diseño de ethereum 2.0, es posible que el sistema en su conjunto no esté funcionando como se esperaba.

Informe en vivo de Jinse Finance Co-creador de Elastos, Xu Jizhe: Blockchain finalmente cambiará la percepción de la tradición por parte de las personas: Informe en vivo de Jinse Finance, en la Cumbre Mundial de Blockchain 2018 celebrada el 3 de abril, Elastos Xu Jizhe, la persona creativa de Cloud United, dijo que el La esencia de la cadena de bloques no es una cuestión técnica. Lo que cambia la cadena de bloques no es el costo y la eficiencia, sino la estructura organizativa y el mecanismo de incentivos. En realidad, esta es la razón por la cual la cadena de bloques es tan importante para la mayoría de las personas. La incomprensibilidad de Bitcoin. Porque Bitcoin y la cadena de bloques en última instancia subvierten la cognición de las personas, porque en nuestro concepto tradicional, hay varios conceptos básicos en la transferencia de dinero entre personas. Creo que lo que eventualmente cambiará la cadena de bloques son los conceptos básicos en nuestras mentes sobre la estructura organizacional, los métodos de colaboración y los métodos de incentivos. [2018/4/3]

El informe de auditoría destaca los riesgos del proponente del bloque

Aunque el informe de auditoría cree que la especificación Ethereum 2.0 está bien pensada y es completa, también señala que la seguridad del sistema siempre ha sido una consideración importante en la fase de diseño. Least Authority presta especial atención a la seguridad de la capa P2P. y el riesgo de los proponentes del bloque.

Los investigadores descubrieron que la especificación de red Ethereum 2.0 hace que sea bastante fácil para los validadores de bloques crear las direcciones IP de otros validadores de bloques. Dado que la información del proponente de bloques mencionada en el documento de especificación de Ethereum 2.0 es pública, Least Authority está preocupada de que los atacantes puedan intentar implementar ataques DDoS estratégicamente. También advirtieron en el informe que los atacantes pueden usar una gran cantidad de nodos para lanzar ataques dirigidos a los proponentes de bloques. .

Least Authority cita preocupaciones sobre los protocolos de red P2P

Least Authority, la firma de ciberseguridad, también descubrió que Ethereum 2.0 carecía de estabilidad con respecto a P2P y el sistema Ethereum Node Record (ENR), y señaló específicamente que no podían sacar conclusiones sobre cómo funcionaría el sistema P2P con el sistema Ethereum Node Record. . No solo eso, también se encontró un "problema de spam" en el sistema de correo P2P del protocolo Ethereum 2.0,

Least Authority advirtió en el informe que la falta de una entidad centralizada para supervisar el comportamiento de los nodos de Ethereum 2.0 puede generar la posibilidad de que los nodos deshonestos inunden la red de Ethereum con una cantidad infinita de mensajes de bloque antiguos. Al mismo tiempo, habrá casi sin penalización.

La Autoridad Mínima concluye:

"Este tipo de ataque ralentizará la potencia de procesamiento de la red Ethereum durante la ejecución, e incluso puede detener la red".

En el informe de auditoría final de Ethereum 2.0 de Least Authority, se identificaron un total de diez problemas, dos de los cuales se resolvieron y un problema se confirmó más tarde como inválido.

El 23 de marzo, el CEO de ZenGo, Ouriel Ohayon (Ouriel Ohayon), emitió una advertencia y proporcionó una herramienta llamada baDAPProve para demostrar que puede haber problemas de seguridad en las herramientas Ethereum DeFi, y los problemas relacionados aún no se han resuelto por completo. Se informa que la vulnerabilidad no es un error de código, sino un problema con la forma en que la billetera interactúa con los usuarios y establece los permisos de transacción de manera predeterminada.

Después de investigar una gran cantidad de billeteras, incluidas Metamask, Opera e imToken, Oriel Ohayon descubrió que cuando los usuarios aprueban una transacción específica, generalmente también aprueban todas las transacciones futuras de forma predeterminada, lo que es una oportunidad para que los programas maliciosos interactúen con los fondos de los usuarios sin su consentimiento. el conocimiento o el consentimiento abre la puerta a robar potencialmente todas las tenencias de Ethereum.

La vulnerabilidad descubierta por Oriel Ohayon podría provocar un gran conflicto en la criptoindustria, pero ha sido bien documentada. El equipo de ZenGo alertó a los usuarios sobre esta posible vulnerabilidad con una demostración de la herramienta baDAPProve, que mostraba a un usuario enviando varios FRT (una moneda de prueba) a una "aplicación de intercambio no autorizada" y permitiendo que el programa retirara los tokens y realizara transacciones automáticamente. Si los usuarios necesitan usar activos en la plataforma DeFi, deben iniciar una transacción de autorización y establecer un límite de autorización. A veces, para simplificar el proceso del usuario, el límite se establece mucho más allá de la cantidad requerida por el usuario. Para un atacante, esta operación puede usarse para robar los fondos del usuario, incluso si el usuario ya no usa la DApp. baDAPProve puede simular este escenario en la red de prueba y usar esta herramienta para eventualmente robar todos los activos del usuario.

Parte de este artículo está compilado de cointelegraph

Tags：

Huobi App Download