经以太坊基金会委托的技术安全公司已对ETH 2.0的代码存储库进行审核,并发布了其报告的最终版本,技术安全公司Least Authority发布了一份关于ETH 2.0规范的审计报告,这是人们期待已久的以太坊协议的全面修订。
在以太坊基金会的要求下,Least Authority在一月份审计了ETH 2.0.该公司全程与基金会合作,于3月6日完成了报告的最终版本。
以太坊基金会委托Least Authority审计ETH 2.0
该安全公司审查了阶段0核心ETH 2.0规范、信标链规范、信标链分叉选择文档、点对点(P2P)网络文档、城市验证程序规范以及ETH 2.0的Go Implementation文档。
报告指出,虽然可以对ETH 2.0的设计的具体方面进行审查,但“集体系统的行为可能与预期不同”。
报告强调了区块提议者的风险
尽管该报告发现ETH 2.0 规范“考虑得很周到,很全面”,但也指出了“在设计阶段,安全性是一个重要的考虑因素”,Least Authority还强调了对P2P层的担忧,以及区块提议者的风险。
研究人员断言,网络规范使得区块验证器很容易建立其他验证器的IP地址。
报告中暗示说区块提议者是公共知识,因此该公司担心攻击者可能会试图战略性地实施拒绝服务(DDoS)攻击。
该报告还警告说,攻击者可以使用大量节点对区块提议者发起有针对性的攻击。
Least Authority指出对P2P网络协议的担忧
该安全公司声称,网路缺少ETH 2.0的P2P和以太坊节点记录(ENR)系统的文档,并强调这样“无法得出P2P系统如何合并ENR系统的结论”。
在协议的P2P消息系统中也发现了一个“垃圾邮件问题”。报告警告说,如果没有一个集中的实体来监督节点的行为,就有可能出现一个不诚实的节点试图用无限数量的旧区块消息来淹没网络,而不会受到什么惩罚。
调查结果表示:“这类攻击会在执行期间减慢或者可能停止网络处理。”
该报告还强调了对“错位的流言激励措施(misaligned gossip incentives)”和缺乏“BAR-弹性流言算法(BAR-resilient gossip protocol)”的担忧,并敦促以太坊基金会寻求同行对其代码进行定期审查。
该公司的最终报告中确定了10个问题,其中两个已得到解决,还有一个被确定为无效。
以太坊 Dapp钱包中发现安全漏洞
3月23日,加密货币钱包提供商ZenGO宣布已经建立一个测试网,该测试网可以突出Dapp钱包普遍存在的一个重大安全缺陷,并敦促钱包提供商提醒用户这个漏洞。
ZenGo的测试网演示了如何通过授权用户的钱包和Dapp的智能合约之间的单笔交易来授权该应用程序访问钱包中持有的所有资金。
