Открыть меню

ETH-2.0-Audit-Highlights Risiken zu Blockieren Bieter und P2P-Protokoll


Technology security Firma Mindestens Behörde veröffentlicht eine Revision der Spezifikationen für die ETH 2.0 — die lang erwartete überarbeitung des Astraleums (ETH) – Protokoll.

Mindestens Behörde geprüft ETH 2.0 im Januar auf Antrag des Astraleums-Stiftung. Die Firma arbeitete zusammen mit der Stiftung während des gesamten Prozesses und kompiliert die endgültige Fassung des Berichts am 6. März.

Astraleums Stiftung Kommissionen Mindestens Behörde audit ETH-2.0

Die Sicherheits-Firma überprüft den core-ETH 2.0-Spezifikationen für die phase 0, die Beacon-Chain-specs, und Beacon Kette Gabel Wahl Dokumenten, peer-to-peer (P2P) Netzwerk-Dokumentation, die Ehrlich Validator-Spezifikationen und die Dokumentation für den Go-Implementierung der ETH 2.0.

Der Bericht stellt fest, dass zwar bestimmte Aspekte des ETH-2.0-design überprüft werden kann, “das kollektive system Verhalten sich möglicherweise nicht wie vorgesehen.”

Bericht highlights Risiken zu blockieren Antragsteller

Wenn der Bericht gefunden der ETH 2.0 Spezifikationen für “sehr gut durchdacht und umfassend”, stellt fest, dass “die Sicherheit war ein starker Aspekt in der design-phase,” Mindestens Behörde highlights Bedenken hinsichtlich der P2P-Schicht und Risiken zu blockieren Antragsteller.

Die Forscher behaupten, dass die Netzwerk-Spezifikationen machen es eine ziemlich einfache Aufgabe für die block-Prüfungen zu etablieren, die die IP-Adressen der anderen Prüfer.

Mit der Dokumentation impliziert block Antragsteller sind öffentlich bekannt, die Firma ist besorgt, dass ein Angreifer versuchen, strategisch führen denial-of-service (DDoS) – Attacken.

Der Bericht warnt auch, dass ein Angreifer könnte mit einer großen Menge von Knoten zu starten, einen gezielten Angriff auf block Antragsteller.

Mindestens Behörde Hinweise auf Bedenken hinsichtlich P2P-Netzwerk-Protokoll

Die security-Firma behauptet, dass die Dokumentation den umliegenden ETH 2.0 ist P2P und den Knoten records (ENR) – Systemen fehlt, und betont, dass Sie “nicht den Schluss zu, wie sich die P2P-system beinhaltet die ENR-system.”

Ein “spam-problem” wird auch ermittelt, in das Protokoll-P2P-messaging-system. Der Bericht warnt, dass das fehlen einer zentralen Person zu beaufsichtigen Knoten’ Aktionen eröffnet die Möglichkeit, einen unehrlichen Knoten versucht Sie zu überwältigen wird das Netzwerk mit einer unbegrenzten Anzahl von alten Nachrichten blockieren, während die anfallenden wenig Strafe.

“Diese Art von Angriff würde verlangsamen oder möglicherweise halt network-Verarbeitung für die Dauer der Studie war,” die Erkenntnisse daraus schließen.

Der Bericht verweist auch auf Bedenken hinsichtlich “falsch Klatsch Anreize” und der Mangel an “BAR-widerstandsfähig gossip-Protokoll,” und fordert die Astraleums Stiftung zu suchen, regelmäßigen peer-reviews von seinem code.

Von den 10 identifizierten Probleme in der Firma, Abschlussbericht, zwei haben sich inzwischen geklärt, und man hat festgestellt zu haben, wurde eine ungültige Problem.

Sicherheitslücke identifiziert unter den Dapp Brieftaschen

März 23, Krypto-wallet-Anbieter ZenGO bekannt, dass es gebaut hatte testnet zu markieren eine große Sicherheitslücke durchdringenden dezentrale Anwendungen (Dapp) Brieftaschen — drängen wallet-Anbieter, um Ihre Benutzer über die Schwachstelle.

ZenGo ist testnet zeigt, wie durch die Autorisierung einer Transaktion zwischen einem Nutzer die Brieftasche und ein Dapp smart Vertrag gewährt die Anwendung Autorisierung für den Zugriff auf alle Gelder in das Portemonnaie.

Source: cointelegraph.com

Leave a Reply

Your email address will not be published. Required fields are marked *

© 2020 Crypto-News · All rights reserved
<<2018>>