技术安全公司Least Authority已经发布了ETH 2.0规范的审计报告,这是人们期待已久的以太坊协议的巨大修改。
根据以太坊基金会的要求,最低授权机构在1月份对ETH 2.0进行了审计。该公司在整个过程中与基金会合作,并于3月6日编制了报告的最终版本。
以太坊基金会委托最少的权力审计ETH 2.0
安全公司审查了第0阶段的核心ETH 2.0规范、信标链规范和信标链分叉选择文档、对等(P2P)网络文档、诚实验证器规范以及ETH 2.0的Go实现文档。
报告指出,虽然ETH 2.0设计的具体方面可以进行审查,但“集体系统的行为可能不符合预期”
报告强调阻止提议者的风险
虽然报告发现ETH 2.0规范是“非常周密和全面的”,指出“在设计阶段,安全性是一个很重要的考虑因素”,但最不权威强调了对P2P层的关注和阻止提议者的风险。
研究人员断言,网络规范使得块验证程序建立其他验证程序的IP地址变得相当容易。
由于文档表明块提议者是公共知识,公司担心攻击者可能会寻求战略性地执行拒绝服务(DDoS)攻击。
报告还警告说,攻击者可以利用大量节点对块提议者发起有针对性的攻击。
权威人士注意到有关P2P网络协议的问题
这家安全公司声称,ETH 2.0的P2P和Ethereum节点记录(ENR)系统缺乏相关文档,强调它们“无法断定P2P系统是如何整合ENR系统的”
协议的P2P消息系统中也发现了一个“垃圾邮件问题”。报告警告说,由于没有一个集中的实体监督节点的行为,不诚实的节点有可能试图用无限数量的旧阻塞消息来压倒网络,同时几乎不会受到惩罚。
研究结果得出结论:“这种类型的攻击会减缓或可能在网络处理的持续时间内停止网络处理。”。
报告还强调了对“错位奖励”和缺乏“有弹性的协议”的担忧,并敦促EythUM基金会寻求对其代码的定期同行评议。
在该公司最终报告中确定的10个问题中,有两个已经得到解决,一个已经被确定为无效问题。
在以太坊Dapp钱包中发现的安全漏洞
3月23日,加密钱包提供商ZenGO宣布,它已经建立了一个测试网,以突出分散应用程序(Dapp)钱包普遍存在的一个主要安全缺陷,敦促钱包提供商让用户意识到该漏洞。
ZenGo的testnet演示了如何通过授权用户钱包和Dapp的智能合约之间的单个交易来授予应用程序访问钱包中所有资金的授权。