金色深度丨ETH 2.0安全审计报告出炉 整体或不符预期_以太坊:哪个不是区块链特性

金色财经 区块链3月27日讯   安全科技公司Least Authority已经正式发布了对以太坊2.0规范的安全审计报告,以太坊2.0是以太坊区块链迄今为止最受期待、也是最重要的一次全面改革。

在以太坊基金会(Ethereum Foundation)的要求下,Least Authority在今年一月份对以太坊2.0进行了安全审计,该公司在审计过程中与以太坊基金会一起工作,并于3月6日完成了最终版审计报告的编写工作。

金色午报|1月13日午间重要动态一览:7:00-12:00关键词:Coinbase、Simplify、数字英镑、OpenSea

1.美国两党议员呼吁商品期货交易委员会加强加密货币监管;

2.Coinbase将收购受到美国CFTC监管的衍生品交易所FairX;

3.Checkout.com完成10亿美元D轮融资,将加强Web3领域的扩张;

4.资产管理公司Simplify向美国SEC提交Web3 ETF申请;

5.英国上议院议员:数字英镑用于零售可能会损害金融稳定;

6.美国服装公司GAP将于Tezos上推出游戏化NFT;

7.全球最大的信用卡和借记卡暗网市场UniCC将于1月22日关闭;

8.OpenSea新增Watchlist功能。[2022/1/13 8:46:19]

以太坊基金会委托Least Authority审核ETH 2.0

金色晚报 | 9月30日晚间重要动态一览:12:00-21:00关键词:浙股交、巴基斯坦、稳定币、SushiSwap、Spadina测试网、中国联通、蚂蚁区块链

1. 浙股交区块链业务系统正式连通证监会监管主链。

2. 巴基斯坦高等法院要求联邦政府、央行等就加密货币禁令提交答复。

3. 数据:过去一年交易所BTC储备减少40万枚。

4. 数据:9月份稳定币总发行量突破200亿美元。

5. Spadina测试网仅13小时即恢复良好运行状态。

6. 中国联通发布基于区块链技术的可信频谱共享方案。

7. SushiSwap官方公布社区四大议案进展。

8. 斯莱克:与蚂蚁区块链科技(上海)签署《蚂蚁区块链溯源平台服务协议》。

9. SushiChef:SUSHI减少供应量已正式启动。[2020/9/30]

科技安全公司Least Authority审查了 “零阶段”核心以太坊2.0规范、信标链(Beacon Chain)规范、以及信标链分叉选择(Beacon Chain Fork Choice)文档、P2P网络文档、诚实验证人(Honest Validator)规范、以及以太坊2.0实施实现文档(Go Implementation)。

金色财经合约播报 | BTC下探后震荡回升:据火币BTC季度合约行情显示,截至16:00(GMT+8),BTC价格暂报6191美元(+0.96%),24小时季度合约成交量16.45亿美元(+47.29%)。

昨日至今,BTC季度合约下探到5800美元,后震荡回升,交易量大幅增加。根据火币合约数据看,BTC总持仓量小幅增加,大户多头持仓增加。季度合约贴水小幅增加。USDT于火币全球站OTC的报价为7.26美元,溢价率为2.40%。溢价率维持稳定。[2020/3/30]

该审计报告指出,尽管以太坊 2.0设计的特定方面已经被审查,但该系统整体表现可能并不符合预期。

金色晚报 | 12月15日晚间重要动态一览:12:00-21:00关键词:外汇管理局、国家治理周刊、莱特币、印度、中装建设

1.国家外汇管理局会议要求:扩大跨境金融区块链服务平台试点范围;

2.国家治理周刊:基于区块链技术加大党风廉政建设力度;

3.南京市南京软件园:重点发展区块链应用等产业集群;

4.中装建设:致力将区块链等技术应用于建筑装饰;

5.莱特币基金会董事推测LTC近四个月来一直在遭受粉尘攻击;

6.中关村区块链联盟理事长:区块链是未来网络空间基础设施的新高地;

7.文化和旅游部党组书记:要积极推进区块链等高新技术与旅游产业融合发展;

8.印度国会议员:印度应接受向加密货币的过渡;

9.比特币日内小幅震荡,最高涨至7200美元,最低跌至7011美元。[2019/12/15]

审计报告强调区块提议者存在风险

尽管该审计报告认为以太坊2.0规范的确经过深思熟虑且全面,但同时其中也指出系统安全性在设计阶段一直是个重要考虑因素,Least Authority尤其关注P2P层的安全性和区块提议者风险。

研究人员发现,以太坊2.0网络规范让区块验证人创建其他区块验证人的IP地址变得相当容易。由于以太坊2.0规范文档中提及的区块提议者信息都是公开的,因此Least Authority担心攻击者可能会试图从战略上实施DDoS攻击,他们在报告中还警告说,攻击者可能会利用大量节点对区块提议者发起针对性攻击。

Least Authority指出对P2P网络协议的担忧

Least Authority,这家网络安全公司还发现以太坊2.0缺乏关于P2P和以太坊节点记录(ENR)系统的稳定,因此特别指出他们无法得出P2P系统如何与以太坊节点记录系统协作的结论。不仅如此,以太坊2.0协议的P2P邮件系统中还发现了“垃圾邮件问题”,

Least Authority在报告中警告说,没有一个中心化实体来监督以太坊2.0节点的行为,这也许会导致出现一种可能性,即:不诚实节点可以用无限量旧区块消息淹没以太坊网络,同时几乎不会受到任何惩罚。

Least Authority总结说:

“这种类型的攻击将在执行期间减缓以太坊网络处理能力,甚至可能会导致网络停止。”

在Least Authority公司的以太坊2.0最终审计报告中,一共确定了十个问题,其中两个问题已经解决,还有一个问题之后被确认为无效。

3月23日,ZenGo首席执行官奥里尔?奥哈永(Ouriel Ohayon)发出警告,并提供了一个名为 baDAPProve 的工具,用于演示以太坊 DeFi 工具中可能存在安全问题,而且相关问题尚未得到充分解决。据悉,该漏洞不是代码错误,而是钱包如何与用户交互以及默认情况下设置交易权限的问题。

奥里尔?奥哈永对包括Metamask、Opera和imToken在内的大量钱包进行研究后发现:当用户批准特定交易时,默认情况下,他们通常还会批准所有将来的交易,这为恶意程序在用户不知情或未经其同意的情况下与用户资金互动打开了大门,甚至可能会窃取整个以太坊资产。

奥里尔?奥哈永发现的这个漏洞可能会引发加密行业重大冲突,但这个漏洞已被充分记录在案。ZenGo团队利用baDAPProve工具演示来提醒用户这个潜在漏洞,其中显示一名用户向“流氓交换应用程序”发送了几枚FRTs(一种测试币),并允许该程序提取代币并自动进行交易。用户如果需要在 DeFi 平台使用资产,就需要发起一笔授权交易,并设定一个授权的额度,有时候为了简化用户流程会将该限额设置远超用户所需的量。对于攻击者来说,可以利用该操作盗取用户的资金,哪怕用户不再使用该 DApp。baDAPProve可以在测试网中模拟该场景,而且使用该工具最终能够盗取用户的所有资产。

本文部分内容编译自cointelegraph

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

水星链

[0:15ms0-1:143ms