Teknoloji güvenlik firması En Küçük Otorite, ETH 2.0'ın (Ethereum'un uzun zamandır beklenen elden geçirilmesi) (ETH) protokol.
En Küçük Otorite denetlenmiş ETH 2.0 Ocak ayında Ethereum Vakfı'nın talebi üzerine. Firma, süreç boyunca Vakıf ile birlikte çalıştı ve raporun son halini 6 Mart'ta derledi.
Ethereum Vakfı, ETH 2.0'ı denetleme konusunda En Az Yetkiliyi görevlendirdi
Güvenlik firması, ETH 2.0'ın temel özelliklerini gözden geçirdi. 0 sahne, İşaret Zinciri gözlükve Beacon Zinciri Çatal Seçimi evraklar, eşler arası (P2P) ağ belgeleme, Dürüst Doğrulayıcı özellikler, Ve belgeleme ETH 2.0'ın Go uygulaması için.
Raporda, ETH 2.0'ın tasarımının belirli yönleri gözden geçirilebilse de, “kolektif sistem amaçlandığı gibi davranmayabilir”.
Rapor, teklif verenleri engelleme risklerini vurgular
Rapor, ETH 2.0 “çok iyi düşünülmüş ve kapsamlı” olarak nitelendirilen “güvenliğin tasarım aşamasında güçlü bir unsur olduğunu” belirten En Az Otorite, P2P katmanıyla ilgili endişeleri ve teklif verenleri engelleme risklerini vurgulamaktadır.
Araştırmacılar, ağ spesifikasyonlarının blok doğrulayıcıların diğer doğrulayıcıların IP adreslerini oluşturmasını oldukça kolay bir görev haline getirdiğini iddia ediyorlar.
Blok önerenleri kamuya açık hale getiren belgelerle firma, bir saldırganın stratejik olarak hizmet reddi (DDoS) saldırıları gerçekleştirmek isteyebileceğinden endişe duymaktadır.
Rapor ayrıca, bir saldırganın blok teklif sahiplerine hedefli bir saldırı başlatmak için çok sayıda düğüm kullanabileceği konusunda da uyarıyor.
En Az Otorite P2P ağ protokolü ile ilgili endişeleri not eder
Güvenlik firması, ETH 2.0'ın P2P ve Ethereum düğüm kayıtları (ENR) sistemlerini çevreleyen belgelerin eksik olduğunu ve “P2P sisteminin ENR sistemini nasıl içerdiğine karar veremediklerini” vurguladı.
Protokolün P2P mesajlaşma sisteminde bir "istenmeyen posta sorunu" da tanımlanır. Rapor, düğümlerin eylemlerini denetleyen merkezi bir varlığın yokluğunun, çok az ceza alırken sınırsız sayıda eski blok mesajıyla ağı boğmaya çalışan sahtekar bir düğüm olasılığını ortaya çıkardığı konusunda uyarıyor.
"Bu tür bir saldırı, yürütüldüğü süre boyunca ağ işlemeyi yavaşlatacak veya potansiyel olarak durduracaktır."
Raporda ayrıca, "yanlış hizalanmış dedikodu teşvikleri" ve "BAR esnek dedikodu protokolü" eksikliği ile ilgili endişeler de vurgulanıyor ve Ethereum vakfına kodunun düzenli akran değerlendirmelerini aramaları yönünde çağrıda bulunuluyor.
Firmanın nihai raporunda tespit edilen 10 sorundan ikisi çözülmüş ve birinin geçersiz bir sorun olduğu belirlenmiştir.
Ethereum Dapp cüzdanları arasında güvenlik açığı tespit edildi
23 Mart'ta kripto cüzdan sağlayıcısı ZenGO açıkladı merkezi olmayan uygulamaları (Dapp) cüzdanlarını kaplayan büyük bir güvenlik açığını vurgulamak için bir test ağı oluşturdu - cüzdan sağlayıcılarını kullanıcıları bu güvenlik açığından haberdar etmeye çağırdı.
ZenGo'nun test ağı, bir kullanıcının cüzdanı ile bir Dapp'ın akıllı sözleşmesi arasında tek bir işleme izin vererek, bu cüzdanda tutulan tüm fonlara erişmek için uygulama yetkisi nasıl verileceğini gösterir.
