Результати аудиту ноди Neo X: усунені уразливості
BlockSec поділився результатами аудиту ноди Neo X, три уразливості виправлено
BlockSec оголосив результати останнього аудиту для Neo X, сайдчейну, сумісного з EVM, який нещодавно був запущений Neo. В ході аудиту було виявлено три потенційні уразливості, всі з яких були усунені. Методологія
Аудит був спрямований на реалізацію ноди Neo X, зокрема на модифікації, зроблені з Geth (go-ethereum), з якого було форкнуто ноду Neo X. Протокол консенсусу dBFT не включався в обсяг аудиту.
BlockSec використовував комбінацію автоматизованих аналізаторів коду, фаззерів та семантичного аналізу для виявлення уразливостей. Також проаналізовано потенційні шляхи атак у незалежних аудитах, щоб підтвердити висновки перед наданням рекомендацій щодо виправлення. Висновки
Під час аудиту було виявлено одну високоризикову та дві середньоризикові проблеми, всі які були вирішені командою Neo X.
Найкритичніша проблема полягала в недостатній валідації адрес при надсиланні мережних повідомлень P2P, які є необхідними для протоколу dBFT. Цю уразливість було пом`якшено шляхом впровадження перевірок у контракті управління для забезпечення належних дозволів.
Обидві проблеми середнього ризику виявлені у системі управління. Перша стосувалася потенційного вектора відмови в обслуговуванні в межах контракту управління. Контракт дозволяв будь-якому користувачеві сплатити плату за реєстрацію, щоб стати кандидатом у валідатори до максимальної місткості.
Злочинці могли експлуатувати це, використовуючи функцію exitCandidate, щоб повернути відшкодування повної плати за реєстрацію, мінус витрати на транзакції, що фактично дозволяло їм займати слоти кандидатів без довгострокових витрат. Команда Neo X вирішила це, гарантуючи, що повна плата більше не є поверненою, що ускладнює такі атаки.
Друга проблема середнього ризику стосувалася відсутності часового замка в механізмі голосування, використованому для привілейованих операцій у межах контракту управління. Це могло дозволити ворожому захопленню поточного списка валідаторів currentConsensus. Введення часового замка зараз надає критичне вікно порятунку для запобігання потенційним атакам від зловмисних пропозицій.
Оригінальний оголошення та звіт про аудит можна переглянути за посиланням:
Крадіжка криптовалюти: затримано зловмисників.
Кіберзлочинці затримані за крадіжку $243M криптовалюти Genesis. FBI проводить розслідування. Заморожено $9M. 😱🚔
Компанія Ефена Лабс Призупиняє Роботу Вебсайту Після Взлому Облікового Запису Домену
Атака на домен Ефена Лабс призвела до призупинення роботи вебсайту. Користувачам рекомендовано утриматися від взаємодії з підробленими сайтами. 😱🔒
Небезпека фейкових криптопроектів Трампа
Трамп провалив запуск криптовалюти World Liberty Financial, вірогідно, зловживаючи його імям. Фейкові проекти вже встигли зловживати цим ажіотажем 😬.
Шахрайські схеми з криптовалютами: 5 сигналів небезпеки
Огляд:
Стаття попереджає про шахрайські схеми в криптовалютному світі. Не гарантовані доходи та фальшиві веб-сайти - це ознаки обману. Інвесторам рекомендується бути обережними та перевіряти автентичність платформ та продавців 🛡️.