- Главная
- /
- Безопасность
- /
- Аудит узла Neo X: обнаружение и устранение уязвимостей
Аудит узла Neo X: обнаружение и устранение уязвимостей
67
BlockSec поделилась результатами аудита узла Neo X, на котором были обнаружены три уязвимости, все из которых были устранены.
Аудит сосредоточился на реализации узла Neo X, особенно на модификациях, внесенных в Geth (go-ethereum), откуда был сделан форк узла Neo X. Протокол консенсуса dBFT не входил в область проведения аудита.
BlockSec использовала комбинацию автоматических анализаторов кода, фаззеров и семантического анализа для обнаружения уязвимостей. Также были проведены кросс-проверки потенциальных векторов атак с независимыми аудитами для подтверждения результатов перед предоставлением рекомендаций по исправлению.
Результаты аудита показали одну высокорисковую и две среднерисковые проблемы, все из которых были устранены командой Neo X.
Самая критическая проблема заключалась в недостаточной валидации адресов, отправляющих сообщения через P2P сеть, необходимой для протокола dBFT. Эта уязвимость была устранена путем внедрения проверок в контракт управления для обеспечения правильных разрешений.
Обе среднерисковые проблемы были обнаружены в системе управления. Первая касалась потенциального вектора отказа в обслуживании в контракте управления. Контракт позволял любому пользователю оплатить регистрационный сбор для становления кандидатом валидатора до максимальной вместимости.
Злоумышленники могли воспользоваться этим, используя функцию exitCandidate для полного возврата регистрационного сбора, за вычетом комиссии за транзакцию, позволяя им занимать слоты кандидатов без долгосрочных затрат. Команда Neo X исправила это, сделав полный сбор невозвратным, делая такие атаки чрезвычайно дорогими.
Вторая среднерисковая проблема заключалась в отсутствии таймлока в механизме голосования, используемом для привилегированных операций в контракте управления. Это могло бы позволить враждебному захвату списка валидаторов currentConsensus. Введение таймлока теперь обеспечивает критическое окно спасения для предотвращения потенциальных атак от злонамеренных предложений.
Оригинальное объявление и отчет об аудите можно посмотреть по следующей ссылке: https://blocksec.com/audit-report/audit-report-neo-x
Immunefi запускает Magnus для защиты от криптоугроз на $180 миллиардов в реальном времени
Immunefi запускает Magnus для защиты $180 миллиардов в криптоактивах, используя ИИ для реального мониторинга угроз. Новый инструмент поможет предотвратить убытки от хакеров, снизив риски человеческой ошибки. 🚀💰🔒
Криптовалюты восстанавливаются: отчеты Белого дома, инновации SEC и достижения Ethereum
Криптовалюты восстанавливаются после потерь. США должны возглавить криптореволюцию. SEC анонсировала стандарты для ETP. Robinhood и Coinbase показывают отличные результаты. 💰📈 #криптовалюта #Ethereum
Арест сотрудника CoinDCX после хакерской атаки на биржу на $44 миллиона
Сотрудника CoinDCX арестовали после хакерской атаки на $44 млн, использовавшей социальную инженерию. Полиция расследует, а биржа обещает вознаграждение за помощь в возврате активов. 🕵️♂️💰🔑
MEXC отмечает 12%-ное снижение мошенничества благодаря использованию ИИ и региональным инициативам
Биржа MEXC сообщила о снижении мошенничества на 12% во II квартале 2025 года благодаря ИИ и образовательным инициативам. Южная Азия улучшилась на 41%, СНГ - рост на 83%. Запланирована глобальная кампания по безопасности. 📊🔒✨