- Главная
- /
- Безопасность
- /
- Результати аудиту ноди Neo X: усунені уразливості
Результати аудиту ноди Neo X: усунені уразливості
BlockSec поділився результатами аудиту ноди Neo X, три уразливості виправлено
BlockSec оголосив результати останнього аудиту для Neo X, сайдчейну, сумісного з EVM, який нещодавно був запущений Neo. В ході аудиту було виявлено три потенційні уразливості, всі з яких були усунені. Методологія
Аудит був спрямований на реалізацію ноди Neo X, зокрема на модифікації, зроблені з Geth (go-ethereum), з якого було форкнуто ноду Neo X. Протокол консенсусу dBFT не включався в обсяг аудиту.
BlockSec використовував комбінацію автоматизованих аналізаторів коду, фаззерів та семантичного аналізу для виявлення уразливостей. Також проаналізовано потенційні шляхи атак у незалежних аудитах, щоб підтвердити висновки перед наданням рекомендацій щодо виправлення. Висновки
Під час аудиту було виявлено одну високоризикову та дві середньоризикові проблеми, всі які були вирішені командою Neo X.
Найкритичніша проблема полягала в недостатній валідації адрес при надсиланні мережних повідомлень P2P, які є необхідними для протоколу dBFT. Цю уразливість було пом`якшено шляхом впровадження перевірок у контракті управління для забезпечення належних дозволів.
Обидві проблеми середнього ризику виявлені у системі управління. Перша стосувалася потенційного вектора відмови в обслуговуванні в межах контракту управління. Контракт дозволяв будь-якому користувачеві сплатити плату за реєстрацію, щоб стати кандидатом у валідатори до максимальної місткості.
Злочинці могли експлуатувати це, використовуючи функцію exitCandidate, щоб повернути відшкодування повної плати за реєстрацію, мінус витрати на транзакції, що фактично дозволяло їм займати слоти кандидатів без довгострокових витрат. Команда Neo X вирішила це, гарантуючи, що повна плата більше не є поверненою, що ускладнює такі атаки.
Друга проблема середнього ризику стосувалася відсутності часового замка в механізмі голосування, використованому для привілейованих операцій у межах контракту управління. Це могло дозволити ворожому захопленню поточного списка валідаторів currentConsensus. Введення часового замка зараз надає критичне вікно порятунку для запобігання потенційним атакам від зловмисних пропозицій.
Оригінальний оголошення та звіт про аудит можна переглянути за посиланням:
Два задержано по делу о краже криптовалюты на $243 млн
Криптовалютная кража на $243 млн. В результате расследования задержаны два человека. Более $9 млн были заморожены. Киберпреступники использовали украденные средства на покупку роскошных товаров. ФБР произвела облаву в Майами. Нет комментариев от полиции. 🕵️♂️🔒🛡️🚓
Протокол Ethena Labs приостановил деятельность после взлома учетной записи - важное уведомление
Ethena Labs приостановила деятельность из-за взлома сайта. Пользователям рекомендуют не взаимодействовать с поддельными сайтами. ⚠️⛔
Мошенники на крипторынке: фальшивые проекты и убытки.
Обзор: Фальшивые проекты используют имя Трампа для мошенничества. Мошенники заработали миллионы на фальшивых токенах WLFI. Даже официальный запуск еще не состоялся, но уже тысячи потеряли деньги. 😡🚨
Пять ключевых признаков криптовалютной схемы Понзи
Обзор: Схемы Понзи в криптовалюте - ждут убытки. Избегай фейковых сайтов и продавцов. Доходы не гарантированы, будь внимателен! 🚫💰