- Главная
- /
- Безопасность
- /
- Аудит узла Neo X: обнаружение и устранение уязвимостей
Аудит узла Neo X: обнаружение и устранение уязвимостей
79
BlockSec поделилась результатами аудита узла Neo X, на котором были обнаружены три уязвимости, все из которых были устранены.
Аудит сосредоточился на реализации узла Neo X, особенно на модификациях, внесенных в Geth (go-ethereum), откуда был сделан форк узла Neo X. Протокол консенсуса dBFT не входил в область проведения аудита.
BlockSec использовала комбинацию автоматических анализаторов кода, фаззеров и семантического анализа для обнаружения уязвимостей. Также были проведены кросс-проверки потенциальных векторов атак с независимыми аудитами для подтверждения результатов перед предоставлением рекомендаций по исправлению.
Результаты аудита показали одну высокорисковую и две среднерисковые проблемы, все из которых были устранены командой Neo X.
Самая критическая проблема заключалась в недостаточной валидации адресов, отправляющих сообщения через P2P сеть, необходимой для протокола dBFT. Эта уязвимость была устранена путем внедрения проверок в контракт управления для обеспечения правильных разрешений.
Обе среднерисковые проблемы были обнаружены в системе управления. Первая касалась потенциального вектора отказа в обслуживании в контракте управления. Контракт позволял любому пользователю оплатить регистрационный сбор для становления кандидатом валидатора до максимальной вместимости.
Злоумышленники могли воспользоваться этим, используя функцию exitCandidate для полного возврата регистрационного сбора, за вычетом комиссии за транзакцию, позволяя им занимать слоты кандидатов без долгосрочных затрат. Команда Neo X исправила это, сделав полный сбор невозвратным, делая такие атаки чрезвычайно дорогими.
Вторая среднерисковая проблема заключалась в отсутствии таймлока в механизме голосования, используемом для привилегированных операций в контракте управления. Это могло бы позволить враждебному захвату списка валидаторов currentConsensus. Введение таймлока теперь обеспечивает критическое окно спасения для предотвращения потенциальных атак от злонамеренных предложений.
Оригинальное объявление и отчет об аудите можно посмотреть по следующей ссылке: https://blocksec.com/audit-report/audit-report-neo-x
«Хакеры теряют 13 млн долларов на панической продаже криптовалюты во время рыночного хаоса»
Хакеры потеряли более 13,4 миллиона долларов, панически продавая ETH в условиях рыночного хаоса. Их действия показывают, что даже опытные злоумышленники могут терпеть убытки. 💸🔍
Пенсионный терапевт из Коннектикута потерял все сбережения в крипто мошенничестве: разоблачение схемы «свинопас»
Пенсионный терапевт из Коннектикута потерял все сбережения, став жертвой крипто мошенничества. ФБР расследует случаи схем «свинопас», пока мошенничество нарастает. 🚨💸
Шутка с ИИ о бездомных пугает американцев и вызывает ложные тревоги в полиции
Полиция предупреждает о вирусной шутке в TikTok с ИИ-изображениями бездомных, вызывающей панику и ложные вызовы 911. Это перегружает экстренные службы и может быть опасно. 🚨😱📞
США получили доступ к 120,000 BTC, угадав приватные ключи из-за уязвимости генератора случайных чисел
США получили доступ к 120,000 биткойнов, угадав приватные ключи из-за уязвимости в генерации ключей. Ошибка затронула более 220,000 адресов. 🔑💰🔍 #Криптовалюты