- Главная
- /
- Безопасность
- /
- Аудит узла Neo X: обнаружение и устранение уязвимостей
Аудит узла Neo X: обнаружение и устранение уязвимостей
54
BlockSec поделилась результатами аудита узла Neo X, на котором были обнаружены три уязвимости, все из которых были устранены.
Аудит сосредоточился на реализации узла Neo X, особенно на модификациях, внесенных в Geth (go-ethereum), откуда был сделан форк узла Neo X. Протокол консенсуса dBFT не входил в область проведения аудита.
BlockSec использовала комбинацию автоматических анализаторов кода, фаззеров и семантического анализа для обнаружения уязвимостей. Также были проведены кросс-проверки потенциальных векторов атак с независимыми аудитами для подтверждения результатов перед предоставлением рекомендаций по исправлению.
Результаты аудита показали одну высокорисковую и две среднерисковые проблемы, все из которых были устранены командой Neo X.
Самая критическая проблема заключалась в недостаточной валидации адресов, отправляющих сообщения через P2P сеть, необходимой для протокола dBFT. Эта уязвимость была устранена путем внедрения проверок в контракт управления для обеспечения правильных разрешений.
Обе среднерисковые проблемы были обнаружены в системе управления. Первая касалась потенциального вектора отказа в обслуживании в контракте управления. Контракт позволял любому пользователю оплатить регистрационный сбор для становления кандидатом валидатора до максимальной вместимости.
Злоумышленники могли воспользоваться этим, используя функцию exitCandidate для полного возврата регистрационного сбора, за вычетом комиссии за транзакцию, позволяя им занимать слоты кандидатов без долгосрочных затрат. Команда Neo X исправила это, сделав полный сбор невозвратным, делая такие атаки чрезвычайно дорогими.
Вторая среднерисковая проблема заключалась в отсутствии таймлока в механизме голосования, используемом для привилегированных операций в контракте управления. Это могло бы позволить враждебному захвату списка валидаторов currentConsensus. Введение таймлока теперь обеспечивает критическое окно спасения для предотвращения потенциальных атак от злонамеренных предложений.
Оригинальное объявление и отчет об аудите можно посмотреть по следующей ссылке: https://blocksec.com/audit-report/audit-report-neo-x
Стали известны подробности о вредоносном ПО, ворующем криптовалютные данные из буфера обмена
Kaspersky обнаружила новое вредоносное ПО, кражу криптовалюты через замену адресов в буфере обмена. Угроза может выйти за пределы России. Будьте бдительны! 🛡️💰🖥️🔒
Взлом DEX Filament: потеря 572 тысячи долларов и новые меры безопасности
DEX Filament на экосистеме Sei подвергся взлому на $572K. Злоумышленники манипулировали заказами, но Filament остановила торговлю и работает с правоохранительными органами для возврата средств. 💔🔍💰
Полиция Великобритании и юридические фирмы объединяются для восстановления активов жертв мошенничества с криптовалютой
Полиция Великобритании и юридическая фирма Gowling WLG запустили программу возврата средств жертвам криптомошенничества, уже вернув 2 млн фунтов. Инициатива нацелена на борьбу с преступностью. 💼🚓💰📉
Bank of America отказывается возместить клиенту средства после кражи телефона и мошеннических транзакций
Клиент Bank of America Брендон Уилсон лишился $4,446 после ограбления. Банк отверг его иск о мошенничестве, утверждая, что транзакции были авторизованы. Уилсон надеется на пересмотр дела. 😟💸🏦