- Главная
- /
- Безопасность
- /
- Аудит узла Neo X: обнаружение и устранение уязвимостей
Аудит узла Neo X: обнаружение и устранение уязвимостей
BlockSec поделилась результатами аудита узла Neo X, на котором были обнаружены три уязвимости, все из которых были устранены.
Аудит сосредоточился на реализации узла Neo X, особенно на модификациях, внесенных в Geth (go-ethereum), откуда был сделан форк узла Neo X. Протокол консенсуса dBFT не входил в область проведения аудита.
BlockSec использовала комбинацию автоматических анализаторов кода, фаззеров и семантического анализа для обнаружения уязвимостей. Также были проведены кросс-проверки потенциальных векторов атак с независимыми аудитами для подтверждения результатов перед предоставлением рекомендаций по исправлению.
Результаты аудита показали одну высокорисковую и две среднерисковые проблемы, все из которых были устранены командой Neo X.
Самая критическая проблема заключалась в недостаточной валидации адресов, отправляющих сообщения через P2P сеть, необходимой для протокола dBFT. Эта уязвимость была устранена путем внедрения проверок в контракт управления для обеспечения правильных разрешений.
Обе среднерисковые проблемы были обнаружены в системе управления. Первая касалась потенциального вектора отказа в обслуживании в контракте управления. Контракт позволял любому пользователю оплатить регистрационный сбор для становления кандидатом валидатора до максимальной вместимости.
Злоумышленники могли воспользоваться этим, используя функцию exitCandidate для полного возврата регистрационного сбора, за вычетом комиссии за транзакцию, позволяя им занимать слоты кандидатов без долгосрочных затрат. Команда Neo X исправила это, сделав полный сбор невозвратным, делая такие атаки чрезвычайно дорогими.
Вторая среднерисковая проблема заключалась в отсутствии таймлока в механизме голосования, используемом для привилегированных операций в контракте управления. Это могло бы позволить враждебному захвату списка валидаторов currentConsensus. Введение таймлока теперь обеспечивает критическое окно спасения для предотвращения потенциальных атак от злонамеренных предложений.
Оригинальное объявление и отчет об аудите можно посмотреть по следующей ссылке: https://blocksec.com/audit-report/audit-report-neo-x
Два задержано по делу о краже криптовалюты на $243 млн
Криптовалютная кража на $243 млн. В результате расследования задержаны два человека. Более $9 млн были заморожены. Киберпреступники использовали украденные средства на покупку роскошных товаров. ФБР произвела облаву в Майами. Нет комментариев от полиции. 🕵️♂️🔒🛡️🚓
Протокол Ethena Labs приостановил деятельность после взлома учетной записи - важное уведомление
Ethena Labs приостановила деятельность из-за взлома сайта. Пользователям рекомендуют не взаимодействовать с поддельными сайтами. ⚠️⛔
Мошенники на крипторынке: фальшивые проекты и убытки.
Обзор: Фальшивые проекты используют имя Трампа для мошенничества. Мошенники заработали миллионы на фальшивых токенах WLFI. Даже официальный запуск еще не состоялся, но уже тысячи потеряли деньги. 😡🚨
Пять ключевых признаков криптовалютной схемы Понзи
Обзор: Схемы Понзи в криптовалюте - ждут убытки. Избегай фейковых сайтов и продавцов. Доходы не гарантированы, будь внимателен! 🚫💰