- Главная
- /
- Безопасность
- /
- Аудит узла Neo X: обнаружение и устранение уязвимостей
Аудит узла Neo X: обнаружение и устранение уязвимостей
10
BlockSec поделилась результатами аудита узла Neo X, на котором были обнаружены три уязвимости, все из которых были устранены.
Аудит сосредоточился на реализации узла Neo X, особенно на модификациях, внесенных в Geth (go-ethereum), откуда был сделан форк узла Neo X. Протокол консенсуса dBFT не входил в область проведения аудита.
BlockSec использовала комбинацию автоматических анализаторов кода, фаззеров и семантического анализа для обнаружения уязвимостей. Также были проведены кросс-проверки потенциальных векторов атак с независимыми аудитами для подтверждения результатов перед предоставлением рекомендаций по исправлению.
Результаты аудита показали одну высокорисковую и две среднерисковые проблемы, все из которых были устранены командой Neo X.
Самая критическая проблема заключалась в недостаточной валидации адресов, отправляющих сообщения через P2P сеть, необходимой для протокола dBFT. Эта уязвимость была устранена путем внедрения проверок в контракт управления для обеспечения правильных разрешений.
Обе среднерисковые проблемы были обнаружены в системе управления. Первая касалась потенциального вектора отказа в обслуживании в контракте управления. Контракт позволял любому пользователю оплатить регистрационный сбор для становления кандидатом валидатора до максимальной вместимости.
Злоумышленники могли воспользоваться этим, используя функцию exitCandidate для полного возврата регистрационного сбора, за вычетом комиссии за транзакцию, позволяя им занимать слоты кандидатов без долгосрочных затрат. Команда Neo X исправила это, сделав полный сбор невозвратным, делая такие атаки чрезвычайно дорогими.
Вторая среднерисковая проблема заключалась в отсутствии таймлока в механизме голосования, используемом для привилегированных операций в контракте управления. Это могло бы позволить враждебному захвату списка валидаторов currentConsensus. Введение таймлока теперь обеспечивает критическое окно спасения для предотвращения потенциальных атак от злонамеренных предложений.
Оригинальное объявление и отчет об аудите можно посмотреть по следующей ссылке: https://blocksec.com/audit-report/audit-report-neo-x
Upbit возместила 8,5 млрд вон жертвам голосового фишинга после хакерской атаки
Upbit возместила 8,5 миллиарда вон 380 жертвам мошенничества после хакерской атаки. Биржа использует FDS и сотрудничает с полицией для защиты активов пользователей. 💰🔒✨ #крипто
Apple признала уязвимость, угрожающую безопасности пользователей криптовалюты: что нужно сделать для защиты
Apple признала уязвимость, угрожающую безопасности пользователей криптовалюты. Обновите программное обеспечение для защиты от атак через JavaScript. Будьте осторожны! 🚨💻🔐
Обвинения пяти хакерам в США: кража 6,3 миллиона долларов в криптовалюте и утечка корпоративных данных.
Министерство юстиции США обвиняет пятерых хакеров в краже 6,3 миллиона долларов в криптовалюте и утечке корпоративных данных. 🔒💰👨💻🚨📊
Binance предупреждает о мошеннических токенах, выдающих себя за официальные
Binance предупредила о мошеннических токенах, которые falsely claim affiliation с платформой. 🚨 Пользователям рекомендовано проверять информацию и проводить собственные исследования. 📈🔍⚠️