Отчет об аудите Neo X Bridge от Secure3

Neo shares audit report from Secure3 for Neo X native bridge

Neo опубликовала результаты аудита, проведенного Secure3, платформой, сотрудничающей с экспертами по безопасности для выявления и устранения угроз протоколам Web3.

Neo Native Bridge, разработанный Bane Labs, был проверен с использованием Secure3 для обеспечения целостности и безопасности передачи активов между Neo N3 и Neo X. Аудит сосредоточился на двух основных компонентах моста: умном контракте моста и коде релея. Аудит контракта моста

Аудит Neo X Bridge Contract обнаружил проблему средней степени тяжести, касающуюся регистрации и дерегистрации токенов, что создавало риск атак повторной передачи. Эта проблема была решена путем изменения системы для предотвращения дерегистрации мостов для токенов, смягчая потенциальный риск.

Кроме того, аудит обнаружил несколько проблем низкой степени тяжести, включая использование safeTransferFrom вместо transferFrom, что могло привести к неожиданному поведению с determinate токенов из-за нестандартных реализаций ERC20. Эта проблема была решена путем применения библиотеки SafeERC20 от OpenZeppelin.

Еще одной проблемой было использование функции ecrecover, которая ограничивала валидаторов во внешних учетных записях и была уязвима к модификации подписи, что потенциально могло привести к подделке или атакам повторной передачи. Эти проблемы либо были признаны для будущего решения, либо устранены путем перехода к более безопасным альтернативам, таким как функция ECDSA.recover из OpenZeppelin.

Также были выявлены и устранены минорные информационные проблемы, такие как несоответствия стиля кода и неиспользуемые ошибки, где это было необходимо. Релеерный аудит моста

Аудит Neo X Bridge Relayer также выявил несколько проблем низкой степени тяжести. Одной из проблем было продолжение работы программы релея бесконечно в случае появления ошибки, не связанной с соединением, что потенциально могло привести к истощению ресурсов. Эта проблема была решена путем обеспечения соответствующего завершения программы в таких сценариях. Другой проблемой была потенциальная атака отказа в обслуживании из-за отсутствия таймаута в функции обработки подписей, что было устранено путем реализации механизма таймаута.

Аудит также выявил небезопасность в процессе проверки подписи, где система не проверяла уникальность подписей, что могло привести к возможным обходам. Эта проблема была признана, планируется ее решение в будущих обновлениях. Кроме того, было выявлено, что жесткое пороговое значение для количества необходимых подписей для операций релея было признано как ограничение, и в планах более гибкий подход для будущих релизов.

Другие информационные проблемы, такие как неправильная обработка дешифрированных учетных записей, небезопасное хранение паролей и риск гонок из-за использования goroutines в циклах, были отмечены. Хотя большинство этих проблем были оперативно решены, некоторые были признаны и выделены для будущих улучшений.

Полные отчеты можно найти по ссылке ниже: Отчет об аудите Neo X от Secure3