宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > DAI > 正文

为何波卡在完成安全审计后却拒绝处理提示风险?

作者:

时间:1900/1/1 0:00:00

为何波卡在完成安全审计后却拒绝解决风险问题?

我们Web3Foundation的使命是促进下一代互联网的发展:旨在建立一个去中心化的,公平的网络,在该网络上用户可以控制自己的数据,市场可以从网络效率和安全性中受益。这篇文章我们在其中报告了为加强我们的系统而进行的安全审核的相关内容。

该安全审计工作由信息安全公司AtredisPartners进行,该公司在渗透测试,逆向工程,硬件/软件开发以及嵌入式系统设计评估方面拥有丰富的经验。

什么是安全审计

我们邀请Atredis对波卡Runtime的完整性,机密性和可用性以及波卡验证程序的安全性和可靠性进行了安全性评估。

此链接可阅读整个审核员的报告。

https://assets.polkadot.network/security-audits/Atredis_Partners-Web3-Polkadot-PlatformSecurityAssessment.pdf

以太坊开发者Tim Beiko解释为何柏林升级没有纳入EIP-2537:以太坊开发者Tim Beiko解释为何柏林升级没有纳入EIP-2537表示,其在柏林升级需要更多测试,团队总体都同意,但是当我们讨论将它包含在伦敦升级时,有人提出了一个我们应该使用的新库,并可能修改gas成本,这需要更多的测试,因为它没有削减gas。此外,它从一个非常好的拥有(预存款合约启动以验证存款)变成了“我们在分片之前需要这个”,因此紧迫性大大降低。[2021/6/8 23:21:36]

具体来说,Atredis的审计侧重于:

identifyanddefinekeyattackchainsagainstthePolkadotRuntime

识别并定义针可对波卡Runtime的攻击

识别确认任何可能损害Polkadot交易完整性的事件

动态 | 李启威连发数十条推文释疑:为何看起来Litecoin Core在GitHub没有更新:刚刚莱特币创始李启威连发数十条推文,介绍了莱特币的代码更新情况和开发进展。他表示在8年来,只有少于开发人员致力于Litecoin Core。Adrian Gallagher目前正在领导Litecoin Core的开发,并且已经进行了几年,大家可能不太了解Adrian,因为他不在推特上,但他很棒,他正在悄悄地做Litecoin Core开发的幕后工作。

最近有很多人质疑莱特币在2019年没有更新任何代码,从GitHub上看似乎这样,但这里有两个原因:第一个是莱特币的更新要比比特币滞后几个月,我们发布了几个月前在比特币中发布的代码,这些代码是在2018年编写的。GitHub的有趣之处在于,它使提交的时间保持不变,不管是谁写的,还是什么时候提交到代码库的。因此,比特币开发者因在莱特币代码库中的工作而受到好评。这就会让人看起来,尽管在2019年5月开发并发布了最新的Litecoin Core,但在GitHub你会发现大多数提交都是在2018年完成的。第二个原因是我们没有在主要项目的主分支上工作,将非发布代码签入主分支通常不是好的开发实践。事实上,Adrian一直在他的个人分支上积极地开发Litecoin核心版本0.18.1。

以上是Litecoin Core开发多年来的运作方式,我们去年甚至遇到了用户相同的担忧,有人去年看了我们的主分支工作并声称Litecoin在2018年停止了开发。我打即使在这个解释之后,我们也会在2020年让人感到困惑。

另外,李启威还表示Litecoin Foundation的目的有两个方面:致力于LTC的推广和开发。“在过去的几个月里,我认为一直认为推广比开发更重要,但从长远来看,这两者同样重要。我会努力与社区进行更好的沟通,并提供更频繁的消息同步。”[2019/8/11]

identifycaseswhereattacker-suppliedcodeexecutioncouldbepossible

Facebook Messenger负责人解释为何禁止数字货币广告:Facebook Messenger副总裁David Marcus本周表示,数字货币在他的平台上不会有任何作用。“现在使用加密技术的支付非常昂贵,超级慢,当这一问题解决了,也许我们会做点什么。”本周早些时候,Facebook禁止所有数字货币相关的广告。马库斯解释到:“我们希望保护社区,这最重要,大部分广告都是,我们不能让平台存在。[2018/2/3]

确认是否存在可以执行攻击者提供的代码的可能

确定任何可能会影响Polkadot可信度的情景

确认波卡Runtime架构,开发情况和交易功能,与公认的能够确保最佳加密安全性的做法保持一致

尝试禁用或以其他方式干扰验证人在波卡网络上的正常工作

比特币为何如此疯狂:答案也许在这1000多个账户里:就在上周四晚到今天,几天时间里比特币的疯狂再次呈现:先是价格突破1.5万美元,就也就是突破10万元人民币!紧接着,比特币的价格又跌破13000美元关口。新进的比特币投资者必须警惕:这1000多人或许具有影响比特币整体的定价能力。芝加哥大学基金会前任投资组合经理Ari Paul认为,和任何资产类别一样,大型个人持有者和大型机构持有人可以合谋操纵价格。还有一种可能,这些早期比特币投资者已经彼此认识,因为他们是在早期挖掘加密货币比较容易时进入这个市场,当时“挖矿”行业和币圈的圈子很小。[2017/12/11]

尝试选拔特定的验证人

查看是否有可能强行选拔任免作恶的验证人

报告摘要

评估是由AtredisPartners在2020年1月20日至2月11日进行的。其中包括对通信堆栈的自下而上的分析,针对波卡Runtime源代码以及Kusama网络的动态测试。在测试过程中特别测试了拒绝服务方案和欺诈活动。评估得出了一项严重,一项高,一项中等风险和三项信息方面的发现。

关键的发现是Substrate中的逻辑问题,该逻辑问题允许生成零成本交易。由于平台依赖于各种具有成本因素的交易,因此该问题可能允许作恶方通过向网络发送可能消耗存储空间的潜在免费交易来向网络发送时间延迟的操作,例如投票等,以致造成损失。

该问题可通过更新有关计算权重和费用的逻辑来修正,以便使得指令通行时始终支付费用,同时也可以通过标准化计算自定义权重信息的方式来进行辅助修正。

同时要保证识别出的其他问题不能被用来扰乱或颠覆整个网络秩序。据观察,Rust编程语言的使用大大降低了许多攻击类别的可能性,并且WASMRuntime的使用在沙盒实验的动态代码中非常有效。

对调查结果的回应

问题:通过Utility.batch进行免费交易滥用

性质:严重风险

状态:已解决。并由Atredis通过代码审查进行了验证

https://github.com/paritytech/substrate/pull/4953

问题:通过无效交易对Polkadot节点进行CPU消耗

性质:高风险

状态:已解决。并由Atredis通过代码审查进行了验证

https://github.com/paritytech/substrate/pull/5939

问题:解决P2P身份响应的端点流量反应

Medium性质:中等风险

Won’tFix.回应:不会修复该问题

原因:在公共开放网络中基于Gossip-based的安全广播是一个没有正确答案的问题,不同的机构、学者、工程师提出了各种建议以及半解决方案,但都具有出于自身立场的不同权衡考虑。比特币通过给节点运营商增加执行网络级监控的负担,从而防止了不安全的Gossip,就现有经验来看这在提升性能方面是相当有效的。Polkadot提出并正在执行质押的概念,同时允许执行更多检查。另外,当前正在研究基于由节点自身完成的内置网络监视的解决方案。最后,节点运营商可以对大型比特币节点运营商进行连接和带宽使用方面的经典检查。

问题:解决P2P身份响应的可观测的地址DNS泄漏

性质:仅通知

回应:不会修复该问题

https://github.com/paritytech/substrate/pull/6582

问题:Substratesr25519Pair::Verify调用不推荐使用的函数

性质:仅通知

回应:不会修复该问题

https://github.com/paritytech/substrate/pull/5138

问题:Substrate在from_seed_slice不一致的接口警告

性质:仅通知

回应:不会修复该问题

保持高透明度是我们Web3Foundation最引以为豪的宗旨。因此我们将持续更新这个正在进行当中的系列内容,同时会刊登出我们发现并确定的问题和纠正的步骤。

编译/潜行之尧

标签:TEC比特币LITECOINAztec2009年淘宝买了比特币怎么保存onekeylite怎么用filecoin币怎么交易

DAI热门资讯
欧洲央行行长拉加德:数字欧元对减少现金使用至关重要

.new_summary,blockquote{position:relative;font-size:16px;letter-spacing:1px;line-height:28px;margin-bottom:40px;paddi.

1900/1/1 0:00:00
火币观察:华尔街巨头Guggenheim入局 比特币投资吸引力迅速增长

11月30日,据Deribit报道,华尔街巨头GuggenheimPartners旗下古根海姆宏观机会基金获得了向灰度比特币信托投资5亿美元的权利,这一消息引发了期权市场的大量买入活动,可能会推动比特币的复苏.

1900/1/1 0:00:00
数据显示:以太坊2.0存款合约地址截至18时共收到879424 ETH

据Tokenview.com数据显示:以太坊2.0存款合约地址截至今日18时共计收到2753个创世验证者通过转账存入的21468笔686976个ETH,以及6015笔合约转入的共计192448ETH.

1900/1/1 0:00:00
巍然说币:一直做多一直赚钱,交易其实真的很简单

今日直播回顾: 从周六开始,就是一直告诉大家要做多的思路,今天也是给出18800的目标,成功到达!今天下午直播间给出的BTC的现价多单,晚间成功到达目标18800!孙宇晨:波场TRON网络昨日交易笔数创新高.

1900/1/1 0:00:00
LOEx关于恢复TGC交易对以及充提币公告

尊敬的LOEx用户:TGC技术升级已完成,LOEx国际站将于2020年12月01日09:19恢复TGC/USDT交易对,以及TGC充提币通道,关闭期间给您带来的不便,敬请谅解.

1900/1/1 0:00:00
研究表明,在COVID-19之后的经济中,比特币盗窃可能会加剧

最新研究表明,在COVID-19大流行之后,某些经济体可能崩溃,当地货币暴跌,这将使比特币盗窃“更具吸引力”。该研究题为“网络威胁到金融机构在2021年,”被发布卡巴斯基的网络威胁研究团队.

1900/1/1 0:00:00