L'audit ETH 2.0 met en évidence les risques de blocage des proposants et du protocole P2P

ETH 2.0 Audit Highlights Risks to Block Proposers and P2P Protocol


La société de sécurité technologique Least Authority a publié un audit des spécifications de l'ETH 2.0 – la révision tant attendue de l'Ethereum (ETH) protocole.

Moindre autorité vérifié ETH 2.0 en janvier à la demande de la Fondation Ethereum. L'entreprise a travaillé aux côtés de la Fondation tout au long du processus et a compilé la version finale du rapport le 6 mars.

La Fondation Ethereum confie à Least Authority le contrôle de l'ETH 2.0

La firme de sécurité a passé en revue les principales spécifications ETH 2.0 pour phase 0, la chaîne Beacon spécificationset Beacon Chain Fork Choice les documents, réseau peer-to-peer (P2P) Documentation, le validateur honnête Caractéristiques, et le Documentation pour la mise en œuvre Go de l'ETH 2.0.

Le rapport note que si certains aspects spécifiques de la conception de l'ETH 2.0 peuvent être examinés, «le système collectif peut ne pas se comporter comme prévu».

Un rapport souligne les risques pour bloquer les proposants

Alors que le rapport a constaté que les spécifications ETH 2.0 étaient «très bien pensées et complètes», notant que «la sécurité avait été un facteur important lors de la phase de conception», la Least Authority met en évidence les préoccupations concernant la couche P2P et les risques de blocage des proposants.

Les chercheurs affirment que les spécifications du réseau permettent aux validateurs de blocs d'établir assez facilement les adresses IP des autres validateurs.

La documentation impliquant que les proposants de blocs sont de notoriété publique, la firme craint qu'un attaquant ne cherche à exécuter stratégiquement des attaques par déni de service (DDoS).

Le rapport avertit également qu'un attaquant pourrait utiliser un grand volume de nœuds pour lancer une attaque ciblée contre les proposants de blocs.

La moindre autorité prend note des préoccupations concernant le protocole de mise en réseau P2P

La firme de sécurité affirme que la documentation concernant les systèmes P2P et Ethereum node records (ENR) d’ETH 2.0 fait défaut, soulignant qu’ils n’ont pas pu «conclure comment le système P2P incorpore le système ENR».

Un «problème de spam» est également identifié dans le système de messagerie P2P du protocole. Le rapport avertit que l'absence d'une entité centralisée supervisant les actions des nœuds ouvre la possibilité qu'un nœud malhonnête tente de submerger le réseau avec un nombre illimité d'anciens messages de blocage tout en encourant peu de pénalités.

«Ce type d'attaque ralentirait ou arrêterait potentiellement le traitement du réseau pendant la durée de son exécution», concluent les résultats.

Le rapport souligne également les préoccupations concernant les «incitations aux potins mal alignés» et le manque de «protocole de potins résilient au BAR», et exhorte la fondation Ethereum à demander des évaluations régulières par les pairs de son code.

Sur les 10 problèmes identifiés dans le rapport final du cabinet, deux ont depuis été résolus, et un a été déterminé comme étant non valide.

Vulnérabilité de sécurité identifiée parmi les portefeuilles Ethereum Dapp

Le 23 mars, le fournisseur de portefeuilles cryptographiques ZenGO a annoncé qu'il avait construit un testnet pour mettre en évidence une faille de sécurité majeure dans les portefeuilles d'applications décentralisées (Dapp) – exhortant les fournisseurs de portefeuilles à informer les utilisateurs de la vulnérabilité.

Le testnet de ZenGo montre comment, en autorisant une seule transaction entre le portefeuille d'un utilisateur et un contrat intelligent Dapp, accorde à l'application l'autorisation d'accéder à tous les fonds détenus dans ce portefeuille.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *