為何波卡在完成安全審計后卻拒絕解決風險問題?
我們Web3Foundation的使命是促進下一代互聯網的發展:旨在建立一個去中心化的,公平的網絡,在該網絡上用戶可以控制自己的數據,市場可以從網絡效率和安全性中受益。這篇文章我們在其中報告了為加強我們的系統而進行的安全審核的相關內容。
該安全審計工作由信息安全公司AtredisPartners進行,該公司在滲透測試,逆向工程,硬件/軟件開發以及嵌入式系統設計評估方面擁有豐富的經驗。
什么是安全審計
我們邀請Atredis對波卡Runtime的完整性,機密性和可用性以及波卡驗證程序的安全性和可靠性進行了安全性評估。
此鏈接可閱讀整個審核員的報告。
https://assets.polkadot.network/security-audits/Atredis_Partners-Web3-Polkadot-PlatformSecurityAssessment.pdf
美SEC專員:不明白為何比特幣現貨ETF申請決定需要花費這么長時間:1月5日消息,在周二發布的一份通知中,SEC指出,“指定一個較長的期限來發布批準或不批準該ETF的指令是合適的”。消息傳出后,比特幣的價格并未受到影響,仍在4.7萬美元以下的盤整區間內徘徊。
雖然加密貨幣愛好者已經習慣了比特幣現貨ETF申請被拒絕和延遲,但SEC專員Hester Peirce也想知道為什么要花這么長時間。在接受行業媒體采訪時,Peirce表示:“我不敢相信我們還在談論這件事,就好像我們在等待一件事發生一樣……甚至在最近,我們還否決了一系列的此類ETF申請,而那些聲明仍在使用我認為在現下已經過時的論證方法。”(Cointelegraph)
此前消息,美國SEC已將有關NYDIG比特幣ETF的決定推遲至3月16日。[2022/1/5 8:27:29]
具體來說,Atredis的審計側重于:
以太坊開發者Tim Beiko解釋為何柏林升級沒有納入EIP-2537:以太坊開發者Tim Beiko解釋為何柏林升級沒有納入EIP-2537表示,其在柏林升級需要更多測試,團隊總體都同意,但是當我們討論將它包含在倫敦升級時,有人提出了一個我們應該使用的新庫,并可能修改gas成本,這需要更多的測試,因為它沒有削減gas。此外,它從一個非常好的擁有(預存款合約啟動以驗證存款)變成了“我們在分片之前需要這個”,因此緊迫性大大降低。[2021/6/8 23:21:36]
identifyanddefinekeyattackchainsagainstthePolkadotRuntime
識別并定義針可對波卡Runtime的攻擊
識別確認任何可能損害Polkadot交易完整性的事件
律師Jeremy Hogan:SEC過去曾稱XRP為數字貨幣,必須在法庭上解釋為何現在不予支持:4月6日消息,霍根律師事務所的合伙人杰里米·霍根(Jeremy Hogan)曾在Twitter上表示,2016年美國證券交易委員會(SEC)提到了Ripple以“數字貨幣公司”的身份進行文件研究。
現在,SEC將不得不向法官澄清其如何轉變為“數字安全”公司。(U.today)[2021/4/6 19:51:39]
identifycaseswhereattacker-suppliedcodeexecutioncouldbepossible
確認是否存在可以執行攻擊者提供的代碼的可能
確定任何可能會影響Polkadot可信度的情景
確認波卡Runtime架構,開發情況和交易功能,與公認的能夠確保最佳加密安全性的做法保持一致
動態 | 馬紹爾官員David?Paul發解釋為何馬紹爾群島計劃發布自己的加密貨幣:馬紹爾群島總統助理兼環境部長David?Paul發文解釋為什么馬紹爾群島要發布自己的加密貨幣。 馬紹爾群島共和國自1979年成為獨立民主國家以來,一直使用美元作為貨幣。今天,馬紹爾正在推進使用區塊鏈技術以數字形式發行主權貨幣的計劃。馬紹爾去年通過了《主權貨幣法案》,宣布打算發行一種新貨幣Sovereign (SOV),將與美元一起使用。發行貨幣當然是任何主權國家的特權,但史無前例的是,馬紹爾選擇使用區塊鏈技術發行主權貨幣。 當馬紹爾選擇發行貨幣時,做了三個關鍵的決定。首先,貨幣將基于區塊鏈技術,這對于馬紹爾群島至關重要。第二,貨幣供應量的增長將是預先確定的和防篡改的。最后但同樣重要的是,這種合規性將被納入貨幣協議本身,同時保持個人隱私。 他表示,區塊鏈技術的出現為馬紹爾這樣的小國打開了一個充滿機遇的世界。借助基于區塊鏈的數字貨幣,馬紹爾可以自動化大部分合規負擔,并在國際舞臺上發揮積極作用。區塊鏈讓馬紹爾有機會以反映馬紹爾價值觀的方式最終獲得貨幣獨立。馬紹爾打算以創新和負責任的方式抓住這個機會。[2019/9/4]
嘗試禁用或以其他方式干擾驗證人在波卡網絡上的正常工作
嘗試選拔特定的驗證人
查看是否有可能強行選拔任免作惡的驗證人
報告摘要
評估是由AtredisPartners在2020年1月20日至2月11日進行的。其中包括對通信堆棧的自下而上的分析,針對波卡Runtime源代碼以及Kusama網絡的動態測試。在測試過程中特別測試了拒絕服務方案和欺詐活動。評估得出了一項嚴重,一項高,一項中等風險和三項信息方面的發現。
關鍵的發現是Substrate中的邏輯問題,該邏輯問題允許生成零成本交易。由于平臺依賴于各種具有成本因素的交易,因此該問題可能允許作惡方通過向網絡發送可能消耗存儲空間的潛在免費交易來向網絡發送時間延遲的操作,例如投票等,以致造成損失。
該問題可通過更新有關計算權重和費用的邏輯來修正,以便使得指令通行時始終支付費用,同時也可以通過標準化計算自定義權重信息的方式來進行輔助修正。
同時要保證識別出的其他問題不能被用來擾亂或顛覆整個網絡秩序。據觀察,Rust編程語言的使用大大降低了許多攻擊類別的可能性,并且WASMRuntime的使用在沙盒實驗的動態代碼中非常有效。
對調查結果的回應
問題:通過Utility.batch進行免費交易濫用
性質:嚴重風險
狀態:已解決。并由Atredis通過代碼審查進行了驗證
https://github.com/paritytech/substrate/pull/4953
問題:通過無效交易對Polkadot節點進行CPU消耗
性質:高風險
狀態:已解決。并由Atredis通過代碼審查進行了驗證
https://github.com/paritytech/substrate/pull/5939
問題:解決P2P身份響應的端點流量反應
Medium性質:中等風險
Won’tFix.回應:不會修復該問題
原因:在公共開放網絡中基于Gossip-based的安全廣播是一個沒有正確答案的問題,不同的機構、學者、工程師提出了各種建議以及半解決方案,但都具有出于自身立場的不同權衡考慮。比特幣通過給節點運營商增加執行網絡級監控的負擔,從而防止了不安全的Gossip,就現有經驗來看這在提升性能方面是相當有效的。Polkadot提出并正在執行質押的概念,同時允許執行更多檢查。另外,當前正在研究基于由節點自身完成的內置網絡監視的解決方案。最后,節點運營商可以對大型比特幣節點運營商進行連接和帶寬使用方面的經典檢查。
問題:解決P2P身份響應的可觀測的地址DNS泄漏
性質:僅通知
回應:不會修復該問題
https://github.com/paritytech/substrate/pull/6582
問題:Substratesr25519Pair::Verify調用不推薦使用的函數
性質:僅通知
回應:不會修復該問題
https://github.com/paritytech/substrate/pull/5138
問題:Substrate在from_seed_slice不一致的接口警告
性質:僅通知
回應:不會修復該問題
保持高透明度是我們Web3Foundation最引以為豪的宗旨。因此我們將持續更新這個正在進行當中的系列內容,同時會刊登出我們發現并確定的問題和糾正的步驟。
編譯/潛行之堯
Tags:SECTIMPOLKPARSecuryptoTime Bank TokenPolkaswapTRANSPARENT
親愛的大幣網(Dcoin)用戶:由于OTC系統維護,大幣網(Dcoin)已暫停OTC交易,具體恢復時間,請您耐心等待最新公告。如有任何問題,請咨詢在線客服.
1900/1/1 0:00:00尊敬的用戶: 火幣全球站將支持SPARK官方發起的對XRP持有者的空投SPARK的計劃。具體安排如下:1.充提暫停:火幣全球站將于2020年12月12日07:00(GMT8)暫停XRP的充幣和提.
1900/1/1 0:00:00作者:MYKEY研究員?姚翔為幫助加密市場參與者對穩定幣發展狀態保持更新,我們推出MYKEY穩定幣報告,分享我們對穩定幣發展狀態的解讀、對其發展趨勢的分析.
1900/1/1 0:00:00以太坊2.0信標鏈將于北京時間12月1日晚上20:00正式啟動,這標志著以太坊2.0主網的第一步即將落地.
1900/1/1 0:00:00據OurBit平臺數據中心披露,截至今日11:00,OurBit交易所永續合約過去24小時交易量高達1034.68億元人民幣,24小時漲幅11.66%.
1900/1/1 0:00:0012月1日截至14:00,比特幣價格報19455.31美元,24小時漲幅為5.05%。而此前13:00,比特幣價格曾遭遇短線下跌,跌破19300美元關口,行情仍在波動.
1900/1/1 0:00:00