咱们Web3 Foundation的使命是促进下一代互联网的发展:旨在树立一个去中心化的,公平的网络,在该网络上用户能够控制自己的数据,市场能够从网络功率和安全性中受益。这篇文章咱们在其间报告了为加强咱们的体系而进行的安全审阅的相关内容。

为何波卡在完成安全审计后却拒绝处理提示风险?

该安全审计作业由信息安全公司Atredis Partners进行,该公司在渗透测验,逆向工程,硬件/软件开发以及嵌入式体系设计评价方面拥有丰富的经历。

什么是安全审计

咱们约请Atredis对波卡Runtime的完整性,机密性和可用性以及波卡验证程序的安全性和可靠性进行了安全性评价。

此链接可阅读整个审阅员的报告。

https://assets.polkadot.network/security-audits/Atredis_Partners-Web3-Polkadot-PlatformSecurityAssessment.pdf

具体来说,Atredis的审计侧重于:

  • identify and define key attack chains against the Polkadot Runtime

  • 识别并界说针可对波卡Runtime的进犯

  • 识别承认任何或许危害Polkadot买卖完整性的事件

  • identify cases where attacker-supplied code execution could be possible

  • 承认是否存在能够履行进犯者供给的代码的或许

  • 承认任何或许会影响Polkadot可信度的情景

  • 承认波卡Runtime架构,开发状况和买卖功用,与公认的能够保证最佳加密安全性的做法保持一致

  • 测验禁用或以其他方法干扰验证人在波卡网络上的正常作业

  • 测验选拔特定的验证人

  • 查看是否有或许强行选拔任免作恶的验证人

为何波卡在完成安全审计后却拒绝处理提示风险?

报告摘要

评价是由Atredis Partners在2020年1月20日至2月11日进行的。其间包含对通讯堆栈的自下而上的剖析,针对波卡Runtime源代码以及Kusama网络的动态测验。在测验过程中特别测验了拒绝服务(DOS)方案和欺诈活动。评价得出了一项严峻,一项高,一项中等危险和三项信息(仅做告诉处理)方面的发现。

要害的发现是Substrate中的逻辑问题,该逻辑问题答应生成零本钱买卖。由于平台依赖于各种具有本钱要素的买卖,因而该问题或许答应作恶方经过向网络发送或许耗费存储空间的潜在免费买卖来向网络发送时间延迟的操作,例如投票等,致使造成丢失。

该问题可经过更新有关核算权重和费用的逻辑来批改,以便使得指令通行时始终付出费用,一起也能够经过标准化核算自界说权重信息的方法来进行辅佐批改。

一起要保证识别出的其他问题不能被用来打乱或颠覆整个网络次序。据调查,Rust编程言语的运用大大降低了许多进犯类别的或许性,而且WASM Runtime的运用在沙盒试验的动态代码中非常有用。

对调查结果的回应

问题:经过Utility.batch进行免费买卖乱用

性质:严峻危险

状况:已处理。并由Atredis经过代码查看进行了验证

https://github.com/paritytech/substrate/pull/4953

问题:经过无效买卖对Polkadot节点进行CPU耗费

性质:高危险

状况:已处理。并由Atredis经过代码查看进行了验证

https://github.com/paritytech/substrate/pull/5939

问题:处理P2P身份呼应的端点流量反响

Medium性质:中等危险

Won’t Fix.回应:不会修正该问题

原因:在公共开放网络中根据Gossip-based的安全广播是一个没有正确答案的问题,不同的组织、学者、工程师提出了各种建议以及半处理方案,但都具有出于本身立场的不同权衡考虑。比特币经过给节点运营商添加履行网络级监控的负担,从而防止了不安全的Gossip,就现有经历来看这在提升性能方面是相当有用的。Polkadot提出并正在履行质押的概念,一起答应履行更多查看。别的,当前正在研讨根据由节点本身完结的内置网络监督的处理方案。最后,节点运营商能够对大型比特币节点运营商进行衔接和带宽运用方面的经典查看。

问题:处理P2P身份呼应的可观测的地址DNS泄漏

性质:仅告诉

回应:不会修正该问题

https://github.com/paritytech/substrate/pull/6582

问题:Substrate sr25519 Pair :: Verify()调用不推荐运用的函数

性质:仅告诉

回应:不会修正该问题

https://github.com/paritytech/substrate/pull/5138

问题:Substrate 在 from_seed_slice()不一致的接口警告

性质:仅告诉

回应:不会修正该问题

保持高透明度是咱们Web3 Foundation最引以为豪的宗旨。因而咱们将继续更新这个正在进行当中的系列内容,一起会刊登出咱们发现并承认的问题和纠正的步骤。

视野开拓

人们对价值的判断,不再拘泥于单纯通过物质和服务的消费来获得满足,而是通过消费人和人之间的关系是否能够得以建立。 而是通过购买商品来促进和人的交流,形成一个圈子。-《第4消費時代》

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注