金色财经 区块链3月27日讯 安全科技公司Least Authority已经正式发布了对以太坊2.0规范的安全审计报告,以太坊2.0是以太坊区块链迄今为止最受期待、也是最重要的一次全面改革。
在以太坊基金会(Ethereum Foundation)的要求下,Least Authority在今年一月份对以太坊2.0进行了安全审计,该公司在审计过程中与以太坊基金会一起工作,并于3月6日完成了最终版审计报告的编写工作。
金色财经行情播报 | BTC下探回升,日线MA5构成支撑:据火币行情显示,今日BTC行情下探回升,上午最低探至9250USDT,随后震荡回升。从日线图看,均线MA5构成支撑助力反弹。4小时图局部保持底比底高趋势,局部行情虽然调整需求还未完全消化,但多头仍有反击后劲。截至18:30,火币平台的主流币的具体表现如下。[2020/5/15]
以太坊基金会委托Least Authority审核ETH 2.0
科技安全公司Least Authority审查了 “零阶段”核心以太坊2.0规范、信标链(Beacon Chain)规范、以及信标链分叉选择(Beacon Chain Fork Choice)文档、P2P网络文档、诚实验证人(Honest Validator)规范、以及以太坊2.0实施实现文档(Go Implementation)。
金色晚报 | 2月19日晚间重要动态一览:12:00-21:00关键词:Tether、CFTC、北方数据、黄金十字、Visa
1. Tether向以太坊网络新增发6,000万枚USDT。
2. 美国商品期货交易委员会(CFTC)意见:Gram是否属于商品并不影响其是否构成证券。
3. 北方数据公司与嘉楠耘智宣布在区块链及AI领域展开合作。
4. 渣打银行聘请Ripple前高管出任CCIB部门全球主管。
5. 印尼海关总署将采用区块链技术降低物流成本。
6.腾讯御见:恶意挖矿程序“快Go矿工”更新,已获利门罗币47个。
7.爱尔兰高等法院没收一贩逾5600万美元比特币。
8. 比特币本周现“黄金十字”,该信号曾出现在60倍反弹前。
9. Coinbase :成为首家 Visa 主会员机构中加密货币公司。
10. 美国总统候选人Mike Bloomberg:创建监管沙箱,为加密货币提供监管框架。[2020/2/19]
该审计报告指出,尽管以太坊 2.0设计的特定方面已经被审查,但该系统整体表现可能并不符合预期。
金色晨讯 | 12月14日隔夜重要动态一览:21:00-7:00关键词:Tether、瑞典央行、LEO、V神、金融壹账通
1. 欧洲央行副行长金多斯:正评估央行数字货币对欧洲公民和经济的价值。
2. Tether向纽约上诉庭提交答复简报:总检察长办公室的陈述存在高度误导性。
3. 纽约总检察长办公室:LEO是类似债务证券的虚拟资产。
4. 瑞典央行将启动数字货币试点项目。
5. 江西省区块链行业协会成立。
6. V神:以太坊基金会在最高点出售了7万枚ETH。
7. 金融壹账通正式登陆纽交所,公开发行3120万股,发行价10.00美元。
8. VeChain基金会回购钱包遭遇黑客攻击,损失11亿枚VET。[2019/12/14]
审计报告强调区块提议者存在风险
金色财经独家分析 区块链产业未来规模大中国脚步积极:金色财经独家分析,根据日本TVTOKYO的WBS栏目消息,日本产经省预计区块链相关市场规模将会达到67兆日元。而根据行业情报公司Reportbuyer公布的报告,全球区块链市场规模将从2017年的4.115亿美元增至2022年的76.837亿美元。全球各国政府认识到区块链技术的巨大应用前景,开始从国家发展层面考虑区块链的发展道路,区块链成为全球各大监管机构、金融机构及商业机构争相研究讨论的对象。国内在区块链产业上也不断发力,2016年12月国务院发布的《“十三五”国家信息规划》首次提到支持区块链技术发展,两次提及“区块链”关键词。2017年2月,央行推动的基于区块链的数字票据交易平台测试成功。国内区块链标准和技术不断完善,应用场景也由金融支付拓展到其它服务领域。2017年向世界知识产权组织(WIPO)提交区块链技术相关专利申请的国家中,中国排名第一。有分析机构指出,未来几年,随着国内资本对于区块链技术的投资力度不断加大,区块链在国内的商业模式逐步成熟,中国的区块链市场将进入高速发展阶段。[2018/5/9]
尽管该审计报告认为以太坊2.0规范的确经过深思熟虑且全面,但同时其中也指出系统安全性在设计阶段一直是个重要考虑因素,Least Authority尤其关注P2P层的安全性和区块提议者风险。
研究人员发现,以太坊2.0网络规范让区块验证人创建其他区块验证人的IP地址变得相当容易。由于以太坊2.0规范文档中提及的区块提议者信息都是公开的,因此Least Authority担心攻击者可能会试图从战略上实施DDoS攻击,他们在报告中还警告说,攻击者可能会利用大量节点对区块提议者发起针对性攻击。
Least Authority指出对P2P网络协议的担忧
Least Authority,这家网络安全公司还发现以太坊2.0缺乏关于P2P和以太坊节点记录(ENR)系统的稳定,因此特别指出他们无法得出P2P系统如何与以太坊节点记录系统协作的结论。不仅如此,以太坊2.0协议的P2P邮件系统中还发现了“垃圾邮件问题”,
Least Authority在报告中警告说,没有一个中心化实体来监督以太坊2.0节点的行为,这也许会导致出现一种可能性,即:不诚实节点可以用无限量旧区块消息淹没以太坊网络,同时几乎不会受到任何惩罚。
Least Authority总结说:
“这种类型的攻击将在执行期间减缓以太坊网络处理能力,甚至可能会导致网络停止。”
在Least Authority公司的以太坊2.0最终审计报告中,一共确定了十个问题,其中两个问题已经解决,还有一个问题之后被确认为无效。
3月23日,ZenGo首席执行官奥里尔?奥哈永(Ouriel Ohayon)发出警告,并提供了一个名为 baDAPProve 的工具,用于演示以太坊 DeFi 工具中可能存在安全问题,而且相关问题尚未得到充分解决。据悉,该漏洞不是代码错误,而是钱包如何与用户交互以及默认情况下设置交易权限的问题。
奥里尔?奥哈永对包括Metamask、Opera和imToken在内的大量钱包进行研究后发现:当用户批准特定交易时,默认情况下,他们通常还会批准所有将来的交易,这为恶意程序在用户不知情或未经其同意的情况下与用户资金互动打开了大门,甚至可能会窃取整个以太坊资产。
奥里尔?奥哈永发现的这个漏洞可能会引发加密行业重大冲突,但这个漏洞已被充分记录在案。ZenGo团队利用baDAPProve工具演示来提醒用户这个潜在漏洞,其中显示一名用户向“流氓交换应用程序”发送了几枚FRTs(一种测试币),并允许该程序提取代币并自动进行交易。用户如果需要在 DeFi 平台使用资产,就需要发起一笔授权交易,并设定一个授权的额度,有时候为了简化用户流程会将该限额设置远超用户所需的量。对于攻击者来说,可以利用该操作盗取用户的资金,哪怕用户不再使用该 DApp。baDAPProve可以在测试网中模拟该场景,而且使用该工具最终能够盗取用户的所有资产。
本文部分内容编译自cointelegraph
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。