以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads
首頁 > 幣贏 > Info

Nexus Mutual:本次漏洞披露帶給我們的啟示是什么?_NEX

Author:

Time:1900/1/1 0:00:00

編者按:本文來自加密谷Live,作者:RoxanaDanila,翻譯:子銘,Odaily星球日報經授權轉載。在過去的一周之內,我們已經收到了兩個負責任的漏洞披露。目前兩個漏洞未被利用而且共同基金沒有任何損失。本文將深入探討兩個漏洞披露的更多細節,我們從中學到了什么,并將其與實踐結合在一起。作為基于以太坊的互助保險平臺,安全性始終是我們開展NexusMutual工作所堅持的重要方面。這是我們產品的核心,而且我們相信若要使得共同基金能夠在現在和未來取得成功,安全性絕對是必要的。我們始終把協議和成員基金的安全置于首位。我們希望每個人都完整閱讀本次漏洞披露,以了解究竟發生了什么,我們從中認識到了什么,并真切希望這些看法能夠為其他團隊在處理類似問題時有所幫助。在2月18日星期二早上,我們收到了安全研究員MuditGupta提交的一份與治理相關的潛在漏洞報告。經過仔細研究,我們證實該漏洞確實存在,并且會對NexusMutual的咨詢委員會和其所有者造成影響,比如可能會為特殊人群授予額外的特權。在NexusMutual中,所有治理措施均須經過成員、咨詢委員和所有者的投票。上述的任一成員都可以提出建議。然而,成員提出的提案必須要由咨詢委員會列入白名單之中。每個治理提案都有一個與之關聯的類別,該類別定義了投票結束時要執行的解決方案。但潛在的漏洞是,在投票時這些提案的解決方案卻并沒有被證明是有效的。因此,咨詢委員會中的成員很有可能將針對特定類別的提案列入白名單,卻在實踐中執行其他操作。這就意味著盡管成員們在為公司變得更好而投票,但他們很有可能在不知情的情況下將票投向了某些惡意行為之中。針對該漏洞,我們提出的解決方法有以下幾點:添加能夠驗證執行方案是否有效的程序以直接解決該漏洞。這將會保證提案中的行為能夠妥善地受到該提案種類的限制。添加能夠針對惡意提案的通用防御措施。比如可為所有的公司提案提供24小時緩沖,并賦予成員在該緩沖期內能夠取消潛在惡意提案的權利。就預防性措施而言,我們決定如果成員提交了一個提案,但該提案遭到其他成員的意外投票,我們可以啟動應急中止程序。我們已一致通過了上述解決方法并開始實行,與此同時繼續審查其他會因該治理漏洞而帶來的潛在影響。上周五,經過了進一步的調查,我們發現某些類別的提案是不能夠用應急中止程序停止的。為了防止這種情況短期內被濫用且為了減弱此類與治理有關的漏洞帶來的影響,我們采取了以下措施:咨詢委員會成員將所有治理提案強制列入白名單,以防止成員率先提出惡意提案;更新公司治理設定,因此任何應急終止程序都不會被咨詢委員會或所有者中的某一成員單方面通過。將該舉措落實之后,任何種類的提案都不會被單方面通過;我們確保了所有的咨詢委員會成員都使用硬件錢包,從而使針對該漏洞的攻擊變得更加困難。盡管目前還沒有任何董事會成員的利益因此受到損害,但在完整的、最新的解決方案落實之前,我們做出了如下假定:任何針對該漏洞的攻擊者必須要使得三名咨詢委員會成員做出妥協才能通過一項惡意提案,而在此期間所有的環節是受制于整個咨詢委員會的投票的。該攻擊者需要一位咨詢委員會的成員做出妥協,但該成員是否能夠成為咨詢委員會的成員之一,以及后來會投票支持該惡意法案,仍受制于其他成員的投票。為了使得整個流程更加透明,咨詢委員會的成員擁有如下權利:每一個咨詢委員會成員都可以歸類一項提案;至少需要三名咨詢委員會成員來設定提案的默認結果;至少需要三名咨詢委員會成員才能啟動應急中止程序;至少需要三名咨詢委員會成員才能改變提案的核心部分或者是外部feed地址。以往所有者的職責不僅是在需要的情況下為核心部分更新地址,還需要更新貨幣feed地址和交易信息,我們預計可能很快需要在這兩方面進行更改。嚴格意義上來說,現在所有者的上述職責仍然存在,但是已經和咨詢委員會的職責有效融合,因為在將所有者的的權力過渡給咨詢委員會投票后,所有者現在擁有與之前同樣的特權。盡管我們承認在委員會中大家還是相互高度信任的,但是更值得一提的是,我們現在還擁有額外的法律保護層來確保所有的咨詢委員會成員都要向共同基金和其他成員負有特定的法律義務。現如今,針對該治理漏洞的永久性修復措施已經處于最后階段,并將會在幾天內落實。在所有修復工作完成之前,針對于該披露所暴露出的問題,我們設立的所有謹慎的治理措施都是穩健的,足以應對各類惡性提案,我們對此充滿信心。在2月20日周四上午,我們從安全研究人員Samczsun那收到了一份有關另一個漏洞的報告,而該漏洞會讓共同基金受到損失。我們很快確認該漏洞的確存在。在收到報告的4個小時內,我們立即停止了與Uniswap的交互,而這也就意味著該漏洞無法被利用。目前共同基金仍以DAI和ETH的形式持有。無論何時贖回請求被接受,共同基金都必須確保基金有充足的資金來支付我們的成員對應幣種的需求。在此之前,如果待支付的金額超過了一定門檻,共同基金就會將額外需要的金額以批量售賣其他幣種的方式進行支付,而這個過程需要一定的延遲時間,之后該基金則會依賴于Oraclize并且經由Uniswap軋平賬戶。但這整個過程有兩個給攻擊者可乘之機的漏洞:處理Oraclilze撤回資金的功能是不受保護的——而這可使得任何成員來發起撤回。在此之前該項功能是在Oraclize撤回資金失敗時才可使用的。然而,這是一個錯誤的結構性決定。以往假定該功能只能被每一個ID使用一次,因此整個過程就缺乏了重播保護。我們確實承認,已經有人警告不要以這種方式使用Uniswap,并且已知這種方式容易受到此類攻擊。除此之外,bZx事件對我們來說也應該是一個巨大的危險信號,盡管我們應該早些修復該項漏洞。過去我們將它看作是重新審視我們所有的第三方整合的警鐘,并且制定了在他們失效后的應急預案。應急預案將會被記錄下來并且在接下來的幾周內與所有的社區分享。對于共同基金來說,擁有足夠的對應幣種儲備來承兌所有贖回請求是非常重要的。短期之內,如果要支付有關DAI的贖回,我們將向咨詢委員會提議一個治理提案以將ETH換為所需的DAI來支付贖回請求。而在長期之內,我們將尋求與具有抗操縱性的去中心化交易所合作,現在我們已經在評估有哪些交易所可供選擇了。這些漏洞披露將會受到獎勵嗎?

Layer2互操作性協議Connext宣布將支持zkSync網絡:2 月 8 日,Layer2 互操作性協議 Connext 宣布支持 zkSync 網絡,用戶很快將能夠在 11 個已支持的鏈和 zkSync 之間即時且廉價地轉移資產,這同時意味著用戶將能夠直接從其他 L2 或側鏈系統加入和退出 zkSync 生態系統,完全避免了支付 L1 gas 成本。[2022/2/8 9:37:29]

MuditGupta將會因其負責任的漏洞披露獲得$2000的獎勵金。根據威脅矩陣,我們將此漏洞設為一般嚴重等級,因為該漏洞具有較大影響但較低利用可能性的特點。Samczsun將會因其負責任的漏洞披露獲得$5000的獎勵金。根據威脅矩陣,我們將此漏斗設為非常嚴重等級,因為該漏洞具有較大影響且中等利用可能性的特點。另外,我們將發布漏洞獎金計劃,更多細節之后會公布。我們的代碼經過審計了嗎?

我們的代碼在上線前就已經在2019年4月被Solidified團隊審計過,而且他們對代碼更新非常保守,目前僅有過三次小型升級。在本次的漏洞披露之前,他們已經安排了一次完全的審計,將于本月底開始,以檢查相關升級細節,該流程耗時較短。為什么還沒有啟動應急中止程序?

8i股東已批準與Diginex的并購協議:9月16日,納斯達克上市公司8i Enterprises Acquisition Corp公司股東以81%的支持率批準了與香港Diginex交易所的并購協議。據悉,Diginex在2月份就已獲得了美國SEC監管機構的并購批準。

此前7月末消息,總部位于中國香港的加密貨幣和區塊鏈服務公司Diginex Ltd.將于9月份在納斯達克上市。Diginex首席執行官Richard Byworth表示,與8i Enterprises Acquisition Corp的交易已從6月份推遲,但目前已獲得美國SEC的上市批準,并將于9月15日由股東投票決定。目前的上市公司8i將在9月20日至23日之間變成Diginex,股票代碼JFK也將隨之改變。(CoinDesk)[2020/9/16]

盡管應急中止程序一向是我們的備選項,但是我們已經減弱了所有已知的惡意攻擊媒介。且觸發應急中止程序會給我們的成員們引入其他麻煩,比如會使得潛在的贖回延期,或者是成員基金會在中止期間被鎖定。我們正在制定出綜合的解決方案,而這些解決方案則要求協議的升級和進一步的安全審計。從中得到的教訓

動態 | Bittrex 和 Bitfinex或正加大用戶身份認證力度:社交媒體用戶曝出的信息顯示,Bittrex 和 Bitfinex 兩家交易所正在加大用戶身份認證力度。Reddit 上有帖子曝出,Bitfinex 向用戶發出郵件,要求用戶提供更多賬戶信息,甚至要求提供身份證明掃描件和手持身份證明的照片。推特上則有帖子曝出,有用戶收到了 Bittrex 提出的提供雇員證明或退休收入證明的要求。 目前這僅是個別現象還是普遍現象尚不清楚。[2019/6/13]

為了成功進行負責任的漏洞披露,每個團隊都必須在任何時間都處于可聯系的狀態。我們已經更新了安全聯系方式信息,以便可以在7*24小時內聯系到我們;漏洞獎金計劃和負責任的披露制度對于鼓勵正確的報告非常重要,以保護我們免受漏洞被利用而帶來的損害。盡管我們團隊并沒有大量的資金,但我們會認真對待,更多細節之后會公布;制定安全響應程序對于讓我們快速有效地回應此類事件十分關鍵。現在我們的制度規定了我們要有一個所有團隊成員都熟知的清晰的應急預案。我們將會確保后續影響的調查和報告的確認工作平行開展;代碼的審計并不會發現所有的漏洞。您永遠無法對智能合約功能進行足夠的測試。而且,Defi應用程序極容易受到廣泛的的攻擊。我們將擴展團隊的安全性專業知識技能。我們再次對Samczsun和MuditGupta的披露表達感謝。整個以太坊生態系統都將受益于他們所做出的貢獻,我們的用戶資金也會愈發安全。除此之外,十分感謝整個Nexus團隊在過去幾天所付出的努力。我們已經非常嚴肅的對待這些漏洞,且在整個過程中學到了很多,并將繼續著眼和改善所有有關安全性的事宜。

動態 | EOSfinex計劃在今年第一季度正式發布:據IMEOS消息,EOSfinex 發布文章介紹交易所的技術性細節結構。文中主要介紹其額外的網頁接口協議及其授權和預簽,并附帶了一個利用 Scatter 做的視頻展示。 據官方介紹,EOSfinex計劃在今年第一季度正式發布。[2019/2/19]

EOS將大量ETH轉移至Bitfinex,引發市場擔憂:據bitcoinist消息,以太坊公有鏈證實EOS最近向Bitfinex發送了20萬個ETH,致使EOS的ICO智能合約價值超100萬美元的ETH。短時大規模的轉移,引發市場擔憂。[2018/6/2]

Tags:NEXINEBITFINNEX幣coinegg聚幣國際BITMETA價格Rin Finance Coin

幣贏
FCoin 張健自爆「真相」后,投資者討問兩大核心問題_COIN

編者按:本文來自區塊律動BlockBeats,作者:0x66,Odaily星球日報經授權轉載。「沉默就是最大的不道德.

1900/1/1 0:00:00
疫情危機下的比特幣,對減半行情是否會有影響?_比特幣

經歷了前幾年的起起伏伏,區塊鏈好像進入到了一個平穩發展的階段,在過去的一年里,我們看到了傳統公司強勢入場,看到了國家對行業進行系統的鼓勵與監管,看到了諸多明星項目的開發.

1900/1/1 0:00:00
Plasm 鎖倉空投(Lockdrop)介紹_ETH

編者按:本文來自PolkaWorld,Odaily星球日報經授權轉載。單個的ETH交易到我們的鎖倉空投合同中允許你映射你的令牌。任何帳戶都可以通過硬件或軟件錢包執行此操作.

1900/1/1 0:00:00
一場收購引發的“宮斗劇”:Steemit團隊與社區宣戰_STEEM

編者按:本文來自巴比特資訊,作者:YilunCheng,編譯:Wendy,星球日報經授權發布。去中心化內容平臺Steemit最近與波場基金會合作了.

1900/1/1 0:00:00
繼MakerDAO之后,還有哪些DeFi項目值得關注?_COM

編者按:本文來自頭等倉區塊鏈研究院,Odaily星球日報經授權轉載。目前,DeFi協議中最為矚目的無疑是MakerDAO,它不僅是去中心化金融的主要參與者,還負責創建和管理DAI去中心化算法穩定.

1900/1/1 0:00:00
疫情下資金短缺的中小企業,真能貸到款嗎?_區塊鏈

文|王也編輯|郝方舟出品|Odaily星球日報 己亥末,庚子春,新冠病驟然來襲,蔓延之勢和影響之廣超出了眾人想象。企業停擺,工廠停產,不少員工在家隔離,人心惶惶.

1900/1/1 0:00:00
ads