金色深度丨ETH 2.0安全審計報告出爐 整體或不符預期_以太坊

金色財經 區塊鏈3月27日訊   安全科技公司Least Authority已經正式發布了對以太坊2.0規范的安全審計報告，以太坊2.0是以太坊區塊鏈迄今為止最受期待、也是最重要的一次全面改革。

在以太坊基金會（Ethereum Foundation）的要求下，Least Authority在今年一月份對以太坊2.0進行了安全審計，該公司在審計過程中與以太坊基金會一起工作，并于3月6日完成了最終版審計報告的編寫工作。

金色晚報 | 12月17日晚間重要動態一覽:12:00-21:00關鍵詞：BTC期權、?Paxos、?OneRiver、Filecoin、摩根溪

1. 數據：BTC期權單日成交額超10億美元，創歷史新高

2. 摩根溪聯合創始人：大戶正在將BTC兌現 暴跌或即將來臨

3. IMF稱通用央行數字貨幣可重塑全球支付未來

4. 灰度資產管理總規模已升至140億美元

5. 數據：比特幣錨定幣鎖倉量突破32億美元

6. Filecoin發布Lotusv1.3.0候選版本，降低網絡Gas消耗

7. Paxos獲1.42億美元C輪融資，PayPalVentures等參投

8. RippleCEO：Ripple與MoneyGram使用XRP結算數十億美元匯款

?9. OneRiver資產管理公司將在2021年初同時持有10億美元BTC和ETH

10. BB：B1正在利用自身的比特幣持倉來打造EOSIO相關產品[2020/12/17 15:35:10]

以太坊基金會委托Least Authority審核ETH 2.0

分析 | 金色盤面：BTC/USD背離尚未消失 短線風險加劇:金色盤面綜合分析： BTC/USD在過去的2小時，出現了大幅上揚，價格突破6900美元，目前看這里匯聚了黃金線和MACD技術背離等多重阻力，多頭短期承壓，需要消耗獲利盤的壓力，如果出現滯漲，有可能加速背離的形成，即便背離消失，也要注意7200美元的強阻力位，所以短線應該保持警惕。[2018/8/28]

科技安全公司Least Authority審查了 “零階段”核心以太坊2.0規范、信標鏈（Beacon Chain）規范、以及信標鏈分叉選擇（Beacon Chain Fork Choice）文檔、P2P網絡文檔、誠實驗證人（Honest Validator）規范、以及以太坊2.0實施實現文檔（Go Implementation）。

分析 | 金色盤面：ETH/USD 負面消息不斷 導致市值銳減:金色盤面綜合分析： ETH/USD 最近負面新聞不斷，雖然V神多次發聲，但是市場并不買賬，剛剛CNN發表觀點，認為投資者情緒低迷，對于整體市場缺乏信心是關鍵，并非ETH的個體問題。通過市場表現，看到ETH在一個下降通道內運行，暫時缺乏技術支撐，投資者可能要有足夠的承受力來面對較長時間的價格走低。[2018/8/24]

該審計報告指出，盡管以太坊 2.0設計的特定方面已經被審查，但該系統整體表現可能并不符合預期。

審計報告強調區塊提議者存在風險

盡管該審計報告認為以太坊2.0規范的確經過深思熟慮且全面，但同時其中也指出系統安全性在設計階段一直是個重要考慮因素，Least Authority尤其關注P2P層的安全性和區塊提議者風險。

金色財經現場報道 STBChain CEO劉海峰：完全去中心化是不現實的:金色財經現場報道，在4月3日舉辦的2018年世界區塊鏈峰會現場，STBChain CEO劉海峰表示：“我們現在一直在強調去中心化這個概念，但目前來講，完全的去中心化是不現實的。以云計算為例，云計算分為公有云與私有云，如果我們在計算的時候全部用公有云去計算，實際上是不太現實的。完全去中心化去做一些事情是不可行的。目前來看，在某些場景還需要一些中心化的內容。以 STB 為例，我們如果把全部軟件上傳到鏈里進行同步，可能需要占用每個節點幾百 G，甚至上 T 的資源，這是一個很不實際的事情。因此我們用區塊鏈去存儲一些特殊性的字符，然后再將這些字符與我們存儲在中心服務器的軟件進行對應與校驗。因此短期來看，完全的去中心化不是很現實，同時這對區塊鏈的整體架構與對架構師的要求都格外的高。”[2018/4/3]

研究人員發現，以太坊2.0網絡規范讓區塊驗證人創建其他區塊驗證人的IP地址變得相當容易。由于以太坊2.0規范文檔中提及的區塊提議者信息都是公開的，因此Least Authority擔心攻擊者可能會試圖從戰略上實施DDoS攻擊，他們在報告中還警告說，攻擊者可能會利用大量節點對區塊提議者發起針對性攻擊。

Least Authority指出對P2P網絡協議的擔憂

Least Authority，這家網絡安全公司還發現以太坊2.0缺乏關于P2P和以太坊節點記錄（ENR）系統的穩定，因此特別指出他們無法得出P2P系統如何與以太坊節點記錄系統協作的結論。不僅如此，以太坊2.0協議的P2P郵件系統中還發現了“垃圾郵件問題”，

Least Authority在報告中警告說，沒有一個中心化實體來監督以太坊2.0節點的行為，這也許會導致出現一種可能性，即：不誠實節點可以用無限量舊區塊消息淹沒以太坊網絡，同時幾乎不會受到任何懲罰。

Least Authority總結說：

“這種類型的攻擊將在執行期間減緩以太坊網絡處理能力，甚至可能會導致網絡停止。”

在Least Authority公司的以太坊2.0最終審計報告中，一共確定了十個問題，其中兩個問題已經解決，還有一個問題之后被確認為無效。

3月23日，ZenGo首席執行官奧里爾?奧哈永（Ouriel Ohayon）發出警告，并提供了一個名為 baDAPProve 的工具，用于演示以太坊 DeFi 工具中可能存在安全問題，而且相關問題尚未得到充分解決。據悉，該漏洞不是代碼錯誤，而是錢包如何與用戶交互以及默認情況下設置交易權限的問題。

奧里爾?奧哈永對包括Metamask、Opera和imToken在內的大量錢包進行研究后發現：當用戶批準特定交易時，默認情況下，他們通常還會批準所有將來的交易，這為惡意程序在用戶不知情或未經其同意的情況下與用戶資金互動打開了大門，甚至可能會竊取整個以太坊資產。

奧里爾?奧哈永發現的這個漏洞可能會引發加密行業重大沖突，但這個漏洞已被充分記錄在案。ZenGo團隊利用baDAPProve工具演示來提醒用戶這個潛在漏洞，其中顯示一名用戶向“流氓交換應用程序”發送了幾枚FRTs(一種測試幣)，并允許該程序提取代幣并自動進行交易。用戶如果需要在 DeFi 平臺使用資產，就需要發起一筆授權交易，并設定一個授權的額度，有時候為了簡化用戶流程會將該限額設置遠超用戶所需的量。對于攻擊者來說，可以利用該操作盜取用戶的資金，哪怕用戶不再使用該 DApp。baDAPProve可以在測試網中模擬該場景，而且使用該工具最終能夠盜取用戶的所有資產。

本文部分內容編譯自cointelegraph

Tags：以太坊THORORIHOR以太坊幣怎么挖礦網站下載THORChainORIGEN價格HORDE幣

UNI