為何波卡在完成安全審計后卻拒絕解決風險問題?
我們Web3Foundation的使命是促進下一代互聯網的發展:旨在建立一個去中心化的,公平的網絡,在該網絡上用戶可以控制自己的數據,市場可以從網絡效率和安全性中受益。這篇文章我們在其中報告了為加強我們的系統而進行的安全審核的相關內容。
該安全審計工作由信息安全公司AtredisPartners進行,該公司在滲透測試,逆向工程,硬件/軟件開發以及嵌入式系統設計評估方面擁有豐富的經驗。
什么是安全審計
我們邀請Atredis對波卡Runtime的完整性,機密性和可用性以及波卡驗證程序的安全性和可靠性進行了安全性評估。
此鏈接可閱讀整個審核員的報告。
https://assets.polkadot.network/security-audits/Atredis_Partners-Web3-Polkadot-PlatformSecurityAssessment.pdf
SBF:對SEC為何允許比特幣期貨ETF而不允許現貨比特幣ETF而感到困惑:金色財經報道,今日在美國國會的加密聽證會上,眾議員Tom Emmer向SBF提出了一系列問題,以確定FTX為其用戶提供何種保護。隨后SBF表示,他對美國SEC允許比特幣期貨ETF推出,卻不允許現貨ETF推出感到“困惑”。(CoinDesk)[2021/12/9 12:59:36]
具體來說,Atredis的審計側重于:
identifyanddefinekeyattackchainsagainstthePolkadotRuntime
識別并定義針可對波卡Runtime的攻擊
識別確認任何可能損害Polkadot交易完整性的事件
identifycaseswhereattacker-suppliedcodeexecutioncouldbepossible
網友向推特黑客轉幣包含隱藏信息:比特幣可追蹤 為何不使用門羅幣:7月16日消息,在今日早間推特眾多名人賬戶遭攻擊,并發布數字貨幣釣魚騙局后,根據Reddit網友發布的鏈上數據信息,有用戶正在向黑客相關的七個不同的地址發送0.00005348 BTC(約合0.5美元)。而在這7筆交易中隱藏著一份信息:使用比特幣時您處于危險之中,比特幣可以被追蹤,為何不使用門羅幣。(JP.Cointelegraph)[2020/7/16]
確認是否存在可以執行攻擊者提供的代碼的可能
確定任何可能會影響Polkadot可信度的情景
確認波卡Runtime架構,開發情況和交易功能,與公認的能夠確保最佳加密安全性的做法保持一致
嘗試禁用或以其他方式干擾驗證人在波卡網絡上的正常工作
Facebook Messenger負責人解釋為何禁止數字貨幣廣告:Facebook Messenger副總裁David Marcus本周表示,數字貨幣在他的平臺上不會有任何作用。“現在使用加密技術的支付非常昂貴,超級慢,當這一問題解決了,也許我們會做點什么。”本周早些時候,Facebook禁止所有數字貨幣相關的廣告。馬庫斯解釋到:“我們希望保護社區,這最重要,大部分廣告都是詐騙,我們不能讓平臺存在詐騙。[2018/2/3]
嘗試選拔特定的驗證人
查看是否有可能強行選拔任免作惡的驗證人
報告摘要
評估是由AtredisPartners在2020年1月20日至2月11日進行的。其中包括對通信堆棧的自下而上的分析,針對波卡Runtime源代碼以及Kusama網絡的動態測試。在測試過程中特別測試了拒絕服務方案和欺詐活動。評估得出了一項嚴重,一項高,一項中等風險和三項信息方面的發現。
美國“韭菜”跑步進場 美國70歲買家不知比特幣為何物:據報道,美國70歲的比特幣投資者Rita Scott在孫子的幫助下賣掉了她的比特幣,短短幾周賺了45%的收益率。在這之前,她根本不知道什么是比特幣,還以為是硬幣。而在美國,有很多人甚至想刷信用卡來買比特幣。[2017/11/30]
關鍵的發現是Substrate中的邏輯問題,該邏輯問題允許生成零成本交易。由于平臺依賴于各種具有成本因素的交易,因此該問題可能允許作惡方通過向網絡發送可能消耗存儲空間的潛在免費交易來向網絡發送時間延遲的操作,例如投票等,以致造成損失。
該問題可通過更新有關計算權重和費用的邏輯來修正,以便使得指令通行時始終支付費用,同時也可以通過標準化計算自定義權重信息的方式來進行輔助修正。
同時要保證識別出的其他問題不能被用來擾亂或顛覆整個網絡秩序。據觀察,Rust編程語言的使用大大降低了許多攻擊類別的可能性,并且WASMRuntime的使用在沙盒實驗的動態代碼中非常有效。
對調查結果的回應
問題:通過Utility.batch進行免費交易濫用
性質:嚴重風險
狀態:已解決。并由Atredis通過代碼審查進行了驗證
https://github.com/paritytech/substrate/pull/4953
問題:通過無效交易對Polkadot節點進行CPU消耗
性質:高風險
狀態:已解決。并由Atredis通過代碼審查進行了驗證
https://github.com/paritytech/substrate/pull/5939
問題:解決P2P身份響應的端點流量反應
Medium性質:中等風險
Won’tFix.回應:不會修復該問題
原因:在公共開放網絡中基于Gossip-based的安全廣播是一個沒有正確答案的問題,不同的機構、學者、工程師提出了各種建議以及半解決方案,但都具有出于自身立場的不同權衡考慮。比特幣通過給節點運營商增加執行網絡級監控的負擔,從而防止了不安全的Gossip,就現有經驗來看這在提升性能方面是相當有效的。Polkadot提出并正在執行質押的概念,同時允許執行更多檢查。另外,當前正在研究基于由節點自身完成的內置網絡監視的解決方案。最后,節點運營商可以對大型比特幣節點運營商進行連接和帶寬使用方面的經典檢查。
問題:解決P2P身份響應的可觀測的地址DNS泄漏
性質:僅通知
回應:不會修復該問題
https://github.com/paritytech/substrate/pull/6582
問題:Substratesr25519Pair::Verify調用不推薦使用的函數
性質:僅通知
回應:不會修復該問題
https://github.com/paritytech/substrate/pull/5138
問題:Substrate在from_seed_slice不一致的接口警告
性質:僅通知
回應:不會修復該問題
保持高透明度是我們Web3Foundation最引以為豪的宗旨。因此我們將持續更新這個正在進行當中的系列內容,同時會刊登出我們發現并確定的問題和糾正的步驟。
編譯/潛行之堯
本文由加密烏托邦原創,授權金色財經首發。我翻開這歷史的一頁,看到了周期性波動的秘密,仿佛握住了時間的脈搏,財富的命根子。本文可以當作一次對過往歷史的簡單總結和未來走勢的預估.
1900/1/1 0:00:00BTC行情分析: 比特幣昨日凌晨短幅回調誘空后,白盤重新站在19000上方,日內最高點位19300,整體來看BTC大趨勢上漲仍沒有變,目前走勢從4小時級別圖來看,布林帶收口,在中軌附近運行.
1900/1/1 0:00:00AAX將于UTC2020年12月03日22:00開始進行系統定期維護,預計維護時間為2.5小時.
1900/1/1 0:00:00親愛的AEX小伙伴: 為了給小伙伴們更好的交易服務體檢,我們已于2020年12月2日對OTC交易進行了升級改版.
1900/1/1 0:00:00為豐富直播互動,提升直播訪談價值,Gate.io直播間將定期邀請區塊鏈行業從業者帶來優質的內容知識,共同探討行業發展.
1900/1/1 0:00:00本周一,俄羅斯央行及多家銀行和金融機構通過遠程會議對數字盧布進行討論。許多與會者表示期待試行數字盧布,但是也有一些人暗示他們擔心該項目的某些功能.
1900/1/1 0:00:00