Sicherheitsaudit der Ethereum 2.0-Spezifikationen – Geringste Autorität

Free Bitcoins: FreeBitcoin | BonusBitcoin

Coins Kaufen: Bitcoin.deAnycoinDirektCoinbaseCoinMama (mit Kreditkarte)Paxfull

Handelsplätze / Börsen: Bitcoin.de | KuCoinBinanceBitMexBitpandaeToro

Lending / Zinsen erhalten: Celsius NetworkCoinlend (Bot)

Cloud Mining: HashflareGenesis MiningIQ Mining


Das Team der Least Authority hat kürzlich unsere Prüfung der Ethereum 2.0-Spezifikationen abgeschlossen. Lesen Sie unseren vollständigen Bericht Hier.

Ethereum 2.0 wird ein bedeutendes Netzwerk-Upgrade sein und in drei verschiedenen Phasen stattfinden – Phase 0: Beacon-Kette, Phase 1: Shard-Ketten und Phase 2: Ausführungsumgebungen. Es ist eines der ersten Proof of Stake (PoS) / Sharded-Protokollprojekte, die für die Produktion geplant sind. Infolgedessen gab es nur minimale Möglichkeiten, die Auswirkungen von Entwurfsentscheidungen auf die reale Verwendung solcher Blockchain-Implementierungen zu untersuchen, und keine im gleichen Maßstab. Die Langzeitstabilität von PoS-Blockchains ist ein Bereich aktiver Forschung, der im Laufe der Zeit überwacht werden muss, da sie in der Produktion verwendet werden.

Unser Team führte diese Überprüfung durch, um den bevorstehenden Mainnet-Start von Phase 0 vorzubereiten. Da derzeit keine anderen umfangreichen Implementierungen eines PoS-Systems in der Produktion vorhanden sind, stellte die Prüfung der Ethereum 2.0-Spezifikationen unser Team vor bestimmte Herausforderungen und machte diese Überprüfung besonders interessant. Wir hatten die Gelegenheit, eng mit dem Ethereum 2.0-Team zusammenzuarbeiten, dessen enge Zusammenarbeit mit unserem Team positiv zu unseren Überprüfungsbemühungen beitrug.

Unsere Prüfung bestand darin, eine Spezifikation im Gegensatz zu einer codierten Implementierung zu überprüfen, und die von uns identifizierten Angriffsvektoren basierten notwendigerweise auf bestimmten Annahmen und Theorien. Wir haben sieben Probleme identifiziert und drei Best-Practice-Vorschläge gemacht. Unser Team fand die Spezifikationen gut durchdacht und umfassend. Es ist klar, dass die Sicherheit vom Ethereum 2.0-Team während der Entwurfsphase stark berücksichtigt wurde.

In unserem Bericht werden zwei bestimmte Bereiche hervorgehoben, die von einer weiteren Überprüfung und zusätzlichen Dokumentation profitieren würden – die Peer-to-Peer-Netzwerkschicht (P2P) und das ENR-System -, da die Grundsteinlegung für eine starke Netzwerkschicht in Phase 0 von entscheidender Bedeutung ist. Wir haben auch Bereiche genannt, die aufgrund der erhöhten potenziellen Anfälligkeit für Angriffe weiter geprüft werden müssen, einschließlich des Wahlsystems für Blockantragsteller und der P2P-Netzwerkschicht.

Ohne einen Proof of Work (PoW), um zu überprüfen, welcher Knoten den nächsten Block vorschlagen soll, verwenden PoS-Systeme wie Ethereum 2.0 einen Block-Proposer, um auszuwählen, was in den nächsten Block in der Kette aufgenommen wird, sodass der Block-Proposer das Ergebnis des Blocks ändern kann Vorschlagsprozess und damit das Endergebnis der Kette. Wenn der Beobachter den Blockantragsteller bestimmen kann, entsteht ein Informationsleck, das in PoW-Ketten wie Bitcoin nicht vorhanden ist, da nicht erraten werden kann, wer zuerst ein PoW-Rätsel lösen wird.

Wir haben während des Audits zwei verschiedene Probleme mit dem Blockantragstellersystem identifiziert (Problem C und D) und eine einheitliche Minderungsstrategie für beide vorgeschlagen. Single Secret Leader Election (SSLE) hält die Auswahl geheim und verhindert das Weitergeben von Informationen an einen Beobachter. Gleichzeitig kann der ausgewählte Blockantragsteller schnell überprüfen, ob er tatsächlich der Antragsteller ist. Wenn das Informationsleck gepatcht ist, bleibt der Blockproposer genauso geschützt wie in PoW-Ketten, jedoch ohne den Rechenaufwand.

Das Ethereum 2.0-Team erkannte die vorgeschlagene Abschwächung an, SSLE ist jedoch immer noch ein sehr aktives Forschungsgebiet. Infolgedessen erwarten wir, dass weitere Informationen und Aktualisierungen zu diesen Vektoren veröffentlicht werden, wenn die Forschung zu SSLE fortgesetzt wird und Ethereum 2.0 die Meilensteine ​​der Phase 1 und 2 erreicht.

Dezentrale Systeme sind von Natur aus auf ehrliche Handlungen von Fremden angewiesen, im Gegensatz zu Systemen, die eine „vertrauenswürdige“ zentrale Behörde verwenden. Wir haben das in der Spezifikation dargestellte P2P-Protokoll sorgfältig geprüft und Angriffsvektoren über das P2P-Nachrichtensystem gefunden (Problem A, Problem B und Problem E). Da sich das Projekt noch in der Anfangsphase des Entwurfs befindet und noch nicht in Produktion ist, wird eine umfassende Analyse potenzieller und aktueller Schwachstellen in späteren Phasen umsichtig sein.

Klatschprotokolle leiden im Allgemeinen unter dem Spam-Problem. Ohne einen zentralen Richter kann es schwierig sein zu verstehen, ob eine Nachricht legitim oder Spam ist, der das Netzwerk verstopfen soll. Dies war eines unserer Hauptanliegen bei der Untersuchung der Netzwerkschicht. Wenn in Ethereum 2.0 ein Knoten einen neuen finalisierten Block vorschlägt, muss der Block an den Rest des Netzwerks gesendet werden. Wir haben ein Problem festgestellt, bei dem ein unehrlicher Knoten eine unbegrenzte Anzahl älterer Blocknachrichten mit minimaler Strafe an den Rest des Netzwerks senden kann, sodass diese das Netzwerk überfordern und legitime Nachrichten blockieren können.

Wenn ein Knoten gegen die Regeln verstößt, senden andere Knoten Schrägstriche, um den Rest des Netzwerks darüber zu informieren, wer bestraft werden soll. Wir haben eine kleine Lücke gefunden, durch die ein Knoten eine unbegrenzte Anzahl dieser Nachrichtentypen mit minimaler Strafe senden konnte, wodurch dieselbe Nachricht blockiert wurde, wenn genügend Nachrichten gesendet wurden.

Letztendlich haben wir empfohlen, ein vollständig BAR-belastbares Klatschprotokoll zu implementieren. BAR-ausfallsichere Protokolle verhindern, dass Knoten böswillig klatschen, während die Vorteile von Klatschprotokollen erhalten bleiben. Wie bei SSLE ist dies ein aktives Forschungsgebiet. Das Fehlen von Spezifikationen stellt hier keinen Mangel im Ethereum 2.0-Design dar, sondern eine Gelegenheit zur weiteren Verbesserung und Anwendung einer allgemeinen Best-Practice-Empfehlung für diese Systemtypen.

Wir ermutigen das Team der Ethereum Foundation, weiterhin Designdiskussionen mit den verschiedenen Stakeholdern und der breiteren Community zu führen, und wir hoffen, dass dieser Bericht eine Grundlage für sie sein wird.

LESEN SIE DEN BERICHT

_________

Erfahren Sie mehr über unsere Sicherheitsberatung und -prozesse.

Wenn Sie bezüglich eines Sicherheitsaudits Kontakt aufnehmen möchten, können Sie hier ein 30-minütiges Meeting mit uns buchen: https://calendly.com/least-authority-security-consulting/info-session.

Sie erreichen uns auch per E-Mail unter contactus@leastauthority.com.

Free Bitcoins: FreeBitcoin | BonusBitcoin

Coins Kaufen: Bitcoin.deAnycoinDirektCoinbaseCoinMama (mit Kreditkarte)Paxfull

Handelsplätze / Börsen: Bitcoin.de | KuCoinBinanceBitMexBitpandaeToro

Lending / Zinsen erhalten: Celsius NetworkCoinlend (Bot)

Cloud Mining: HashflareGenesis MiningIQ Mining

By continuing to use the site, you agree to the use of cookies. more information

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close