Una auditoría de seguridad realizada por la firma Mínima autoridad a las especificaciones de Ethereum 2.0 reveló la falta de documentación así como dos debilidades potenciales

***

Una auditoría a las especificaciones de Ethereum 2.0 destacó la necesidad de abordar posibles vulnerabilidades con la capa de red punto a punto ( P2P ) del protocolo y el sistema de propuestas de bloques, de acuerdo con los hallazgos publicados.

Así lo informaron medios como El criptobloque y DeCrypt . En efecto, ya petición de la Fundación Ethereum la firma de seguridad tecnológica Least Authority revisó las especificaciones de ETH 2.0 en enero y trabajaron estrechamente durante todo el proceso .

Un tweet de Least Authority dio cuenta de la finalización de la auditoría:

¡Acabamos de concluir la auditoría # fase0 de las frecuencias de # eth2!
Muchas gracias a @dannyryan y el equipo @ethereum.

Echa un vistazo a nuestra entrada de blog + informe completo aquí:

https: // t .co / 3cFb41ML6H? amp = 1

Auditor de Least Authority a Ethereum 2.0

Según el informe final de auditoría, Least Authority encontrado que las entradas están “ muy bien compensadas y completas ", poniendo un énfasis particular en sus diseños de seguridad integrales dijo el medio DeCrypt . Sin embargo, el equipo argumentó que no hay ejemplo en el mundo real de un protocolo a gran escala que utilizó Prueba de participación ( Prueba de participación y fragmentación ( fragmentación ).

En tal sentido, de acuerdo, es difícil evaluar la estabilidad a largo plazo de ETH 2.0 en este momento . " Es uno de los primeros proyectos de protocolo Prueba de estaca (PoS ) / fragmentado planeados para producción ", dijo el informe. Y agregó:

Blockchain y ninguno a la misma escala. La estabilidad a largo plazo de las cadenas de bloques PoS es un área de investigación activada que debe monitorearse al largo del tiempo a medida que se necesitará en la producción . 19659029] El medio DeCrypt dijo que ETH 2.0 estará entre las primeras redes de prueba de participación ( PoS ) en uso fragmentación una técnica de fragmentación ideada para distribuir la carga en Ethereum . ETH 2.0 pasó la prueba de ácido inicial, pero la falta de un sistema de fragmentación comparable resultó ser un desafío para la auditoría de Mínima autoridad .

Falta de documentación

El informe destacó la falta de documentación cuando se trata de la capa de red punto a punto ( P2P ) del protocolo y el sistema de registros de nodo Ethereum ( ENR por sus iniciales en inglés).

Encontramos que la capa de red Peer-to-peer (P2P) y el sistema ENR están insuficientemente representados ", Dijo el informe. Y agregó: “ Estos pueden ser elaborados en fases posteriores, pero su significado específico que la Fase 0 sería un buen punto de partida para las bases de una capa de rojo fuerte .”

Además, el informe señaló dos áreas con posibles riesgos de seguridad : el sistema proponente de bloques y el sistema de mensajería P2P . Ambos esfuerzos de investigación a largo plazo y podrían abordar en las fases posteriores del proyecto, según el informe.

Posible fuga de información

Como ya ha informado DiarioBitcoin previamente, ETH 2.0 marca una transición de un sistema de prueba de trabajo ( PoW ) un sistema de prueba de participación ( PoS ) . Con <a aria-describeby = "tt" href = "https://www.diariobitcoin.com/glossary/pow/" class = "glossaryLink" data-cmtooltip = "Acrónimo en inglés de" Prueba de trabajo " , Prueba de trabajo.Una Prueba de trabajo es una porción de datos que solo es posible obtener tras haber ejecutado una notable cantidad de cómputo. En bitcoin, los mineros deben encontrar una solución numérica al algoritmo SHA256 que satisfaga el objetivo de dificultad, que aplica a toda la red. En el sistema de Prueba de Trabajo, PoW es un protocolo o función que sirve como una medida económica para desalentar ataques de negación de servicio y otros (…) "target =" _blank "> PoW el proceso de elegir un bloque ganador es sencillo y ningún observador puede predecir quién será el primero en resolver el rompecabezas. Con PoS sin embargo, es necesario que haya un proponente de bloques para decidir qué bloque entrará en la cadena. Este proceso, modifica el informe, abre el riesgo de pérdida de información .

Para mitigar este riesgo, el informe recomendó utilizar un mecanismo de elección del líder secreto único ( SSLE ) para ocultar el proceso de selección . Al mismo tiempo, el proponente de bloque elegido podría comunicar su identidad a otros.

Con la fuga de información parcheada, el proponente de bloques permanece tan protegido como lo que podría estar en las cadenas PoW, pero sin la sobrecarga computacional ", dijeron los autores del informe.

El equipo de Ethereum 2.0 reconoció la mitigación sugerida ", continuaron. “ Sin embargo, SSLE sigue siendo un área activa de investigación. Como resultado, esperamos que surja más información y actualizaciones sobre estos vectores a medida que continúe la investigación sobre SSLE y Ethereum 2.0 alcance los hitos de la Fase 1 y 2 .

'Problema de spam'

El informe señala que la segunda posibilidad potencial se refiere al “ problema de spam ” en el sistema de mensajería P2P del protocolo .

Sin una entidad centralizada que juzgue Las acciones de los nodos, un nodo deshonesto puede enviar spam a la red con un número ilimitado de mensajes de bloque antiguos sin mucha penalización. Tales ataques eliminarán los mensajes legítimos. Del mismo modo, los nodos también pueden enviar un número ilimitado de mensajes y crear tráfico innecesario en Blockchain.

" Este tipo de ataque ralentizaría o potencialmente detendría el procesamiento de la red durante la duración en que se llevó a cabo ", dijo el informe.

Para abordar este problema, Mínima autoridad sugirió la implementación del protocolo de mensajes para evitar mensajes" maliciosos ". Según el informe, la firma de investigación tecnológica Protocol Labs está investigando técnicas de muestreo por pares que pueden ayudar.

Fecha de lanzamiento incierta

De acuerdo a The Block Crypto , Mínima autoridad no pudo confirmar la fecha de lanzamiento real de Eth 2.0. Como informó DiarioBitcoin la Fundación Ethereum tiene previsto el lanzamiento de la red principal de la Fase 0 para abril 2020 . Sin embargo, según la Fundación, el cronograma de abril tenía la intención de ayudar a informar al calendario de auditoría.

El líder del proyecto ETH 2.0 Danny Ryan, informó en un tweet del martes los próximos pasos para el equipo. Ryan dijo que los desarrolladores necesitarían llevar a cabo un cabo, además de un programa de recompensas de errores de Fase 0, una importante red de prueba multi-cliente y ejecutarla durante al menos dos meses.

Todo esto, antes de que pueda tener lugar el lanzamiento de la red principal de Fase 0. Por lo tanto, dijo el medio, es poco probable que el lanzamiento ocurrió en las próximas semanas.

¡Gracias! Fue un placer trabajar con @LeastAuthority en esto 🙂

Ahora es el momento de las redes de prueba multi-cliente y nuestro programa de recompensas de errores fase 0. Más detalles muy pronto

El medio DeCrypt , por su parte, dijo que ETH 2.0 tendrán un lanzamiento escalonado de 6 fases y la primera, la fase 0 está programada tentativamente para su lanzamiento en julio, lo que le da a los desarrolladores unos meses para resolver cualquier inconveniente restante.

Artículos relacionados

Charles Hoskinson: Ethereum 2.0 no es copia de Cardano ni están conectados.

Pre-lanzamiento de Ethereum 2.0 venta con funcionalidad funcionalidades completas

Vitalik Buterin precisó mejoras que vendrán para la red de Ethereum

Fuentes: Least Authority The Block Crypto [19659076] DeCrypt Medio Archivo de DiarioBi tcoin .

Reporte de Arnaldo Ochoa / DiarioBitcoin .

Imagen de Unsplash

[DISPLAY_ULTIMATE_PLUS]

Referencia: https://www.diariobitcoin.com/2020/03/26/least-authority-auditoria-de-seguridad-a-ethereum-2-0-revela-debilidades-potenciales/