比特幣:為何波卡在完成安全審計后卻拒絕處理提示風險？

為何波卡在完成安全審計后卻拒絕解決風險問題？

我們Web3Foundation的使命是促進下一代互聯網的發展：旨在建立一個去中心化的，公平的網絡，在該網絡上用戶可以控制自己的數據，市場可以從網絡效率和安全性中受益。這篇文章我們在其中報告了為加強我們的系統而進行的安全審核的相關內容。

該安全審計工作由信息安全公司AtredisPartners進行，該公司在滲透測試，逆向工程，硬件/軟件開發以及嵌入式系統設計評估方面擁有豐富的經驗。

什么是安全審計

我們邀請Atredis對波卡Runtime的完整性，機密性和可用性以及波卡驗證程序的安全性和可靠性進行了安全性評估。

此鏈接可閱讀整個審核員的報告。

https://assets.polkadot.network/security-audits/Atredis_Partners-Web3-Polkadot-PlatformSecurityAssessment.pdf

以太坊開發者Tim Beiko解釋為何柏林升級沒有納入EIP-2537:以太坊開發者Tim Beiko解釋為何柏林升級沒有納入EIP-2537表示，其在柏林升級需要更多測試，團隊總體都同意，但是當我們討論將它包含在倫敦升級時，有人提出了一個我們應該使用的新庫，并可能修改gas成本，這需要更多的測試，因為它沒有削減gas。此外，它從一個非常好的擁有（預存款合約啟動以驗證存款）變成了“我們在分片之前需要這個”，因此緊迫性大大降低。[2021/6/8 23:21:36]

具體來說，Atredis的審計側重于：

identifyanddefinekeyattackchainsagainstthePolkadotRuntime

識別并定義針可對波卡Runtime的攻擊

識別確認任何可能損害Polkadot交易完整性的事件

動態 | 澳本聰回應江卓爾“為何不了解Base58 編碼”：我想通過 Base58 來誤導聽眾:江卓爾和澳本聰在昨日辯論上，江卓爾問澳本聰名：為什么在銷毀（burn）地址中使用 X 而不是 0。中本聰發明了用于這些地址的 Base58 編碼模式，中本聰有意地排除了看起來相似的數字和字母，比如零和字母 O。為什么您會不了解中本聰發明的Base58 編碼？

澳本聰（CSW）回應稱，這是我的代碼。我想通過 Base58 來誤導聽眾，想讓人們以為我不了解比特幣。實際上 Base58 和交易無關，它只是錢包的實現方式，checksum 是錢包層面的東西，它是錢包交易時用來驗證的東西，它并不存在比特幣網絡上。[2019/7/24]

identifycaseswhereattacker-suppliedcodeexecutioncouldbepossible

聲音 | 億萬富翁Druckenmiller：不理解為何需要比特幣:據華爾街見聞消息，億萬富翁Stanley Druckenmiller表示，并不理解美聯儲為何被困在2%這一通脹目標。目前并沒有陷入衰退，但必須保持警惕。此外，Druckenmiller還稱不理解為何需要比特幣，他既不會沽空、也不會做多比特幣。[2019/6/4]

確認是否存在可以執行攻擊者提供的代碼的可能

確定任何可能會影響Polkadot可信度的情景

確認波卡Runtime架構，開發情況和交易功能，與公認的能夠確保最佳加密安全性的做法保持一致

嘗試禁用或以其他方式干擾驗證人在波卡網絡上的正常工作

嘗試選拔特定的驗證人

查看是否有可能強行選拔任免作惡的驗證人

美國“韭菜”跑步進場 美國70歲買家不知比特幣為何物:據報道，美國70歲的比特幣投資者Rita Scott在孫子的幫助下賣掉了她的比特幣，短短幾周賺了45%的收益率。在這之前，她根本不知道什么是比特幣，還以為是硬幣。而在美國，有很多人甚至想刷信用卡來買比特幣。[2017/11/30]

報告摘要

評估是由AtredisPartners在2020年1月20日至2月11日進行的。其中包括對通信堆棧的自下而上的分析，針對波卡Runtime源代碼以及Kusama網絡的動態測試。在測試過程中特別測試了拒絕服務方案和欺詐活動。評估得出了一項嚴重，一項高，一項中等風險和三項信息方面的發現。

關鍵的發現是Substrate中的邏輯問題，該邏輯問題允許生成零成本交易。由于平臺依賴于各種具有成本因素的交易，因此該問題可能允許作惡方通過向網絡發送可能消耗存儲空間的潛在免費交易來向網絡發送時間延遲的操作，例如投票等，以致造成損失。

該問題可通過更新有關計算權重和費用的邏輯來修正，以便使得指令通行時始終支付費用，同時也可以通過標準化計算自定義權重信息的方式來進行輔助修正。

同時要保證識別出的其他問題不能被用來擾亂或顛覆整個網絡秩序。據觀察，Rust編程語言的使用大大降低了許多攻擊類別的可能性，并且WASMRuntime的使用在沙盒實驗的動態代碼中非常有效。

對調查結果的回應

問題：通過Utility.batch進行免費交易濫用

性質：嚴重風險

狀態：已解決。并由Atredis通過代碼審查進行了驗證

https://github.com/paritytech/substrate/pull/4953

問題：通過無效交易對Polkadot節點進行CPU消耗

性質：高風險

狀態：已解決。并由Atredis通過代碼審查進行了驗證

https://github.com/paritytech/substrate/pull/5939

問題：解決P2P身份響應的端點流量反應

Medium性質：中等風險

Won’tFix.回應：不會修復該問題

原因：在公共開放網絡中基于Gossip-based的安全廣播是一個沒有正確答案的問題，不同的機構、學者、工程師提出了各種建議以及半解決方案，但都具有出于自身立場的不同權衡考慮。比特幣通過給節點運營商增加執行網絡級監控的負擔，從而防止了不安全的Gossip，就現有經驗來看這在提升性能方面是相當有效的。Polkadot提出并正在執行質押的概念，同時允許執行更多檢查。另外，當前正在研究基于由節點自身完成的內置網絡監視的解決方案。最后，節點運營商可以對大型比特幣節點運營商進行連接和帶寬使用方面的經典檢查。

問題：解決P2P身份響應的可觀測的地址DNS泄漏

性質：僅通知

回應：不會修復該問題

https://github.com/paritytech/substrate/pull/6582

問題：Substratesr25519Pair::Verify調用不推薦使用的函數

性質：僅通知

回應：不會修復該問題

https://github.com/paritytech/substrate/pull/5138

問題：Substrate在from_seed_slice不一致的接口警告

性質：僅通知

回應：不會修復該問題

保持高透明度是我們Web3Foundation最引以為豪的宗旨。因此我們將持續更新這個正在進行當中的系列內容，同時會刊登出我們發現并確定的問題和糾正的步驟。

編譯/潛行之堯

Tags：比特幣TIMTRASUBS比特幣sv和比特幣區別TIM幣Decentralized BankSUBS幣

KuCoin