Teknoloji güvenlik firması Least Authority, Ethereum (ETH) protokolünün uzun zamandır beklenen revizyonu ETH 2.0’ın spesifikasyonları hakkında bir rapor yayımladı.
Least Authority, Ethereum Vakfı'nın isteği üzerine ETH 2.0’yi ocak ayı boyunca denetledi. Firma, süreç boyunca vakıfla birlikte çalıştı ve raporun son halini 6 Mart tarihinde derledi.
Ethereum Vakfı, ETH 2.0 denetimi konusunda Least Authority’yi görevlendirdi
Güvenlik firması, ETH 2.0 teknik özelliklerini phase 0 için gözden geçirdi. Beacon Chain teknik özellikleri, Beacon Chain Fork Choice belgeleri, eşler arası (P2P) ağ belgeleri, Honest Validator teknik özellikleri ve ETH'nin Go uygulaması için belgeler denetlendi.
Raporda, ETH 2.0’ın tasarımının belirli yönleri gözden geçirildikten sonra, “kolektif sistemin amaçlandığı gibi davranmayabileceği” belirtildi.
Raporda, teklif verenleri engelleme risklerinden bahsediliyor
Rapor ETH 2.0 teknik özelliklerini “çok iyi düşünülmüş ve kapsamlı” bulurken, “güvenliğin tasarım aşamasında güçlü bir unsur olduğunu” belirterek, P2P katmanıyla ilgili endişeleri ve teklif verenleri engelleme risklerini de vurguluyor.
Araştırmacılar, ağ özelliklerinin blok doğrulayıcılara verdiği yetki sayesinde, diğer doğrulayıcıların IP adreslerini oluşturmalarını mümkün hale getirdiğini iddia ediyor.
Blok önerenleri herkese açık hale getiren belgeler nedeniyle firma, saldırganın stratejik olarak DDoS gerçekleştirmek isteyebileceğinden endişe duyuyor.
Rapor ayrıca, saldırganın blok teklif sahiplerine hedefli bir saldırı başlatmak için çok sayıda düğüm kullanabileceği konusunda da uyarıyor.
Least Authority, P2P ağ protokolü ile ilgili endişelerden bahsediyor
Güvenlik firması, ETH 2.0’ın P2P ve Ethereum düğüm kayıt (ENR) sistemlerini çevreleyen belgelerin eksik olduğunu ve “P2P sisteminin ENR sistemini nasıl içerdiğine karar veremediklerini” vurguladı.
Protokolün P2P mesajlaşma sisteminde de bir “spam sorunu” tanımlandı. Raporda, düğümlerin eylemlerini denetleyen merkezi bir varlığın bulunmaması nedeniyle, sınırsız sayıda eski blok mesajı ile ağı boğmaya çalışan bir düğümün hayata geçirilmesi konusunda da uyarı yapıldı.
“Bu tür bir saldırı, yürütüldüğü süre boyunca ağı yavaşlatacak veya potansiyel olarak durduracaktır.”
Firmanın nihai raporunda tanımlanan 10 sorundan ikisinin çözüldüğü ve birinin geçersiz bir sorun olduğu belirlendi.
Ethereum Dapp cüzdanları arasında güvenlik açığı tespit edildi
23 Mart'ta, kripto cüzdan sağlayıcısı ZenGO, merkezi olmayan uygulama (Dapp) cüzdanlarını kapsayan büyük bir güvenlik açığını ortaya çıkarmak için bir testnet oluşturduğunu duyurdu. Cüzdan sağlayıcılarını uyararak, kullanıcıları bu güvenlik açığından haberdar etmeye çağırdı.
ZenGo’nun testnet’i, kullanıcının cüzdanı ile Dapp akıllı sözleşmesi arasında tek işlemi yetkilendirerek, bu cüzdanda tutulan tüm paralara erişmek için uygulama yetkisi nasıl verileceğini gösteriyor.