Công ty bảo mật công nghệ Least Agency đã công bố kết quả kiểm toán các thông số kỹ thuật của ETH 2.0 – là cuộc đại tu được chờ đợi từ lâu của giao thức Ethereum.
Least Authority cho biết đã kiểm toán ETH 2.0 trong tháng 1 theo yêu cầu của Ethereum Foundation. Công ty đã làm việc cùng với Foundation trong suốt quá trình và biên soạn bản thảo báo cáo cuối cùng vào ngày 6/3.
Ethereum Foundation yêu cầu Least Authority kiểm toán ETH 2.0
Công ty đã xem xét các thông số kỹ thuật cốt lõi của ETH 2.0 cho giai đoạn 0, thông số kỹ thuật Beacon Chain và các tài liệu Beacon Chain Fork Choice , tài liệu mạng ngang hàng (P2P), thông số kỹ thuật xác thực trung thực và tài liệu để triển khai ETH 2.0.
Theo báo cáo, mặc dù có thể xem xét các khía cạnh cụ thể của thiết kế ETH 2.0, nhưng “hệ thống chung không hoạt động như dự định”.
Báo cáo chỉ ra các rủi ro nổi bật cho người đề xuất khối
Mặc dù báo cáo cho thấy các thông số kỹ thuật ETH 2.0 “rất rõ ràng và toàn diện”, nhưng Least Authority nhấn mạnh những lo ngại về lớp P2P và rủi ro đối với người đề xuất rằng “bảo mật đã được cân nhắc rất nhiều trong giai đoạn thiết kế”.
Các nhà nghiên cứu khẳng định thông số kỹ thuật mạng giúp dễ dàng hóa nhiệm vụ của trình xác nhận khối để thiết lập địa chỉ IP của trình xác nhận khác.
Với việc báo cáo kết luận người đề xuất khối nhận thức công khai, công ty lo ngại tác nhân xấu có thể tìm cách thực hiện tấn công từ chối dịch vụ (DDoS).
Báo cáo cũng cảnh báo kẻ tấn công có thể sử dụng khối lượng lớn các node để khởi động cuộc tấn công nhắm mục tiêu vào người đề xuất khối.
Least Authority lưu ý những lo ngại về giao thức mạng P2P
Công ty bảo mật khẳng định tài liệu về P2P của ETH 2.0 và hệ thống bản ghi node Ethereum (ENR) chưa đầy đủ nên “không thể kết luận hệ thống P2P kết hợp hệ thống ENR như thế nào”.
“Vấn đề thư rác” cũng được xác định trong hệ thống tin nhắn P2P của giao thức. Theo báo cáo, không có thực thể tập trung giám sát hành động của node sẽ dẫn đến khả năng node không trung thực cố gắng áp đảo mạng với số lượng tin nhắn khối cũ không giới hạn trong khi bị phạt rất ít. Báo cáo kết luận:
“Cuộc tấn công này sẽ làm chậm hoặc có khả năng ngăn chặn quá trình xử lý mạng trong suốt thời gian nó được thực hiện”.
Báo cáo cũng nhấn mạnh những lo ngại liên quan đến “khuyến khích tin đồn sai lệch”, thiếu “giao thức tin đồn có khả năng phục hồi BAR” và thúc giục nền tảng Ethereum tìm kiếm các đánh giá ngang hàng thường xuyên về mã.
Trong số 10 vấn đề được xác định tại báo cáo cuối cùng của công ty, có 2 vấn đề đã được giải quyết và 1 vấn đề được xác định là không hợp lệ.
Lỗ hổng bảo mật được xác định trong các ví Dapp Ethereum
Vào ngày 23/3, nhà cung cấp ví tiền điện tử ZenGO tuyên bố đã xây dựng testnet để chỉ ra lỗ hổng bảo mật lớn cho ví ứng dụng phi tập trung (Dapp) – kêu gọi các nhà cung cấp ví giúp đỡ người dùng nhận ra lỗ hổng.
Testnet của ZenGo cho thấy cách ủy quyền cho một giao dịch giữa ví người dùng và hợp đồng thông minh của Dapp sẽ cấp phép cho ứng dụng truy cập vào tất cả các khoản tiền được giữ trong ví đó.
