Un nouvel audit Ethereum 2.0 a mis en évidence des failles de sécurité potentielles

Un audit des spécifications ETH 2.0 a mis en évidence la nécessité de remédier aux vulnérabilités potentielles avec la couche réseau P2P (peer-to-peer) du protocole et le système de proposition de bloc, selon les résultats publiés.

À la demande de la Fondation Ethereum, la société de sécurité technologique Least Authority a commencé son examen des spécifications ETH 2.0 en janvier et a travaillé en étroite collaboration avec la Fondation tout au long du processus.

Selon la finale rapport d’audit, Least Authority a trouvé les spécifications «très bien pensées et complètes». Cependant, l’équipe a fait valoir qu’il n’y avait pas d’exemple concret d’un protocole à grande échelle utilisant la preuve de participation et le partage. En ce sens, il est actuellement difficile d’évaluer la stabilité à long terme de l’ETH 2.0.

“Il s’agit de l’un des premiers projets Proof of Stake (PoS) / sharded protocol projetés en production”, indique le rapport. “En conséquence, il y a eu peu d’opportunités pour étudier les impacts des décisions de conception sur les utilisations réelles de telles implémentations de blockchain, et aucune à la même échelle. La stabilité à long terme des blockchains PoS est un domaine de recherche active qui nécessitera à surveiller dans le temps car ils sont utilisés dans la production. “

Le rapport a souligné le manque de documentation en ce qui concerne la couche de réseau peer-to-peer (P2P) du protocole et le système d’enregistrements de nœuds Ethereum (ENR).

“Nous avons constaté que la couche de réseau Peer-to-peer (P2P) et le système ENR sont sous-représentés”, indique le rapport. “Celles-ci peuvent être développées dans des phases ultérieures, mais leur importance suggère que la phase 0 serait un bon point de départ pour jeter les bases d’une couche réseau solide.”

En outre, le rapport a souligné deux domaines présentant des risques de sécurité potentiels: le système de proposition de bloc et le système de messagerie P2P. Les deux nécessitent des efforts de recherche à long terme et pourraient être abordés dans les phases ultérieures du projet, selon le rapport.

Notamment, la Fondation Ethereum avait précédemment informé l’équipe d’audit que le lancement du réseau principal de la phase 0 aurait lieu en avril 2020, a déclaré Least Authority à The Block. Cependant, l’échéancier d’avril était censé aider à informer le calendrier d’audit et la moindre autorité n’a pas pu confirmer s’il s’agit de la date de lancement réelle.

En effet, le chef de projet ETH 2.0 Danny Ryan a annoncé dans un mardi tweeter que les prochaines étapes pour l’équipe ETH 2.0 seraient de réaliser des tests en réseau multi-clients et un programme de prime de bogue de phase 0.

Comme le bloc précédemment expliqué, les développeurs devraient implémenter un important réseau de test multi-clients et l’exécuter pendant au moins deux mois avant le lancement de la phase 0 du réseau principal. Par conséquent, il est peu probable que le lancement se produise dans les semaines à venir.

Fuite potentielle d’informations avec le système proposant des blocs d’ETH 2.0

ETH 2.0 marque la transition d’un système de preuve de travail (PoW) à un système de preuve de participation (PoS). Avec PoW, le processus d’élection d’un bloc gagnant est simple et aucun observateur ne peut prédire qui sera le premier à résoudre le puzzle. Avec PoS, cependant, il doit y avoir un proposant de bloc pour décider quel bloc ira dans la chaîne. Ce processus, explique le rapport, ouvre le risque de fuite d’informations.

Afin d’atténuer ce risque, le rapport a recommandé d’utiliser un mécanisme d’élection de chef secret unique (SSLE) pour masquer le processus de sélection. Dans le même temps, le proposant de bloc choisi serait en mesure de communiquer son identité à d’autres.

“Avec la fuite d’informations corrigée, le proposant de bloc reste aussi protégé qu’il le serait dans les chaînes PoW, mais sans les frais de calcul”, ont déclaré les auteurs du rapport.

“L’équipe Ethereum 2.0 a reconnu l’atténuation suggérée”, ont-ils poursuivi. “Cependant, SSLE est toujours un domaine de recherche très actif. En conséquence, nous nous attendons à ce que davantage d’informations et de mises à jour autour de ces vecteurs émergent à mesure que la recherche sur SSLE se poursuit et Ethereum 2.0 atteint les étapes 1 et 2”.

«Problème de spam» avec le système de messagerie P2P d’ETH 2.0

La deuxième vulnérabilité potentielle concerne le “problème de spam” dans le système de messagerie P2P du protocole.

Sans une entité centralisée jugeant les actions des nœuds, un nœud malhonnête peut spammer le réseau avec un nombre illimité d’anciens messages de bloc sans trop de pénalité. De telles attaques débusqueront les messages légitimes. De la même manière, les nœuds peuvent également envoyer un nombre illimité de messages coupants et créer du trafic inutile sur la blockchain.

“Ce type d’attaque ralentirait ou arrêterait potentiellement le traitement du réseau pendant la durée de son exécution”, indique le rapport.

Pour résoudre ce problème, Least Authority a suggéré la mise en œuvre d’un protocole de ragots entièrement résilient à BAR pour empêcher les ragots malveillants. Selon le rapport, la firme de recherche technologique Protocol Labs étudie actuellement des techniques d’échantillonnage par les pairs résistantes aux BAR.




Source link

A propos newstrotteur-fr

Découvrez également

Les principaux échanges de crypto-monnaies et émetteurs de jetons nommés vendredi dans le barrage de recours collectifs américains

Des acteurs et des sociétés bien connus du marché de la cryptographie ont été frappés …

Laisser un commentaire