最流行的以太坊客户端 —— Prysm 已通过慢雾安全审计
2023-2-22 18:59:46 Author: 慢雾科技(查看原文) 阅读量:8 收藏

近期,慢雾(SlowMist正式完成了对以太坊共识层客户端 Prysm 的安全审计服务。

众所周知,以太坊节点的行为是由其运行的客户端软件控制的,因此客户端多样性对以太坊的网络健康至关重要,客户端内的错误占比超过 33% 会导致以太坊离线。当拥有三分之二多节点的客户端出现严重漏洞,可能会导致链错误分叉,并可能造成罚没。

Prysm 是一个用 Go 编写的以太坊共识层实现,由以太坊核心开发团队 Prysmatic Labs 开发,用户可以使用 Prysm 运行一个节点来参与以太坊的去中心化经济。Prysm 是共识协议的一种实现,注重可用性、安全性和可靠性,它也是当前用户规模最大的以太坊客户端,目前有超过 42% 的验证节点都在使用 Prysm 验证交易。

作为专注于区块链生态安全的行业头部公司,慢雾(SlowMist也一直关注着以太坊的发展,这次安全审计合作,不仅是深度地参与了以太坊生态,更是与 Prysmatic Labs 在其对安全重视的前提下,共同助力了以太坊生态的安全发展。

本次审计在 2022 年 11 月 1 日 - 2022 年 11 月 21 日之间进行,慢雾(SlowMist采用“黑盒、灰盒为主、白盒为辅”的策略,以最接近真实攻击的方式对项目进行完整的安全测试,目标是通过发现并修复安全漏洞,并向团队提供修复与加强建议,以保护项目及用户安全。慢雾(SlowMist对链的安全审计过程重点包括以下两个步骤:1)使用自动化工具分析扫描/测试源代码以查找常见的编码缺陷;2)针对列举的安全问题对代码进行人工审计,手动分析代码以查找任何潜在问题。

审计我们主要关注的漏洞范围包括:

  • P2P:

     女巫攻击

     日蚀攻击

     窃听攻击

     拒绝服务攻击

     BGP 劫持攻击

     异形攻击

     时间劫持

  • RPC:

     窃听攻击

     拒绝服务攻击

     以太坊黑色情人节漏洞

     HTTP 恶意输入攻击

     跨域钓鱼攻击

  • 共识:

     长程攻击

     贿赂攻击

     种族攻击

     活性冻结攻击

     审查攻击

     芬尼攻击

     Vector76 攻击

     替代历史攻击

     51% 攻击

     权力压迫攻击

     币龄累积攻击

     自私挖矿攻击

     区块双产

  • 加密:

     密码学攻击

     私钥预测

     长度扩展攻击

  • 交易:

     重放攻击

     交易延展性攻击

     交易时间锁攻击

     假充值攻击

慢雾(SlowMist计过程中发现了 2 个低风险和 1 个建议漏洞。同时,慢雾审计人员提出了加强建议。在与 Prysmatic Labs 团队沟通后,问题已得到解决,并由审计人员再次审查并通过。审计报告详情可点击原文链接查看。

Prysmatic Labs 是负责以太坊网络维护、升级和创新的核心软件开发团队之一,也是以太坊客户端 Prysm 的开发团队。Prysmatic Labs 致力于以太坊横向扩容,为以太坊区块链上有价值的 DApps、智能合约提供支持。

官网:https://prysmaticlabs.com/

GitHub:https://github.com/prysmaticlabs

慢雾(SlowMist作为一家行业领先的区块链安全公司,在安全审计方面深耕多年,安全审计不仅让用户安心,更是降低攻击发生的手段之一。

除此之外,慢雾的安全解决方案包括:威胁情报(BTI)、防御部署等服务并配套有加密货币反洗钱(AML)、加密货币追踪(MistTrack)、假充值漏洞扫描、漏洞监测(Vulpush)、被黑档案库(SlowMist Hacked)、智能合约防火墙(FireWall.X) 等 SaaS 型安全产品。基于成熟有效的安全服务及安全产品,慢雾联动国际顶级的安全公司,如 Akamai、BitDefender、FireEye、RC²、天际友盟、IPIP 等及海内外加密货币知名项目方、司法鉴定、公安单位等,从威胁发现到威胁防御上提供了一体化因地制宜的安全解决方案。慢雾(SlowMist在行业内曾独立发现并公布数多起通用高风险的区块链安全漏洞,得到业界的广泛关注与认可。给区块链生态带来安全感是慢雾努力的方向。

官网:https://www.slowmist.com/

微博:https://weibo.com/slowmist

Twitter:https://twitter.com/SlowMist_Team

GitHub:https://github.com/slowmist/

往期回顾

NFT 防钓鱼指北:如何选择一款防钓鱼插件

ZKP 系列之 Circom 验证合约输入假名漏洞复现

慢雾:盘点 ZKP 主流实现方案技术特点

慢雾:“揭开” 数千万美金大盗团伙 Monkey Drainer 的神秘面纱

暗度陈仓 —— Orion Protocol 被黑分析

慢雾导航

慢雾科技官网

https://www.slowmist.com/

慢雾区官网

https://slowmist.io/

慢雾 GitHub

https://github.com/slowmist

Telegram

https://t.me/slowmistteam

Twitter

https://twitter.com/@slowmist_team

Medium

https://medium.com/@slowmist

知识星球

https://t.zsxq.com/Q3zNvvF


文章来源: http://mp.weixin.qq.com/s?__biz=MzU4ODQ3NTM2OA==&mid=2247497093&idx=1&sn=c96c09970099c484242a758938b57bd7&chksm=fdde8b02caa90214a34aa116c0f7bd3c1116dbadce29636882a0caebc24559c91903ba253876#rd
如有侵权请联系:admin#unsafe.sh