近期，慢雾(SlowMist) 正式完成了对以太坊共识层客户端 Prysm 的安全审计服务。

众所周知，以太坊节点的行为是由其运行的客户端软件控制的，因此客户端多样性对以太坊的网络健康至关重要，客户端内的错误占比超过 33% 会导致以太坊离线。当拥有三分之二多节点的客户端出现严重漏洞，可能会导致链错误分叉，并可能造成罚没。

Prysm 是一个用 Go 编写的以太坊共识层实现，由以太坊核心开发团队 Prysmatic Labs 开发，用户可以使用 Prysm 运行一个节点来参与以太坊的去中心化经济。Prysm 是共识协议的一种实现，注重可用性、安全性和可靠性，它也是当前用户规模最大的以太坊客户端，目前有超过 42% 的验证节点都在使用 Prysm 验证交易。

本次审计在 2022 年 11 月 1 日 - 2022 年 11 月 21 日之间进行，慢雾(SlowMist) 采用“黑盒、灰盒为主、白盒为辅”的策略，以最接近真实攻击的方式对项目进行完整的安全测试，目标是通过发现并修复安全漏洞，并向团队提供修复与加强建议，以保护项目及用户安全。慢雾(SlowMist) 对链的安全审计过程重点包括以下两个步骤：1）使用自动化工具分析扫描/测试源代码以查找常见的编码缺陷；2）针对列举的安全问题对代码进行人工审计，手动分析代码以查找任何潜在问题。

审计我们主要关注的漏洞范围包括：

• P2P：

     女巫攻击

     日蚀攻击

     窃听攻击

     拒绝服务攻击

     BGP 劫持攻击

     异形攻击

     时间劫持

• RPC：

     窃听攻击

     拒绝服务攻击

     以太坊黑色情人节漏洞

     HTTP 恶意输入攻击

     跨域钓鱼攻击

• 共识：

     长程攻击

     贿赂攻击

     种族攻击

     活性冻结攻击

     审查攻击

     芬尼攻击

     Vector76 攻击

     替代历史攻击

     51% 攻击

     权力压迫攻击

     币龄累积攻击

     自私挖矿攻击

     区块双产

• 加密：

     密码学攻击

     私钥预测

     长度扩展攻击

• 交易：

     重放攻击

     交易延展性攻击

     交易时间锁攻击

     假充值攻击

Prysmatic Labs 是负责以太坊网络维护、升级和创新的核心软件开发团队之一，也是以太坊客户端 Prysm 的开发团队。Prysmatic Labs 致力于以太坊横向扩容，为以太坊区块链上有价值的 DApps、智能合约提供支持。

官网：https://prysmaticlabs.com/

GitHub：https://github.com/prysmaticlabs

慢雾(SlowMist) 作为一家行业领先的区块链安全公司，在安全审计方面深耕多年，安全审计不仅让用户安心，更是降低攻击发生的手段之一。

除此之外，慢雾的安全解决方案包括：威胁情报(BTI)、防御部署等服务并配套有加密货币反洗钱(AML)、加密货币追踪(MistTrack)、假充值漏洞扫描、漏洞监测(Vulpush)、被黑档案库(SlowMist Hacked)、智能合约防火墙(FireWall.X) 等 SaaS 型安全产品。基于成熟有效的安全服务及安全产品，慢雾联动国际顶级的安全公司，如 Akamai、BitDefender、FireEye、RC²、天际友盟、IPIP 等及海内外加密货币知名项目方、司法鉴定、公安单位等，从威胁发现到威胁防御上提供了一体化因地制宜的安全解决方案。慢雾(SlowMist) 在行业内曾独立发现并公布数多起通用高风险的区块链安全漏洞，得到业界的广泛关注与认可。给区块链生态带来安全感是慢雾努力的方向。

官网：https://www.slowmist.com/

微博：https://weibo.com/slowmist

Twitter：https://twitter.com/SlowMist_Team

GitHub：https://github.com/slowmist/