近期,慢雾(SlowMist) 正式完成了对以太坊共识层客户端 Prysm 的安全审计服务。
众所周知,以太坊节点的行为是由其运行的客户端软件控制的,因此客户端多样性对以太坊的网络健康至关重要,客户端内的错误占比超过 33% 会导致以太坊离线。当拥有三分之二多节点的客户端出现严重漏洞,可能会导致链错误分叉,并可能造成罚没。
Prysm 是一个用 Go 编写的以太坊共识层实现,由以太坊核心开发团队 Prysmatic Labs 开发,用户可以使用 Prysm 运行一个节点来参与以太坊的去中心化经济。Prysm 是共识协议的一种实现,注重可用性、安全性和可靠性,它也是当前用户规模最大的以太坊客户端,目前有超过 42% 的验证节点都在使用 Prysm 验证交易。
本次审计在 2022 年 11 月 1 日 – 2022 年 11 月 21 日之间进行,慢雾(SlowMist) 采用“黑盒、灰盒为主、白盒为辅”的策略,以最接近真实攻击的方式对项目进行完整的安全测试,目标是通过发现并修复安全漏洞,并向团队提供修复与加强建议,以保护项目及用户安全。慢雾(SlowMist) 对链的安全审计过程重点包括以下两个步骤:1)使用自动化工具分析扫描/测试源代码以查找常见的编码缺陷;2)针对列举的安全问题对代码进行人工审计,手动分析代码以查找任何潜在问题。
审计我们主要关注的漏洞范围包括:
-
P2P:
女巫攻击
日蚀攻击
窃听攻击
拒绝服务攻击
BGP 劫持攻击
异形攻击
时间劫持
-
RPC:
窃听攻击
拒绝服务攻击
以太坊黑色情人节漏洞
HTTP 恶意输入攻击
跨域钓鱼攻击
-
共识:
长程攻击
贿赂攻击
种族攻击
活性冻结攻击
审查攻击
芬尼攻击
Vector76 攻击
替代历史攻击
51% 攻击
权力压迫攻击
币龄累积攻击
自私挖矿攻击
区块双产
-
加密:
密码学攻击
私钥预测
长度扩展攻击
-
交易:
重放攻击
交易延展性攻击
交易时间锁攻击
假充值攻击
关于 Prysmatic Labs
Prysmatic Labs 是负责以太坊网络维护、升级和创新的核心软件开发团队之一,也是以太坊客户端 Prysm 的开发团队。Prysmatic Labs 致力于以太坊横向扩容,为以太坊区块链上有价值的 DApps、智能合约提供支持。
官网:https://prysmaticlabs.com/
GitHub:https://github.com/prysmaticlabs
关于慢雾(SlowMist)
慢雾(SlowMist) 作为一家行业领先的区块链安全公司,在安全审计方面深耕多年,安全审计不仅让用户安心,更是降低攻击发生的手段之一。
除此之外,慢雾的安全解决方案包括:威胁情报(BTI)、防御部署等服务并配套有加密货币反洗钱(AML)、加密货币追踪(MistTrack)、假充值漏洞扫描、漏洞监测(Vulpush)、被黑档案库(SlowMist Hacked)、智能合约防火墙(FireWall.X) 等 SaaS 型安全产品。基于成熟有效的安全服务及安全产品,慢雾联动国际顶级的安全公司,如 Akamai、BitDefender、FireEye、RC²、天际友盟、IPIP 等及海内外加密货币知名项目方、司法鉴定、公安单位等,从威胁发现到威胁防御上提供了一体化因地制宜的安全解决方案。慢雾(SlowMist) 在行业内曾独立发现并公布数多起通用高风险的区块链安全漏洞,得到业界的广泛关注与认可。给区块链生态带来安全感是慢雾努力的方向。
官网:https://www.slowmist.com/
微博:https://weibo.com/slowmist
Twitter:https://twitter.com/SlowMist_Team
GitHub:https://github.com/slowmist/
往期回顾
慢雾导航
慢雾科技官网
https://www.slowmist.com/
慢雾区官网
https://slowmist.io/
慢雾 GitHub
https://github.com/slowmist
Telegram
https://t.me/slowmistteam
https://twitter.com/@slowmist_team
Medium
https://medium.com/@slowmist
知识星球
https://t.zsxq.com/Q3zNvvF
原文始发于微信公众号(慢雾科技):最流行的以太坊客户端 —— Prysm 已通过慢雾安全审计
