最流行的以太坊客户端 —— Prysm 已通过慢雾安全审计

区块链安全 1年前 (2023) admin
256 0 0

近期,慢雾(SlowMist正式完成了对以太坊共识层客户端 Prysm 的安全审计服务。


最流行的以太坊客户端 —— Prysm 已通过慢雾安全审计


众所周知,以太坊节点的行为是由其运行的客户端软件控制的,因此客户端多样性对以太坊的网络健康至关重要,客户端内的错误占比超过 33% 会导致以太坊离线。当拥有三分之二多节点的客户端出现严重漏洞,可能会导致链错误分叉,并可能造成罚没。


Prysm 是一个用 Go 编写的以太坊共识层实现,由以太坊核心开发团队 Prysmatic Labs 开发,用户可以使用 Prysm 运行一个节点来参与以太坊的去中心化经济。Prysm 是共识协议的一种实现,注重可用性、安全性和可靠性,它也是当前用户规模最大的以太坊客户端,目前有超过 42% 的验证节点都在使用 Prysm 验证交易。


作为专注于区块链生态安全的行业头部公司,慢雾(SlowMist也一直关注着以太坊的发展,这次安全审计合作,不仅是深度地参与了以太坊生态,更是与 Prysmatic Labs 在其对安全重视的前提下,共同助力了以太坊生态的安全发展。

本次审计在 2022 年 11 月 1 日 – 2022 年 11 月 21 日之间进行,慢雾(SlowMist采用“黑盒、灰盒为主、白盒为辅”的策略,以最接近真实攻击的方式对项目进行完整的安全测试,目标是通过发现并修复安全漏洞,并向团队提供修复与加强建议,以保护项目及用户安全。慢雾(SlowMist对链的安全审计过程重点包括以下两个步骤:1)使用自动化工具分析扫描/测试源代码以查找常见的编码缺陷;2)针对列举的安全问题对代码进行人工审计,手动分析代码以查找任何潜在问题。


审计我们主要关注的漏洞范围包括:


  • P2P:

     女巫攻击

     日蚀攻击

     窃听攻击

     拒绝服务攻击

     BGP 劫持攻击

     异形攻击

     时间劫持

  • RPC:

     窃听攻击

     拒绝服务攻击

     以太坊黑色情人节漏洞

     HTTP 恶意输入攻击

     跨域钓鱼攻击

  • 共识:

     长程攻击

     贿赂攻击

     种族攻击

     活性冻结攻击

     审查攻击

     芬尼攻击

     Vector76 攻击

     替代历史攻击

     51% 攻击

     权力压迫攻击

     币龄累积攻击

     自私挖矿攻击

     区块双产

  • 加密:

     密码学攻击

     私钥预测

     长度扩展攻击

  • 交易:

     重放攻击

     交易延展性攻击

     交易时间锁攻击

     假充值攻击


慢雾(SlowMist计过程中发现了 2 个低风险和 1 个建议漏洞。同时,慢雾审计人员提出了加强建议。在与 Prysmatic Labs 团队沟通后,问题已得到解决,并由审计人员再次审查并通过。审计报告详情可点击原文链接查看。

最流行的以太坊客户端 —— Prysm 已通过慢雾安全审计


关于 Prysmatic Labs


Prysmatic Labs 是负责以太坊网络维护、升级和创新的核心软件开发团队之一,也是以太坊客户端 Prysm 的开发团队。Prysmatic Labs 致力于以太坊横向扩容,为以太坊区块链上有价值的 DApps、智能合约提供支持。


官网:https://prysmaticlabs.com/

GitHub:https://github.com/prysmaticlabs


于慢雾(SlowMist) 


慢雾(SlowMist作为一家行业领先的区块链安全公司,在安全审计方面深耕多年,安全审计不仅让用户安心,更是降低攻击发生的手段之一。


除此之外,慢雾的安全解决方案包括:威胁情报(BTI)、防御部署等服务并配套有加密货币反洗钱(AML)、加密货币追踪(MistTrack)、假充值漏洞扫描、漏洞监测(Vulpush)、被黑档案库(SlowMist Hacked)、智能合约防火墙(FireWall.X) 等 SaaS 型安全产品。基于成熟有效的安全服务及安全产品,慢雾联动国际顶级的安全公司,如 Akamai、BitDefender、FireEye、RC²、天际友盟、IPIP 等及海内外加密货币知名项目方、司法鉴定、公安单位等,从威胁发现到威胁防御上提供了一体化因地制宜的安全解决方案。慢雾(SlowMist在行业内曾独立发现并公布数多起通用高风险的区块链安全漏洞,得到业界的广泛关注与认可。给区块链生态带来安全感是慢雾努力的方向。


官网:https://www.slowmist.com/

微博:https://weibo.com/slowmist

Twitter:https://twitter.com/SlowMist_Team

GitHub:https://github.com/slowmist/


往期回顾

NFT 防钓鱼指北:如何选择一款防钓鱼插件

ZKP 系列之 Circom 验证合约输入假名漏洞复现

慢雾:盘点 ZKP 主流实现方案技术特点

慢雾:“揭开” 数千万美金大盗团伙 Monkey Drainer 的神秘面纱

暗度陈仓 —— Orion Protocol 被黑分析

最流行的以太坊客户端 —— Prysm 已通过慢雾安全审计

慢雾导航


慢雾科技官网

https://www.slowmist.com/


慢雾区官网

https://slowmist.io/


慢雾 GitHub

https://github.com/slowmist


Telegram

https://t.me/slowmistteam


Twitter

https://twitter.com/@slowmist_team


Medium

https://medium.com/@slowmist


知识星球

https://t.zsxq.com/Q3zNvvF

原文始发于微信公众号(慢雾科技):最流行的以太坊客户端 —— Prysm 已通过慢雾安全审计

版权声明:admin 发表于 2023年2月22日 下午6:58。
转载请注明:最流行的以太坊客户端 —— Prysm 已通过慢雾安全审计 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...