ETH 2.0’yi Denetleyen Firma Güvenlik Açıkları Hakkında Bilgi Verdi

«

ETH 2.0’yi Denetleyen Firma Güvenlik Açıkları Hakkında Bilgi Verdi .

ETH 2.0 kodlarını denetlemek üzere Ethereum Vakfı tarafından görevlendirilen firma merakla beklenen raporunun son sürümünü paylaştı. Teknoloji güvenlik firması Least Authority, Ethereum (ETH) protokolünün uzun zamandır beklenen revizyonu ETH 2.0’ın spesifikasyonları hakkında bir rapor yayımladı. Least Authority, Ethereum Vakfı’nın isteği üzerine ETH 2.0’yi ocak ayı boyunca denetledi. Firma, süreç boyunca vakıfla birlikte çalıştı ve raporun son halini 6 Mart tarihinde derledi.

Ethereum Vakfı, ETH 2.0 denetimi konusunda Least Authority’yi görevlendirdi

Güvenlik firması, ETH 2.0 teknik özelliklerini phase 0 için gözden geçirdi. Beacon Chain teknik özellikleri, Beacon Chain Fork Choice belgeleri, eşler arası (P2P) ağ belgeleri, Honest Validator teknik özellikleri ve ETH’nin Go uygulaması için belgeler denetlendi. Raporda, ETH 2.0’ın tasarımının belirli yönleri gözden geçirildikten sonra, “kolektif sistemin amaçlandığı gibi davranmayabileceği” belirtildi. Rapor ETH 2.0 teknik özelliklerini “çok iyi düşünülmüş ve kapsamlı” bulurken, “güvenliğin tasarım aşamasında güçlü bir unsur olduğunu” belirterek, P2P katmanıyla ilgili endişeleri ve teklif verenleri engelleme risklerini de vurguluyor.

Araştırmacılar, ağ özelliklerinin blok doğrulayıcılara verdiği yetki sayesinde, diğer doğrulayıcıların IP adreslerini oluşturmalarını mümkün hale getirdiğini iddia ediyor. Blok önerenleri herkese açık hale getiren belgeler nedeniyle firma, saldırganın stratejik olarak DDoS gerçekleştirmek isteyebileceğinden endişe duyuyor. Rapor ayrıca, saldırganın blok teklif sahiplerine hedefli bir saldırı başlatmak için çok sayıda düğüm kullanabileceği konusunda da uyarıyor.

Least Authority, P2P ağ protokolü ile ilgili endişelerden bahsediyor

Güvenlik firması, ETH 2.0’ın P2P ve Ethereum düğüm kayıt (ENR) sistemlerini çevreleyen belgelerin eksik olduğunu ve “P2P sisteminin ENR sistemini nasıl içerdiğine karar veremediklerini” vurguladı. Protokolün P2P mesajlaşma sisteminde de bir “spam sorunu” tanımlandı. Raporda, düğümlerin eylemlerini denetleyen merkezi bir varlığın bulunmaması nedeniyle, sınırsız sayıda eski blok mesajı ile ağı boğmaya çalışan bir düğümün hayata geçirilmesi konusunda da uyarı yapıldı.

“Bu tür bir saldırı, yürütüldüğü süre boyunca ağı yavaşlatacak veya potansiyel olarak durduracaktır.”

Firmanın nihai raporunda tanımlanan 10 sorundan ikisinin çözüldüğü ve birinin geçersiz bir sorun olduğu belirlendi. 23 Mart’ta, kripto cüzdan sağlayıcısı ZenGO, merkezi olmayan uygulama (Dapp) cüzdanlarını kapsayan büyük bir güvenlik açığını ortaya çıkarmak için bir testnet oluşturduğunu duyurdu. Cüzdan sağlayıcılarını uyararak, kullanıcıları bu güvenlik açığından haberdar etmeye çağırdı. ZenGo’nun testnet’i, kullanıcının cüzdanı ile Dapp akıllı sözleşmesi arasında tek işlemi yetkilendirerek, bu cüzdanda tutulan tüm paralara erişmek için uygulama yetkisi nasıl verileceğini gösteriyor.

Bir Cevap Yaz

Ahmet Uraz Hakkında

avatar

Ahmet Uraz

Ahmet Uraz , Ankara Üniversitesi son sınıf öğrencisidir. Uzun süredir kripto sektöründe bulunmaktadır. Haberkoin.com'un daimi editörlerindendir. Tüm soru ve önerileriniz için ahmet@haberkoin.com adresine mail atabilirsiniz.

Bir Cevap Yaz

E-Posta adresiniz paylaşılmayacaktır. Doldurulması zorunlu alanlar işaretlenmiştir *