" Команда Web3 Foundation сообщила в твиттере и статье на Medium о том, что Atredis, компания по обеспечению информационной безопасности, провела тщательный аудит безопасности сети Polkadot. Разработчики сообщают, что это только один из серии аудитов, которые будут проведены разными компаниями для обеспечения максимальной безопасности протокола.
Web3 Foundation engaged @Atredis to perform a security assessment of the integrity, confidentiality, and availability of the Polkadot Runtime and the security and reliability of Polkadot validators.
Read the entire auditor’s report below: https://t.co/2fMXaZ0UH6
— Polkadot (@Polkadot) November 30, 2020
«Наша миссия в Web3 Foundation - способствовать следующему поколению Интернета: децентрализованному и честному Интернету, в котором пользователи контролируют свои собственные данные, а рынки получают выгоду от эффективности и безопасности сети. Этот пост является частью продолжающейся серии блогов, в которых мы сообщаем об аудитах безопасности, проведенных для усиления нашей системы», - сообщают разработчики Polkadot.
Этот аудит был проведен Atredis Partners, компанией по обеспечению информационной безопасности, имеющей большой опыт в тестировании на проникновение, обратном проектировании, использовании аппаратного / программного обеспечения и оценке проектирования встроенных систем.
Что было проверено?
В статье собщается, что Atredis был нанят для выполнения оценки безопасности целостности, конфиденциальности и доступности среды выполнения Polkadot, а также безопасности и надежности валидаторов Polkadot.
В частности, они стремились:
- идентифицировать и определять ключевые векторы атак на среду выполнения Polkadot
- выявлять любые события, которые могут нарушить целостность транзакций Polkadot
- определить случаи, когда возможно выполнение кода, предоставленного злоумышленником
- определить любые сценарии, которые могут повлиять на надежность Polkadot
- подтвердить, что архитектура, разработка и транзакционная функциональность Polkadot Runtime соответствуют принятым передовым методам криптографии и безопасности
- попытаться отключить или иным образом вмешаться в роль валидатора в сети
- попробуйте определить выбранные конкретные валидаторы
- посмотреть, можно ли принудительно выбрать вредоносный валидатор
Резюме отчета
Оценка проводилась Atredis Partners в период с 20 января по 11 февраля 2020 года. Она включала восходящий анализ коммуникационного стека, исходного кода среды выполнения Polkadot и динамическое тестирование сети Kusama. Особое внимание было уделено сценариям отказа в обслуживании («DOS») и мошеннической деятельности. В результате оценки были получены один критический, один высокий, один средний и три информационных вывода.
Критическим открытием стала логическая проблема в слое подложки, которая позволила генерировать транзакции с нулевой стоимостью. Поскольку платформа зависит от всех транзакций, имеющих фактор стоимости, эта проблема может позволить злоумышленнику отложить чувствительные ко времени действия, такие как голосование, путем рассылки спама в сети потенциально бесплатными транзакциями, которые потребляют хранилище.
Эта проблема была исправлена путем обновления логики расчета веса и сборов, так что за сквозные вызовы всегда взимается сбор, а также путем стандартизации способа расчета пользовательской информации о весе.
Другие выявленные проблемы нельзя было использовать для нарушения работы сети в целом. Было замечено, что использование языка программирования Rust значительно снижает вероятность многих классов атак, и что использование среды выполнения WASM было эффективным для изолирования динамического кода в песочнице.
Полный отчет аудитора можно прочитать здесь.
