為何波卡在完成安全審計后卻拒絕處理提示風險？_比特幣:POLK

為何波卡在完成安全審計后卻拒絕解決風險問題？

我們Web3Foundation的使命是促進下一代互聯網的發展：旨在建立一個去中心化的，公平的網絡，在該網絡上用戶可以控制自己的數據，市場可以從網絡效率和安全性中受益。這篇文章我們在其中報告了為加強我們的系統而進行的安全審核的相關內容。

該安全審計工作由信息安全公司AtredisPartners進行，該公司在滲透測試，逆向工程，硬件/軟件開發以及嵌入式系統設計評估方面擁有豐富的經驗。

什么是安全審計

我們邀請Atredis對波卡Runtime的完整性，機密性和可用性以及波卡驗證程序的安全性和可靠性進行了安全性評估。

此鏈接可閱讀整個審核員的報告。

https://assets.polkadot.network/security-audits/Atredis_Partners-Web3-Polkadot-PlatformSecurityAssessment.pdf

律師Jeremy Hogan：SEC過去曾稱XRP為數字貨幣，必須在法庭上解釋為何現在不予支持:4月6日消息，霍根律師事務所的合伙人杰里米·霍根（Jeremy Hogan）曾在Twitter上表示，2016年美國證券交易委員會（SEC）提到了Ripple以“數字貨幣公司”的身份進行文件研究。

現在，SEC將不得不向法官澄清其如何轉變為“數字安全”公司。（U.today）[2021/4/6 19:51:39]

具體來說，Atredis的審計側重于：

identifyanddefinekeyattackchainsagainstthePolkadotRuntime

識別并定義針可對波卡Runtime的攻擊

識別確認任何可能損害Polkadot交易完整性的事件

網友向推特黑客轉幣包含隱藏信息：比特幣可追蹤 為何不使用門羅幣:7月16日消息，在今日早間推特眾多名人賬戶遭攻擊，并發布數字貨幣釣魚騙局后，根據Reddit網友發布的鏈上數據信息，有用戶正在向黑客相關的七個不同的地址發送0.00005348 BTC（約合0.5美元）。而在這7筆交易中隱藏著一份信息：使用比特幣時您處于危險之中，比特幣可以被追蹤，為何不使用門羅幣。（JP.Cointelegraph）[2020/7/16]

identifycaseswhereattacker-suppliedcodeexecutioncouldbepossible

確認是否存在可以執行攻擊者提供的代碼的可能

確定任何可能會影響Polkadot可信度的情景

確認波卡Runtime架構，開發情況和交易功能，與公認的能夠確保最佳加密安全性的做法保持一致

聲音 | 劉國宏：深交所編制深證區塊鏈50指數 為何此時推出:中國（深圳）綜合開發研究院金融與現代產業研究所劉國宏所長解釋，主要有兩個原因，一是深圳有眾多在深交所上市企業涉及區塊鏈應用和產業上下游的布局；二是近來高層表達了大力發展區塊鏈技術的決心，市場也隨之關注，以此可反映區塊鏈相關企業表現。（金十）[2019/12/25]

嘗試禁用或以其他方式干擾驗證人在波卡網絡上的正常工作

嘗試選拔特定的驗證人

查看是否有可能強行選拔任免作惡的驗證人

報告摘要

評估是由AtredisPartners在2020年1月20日至2月11日進行的。其中包括對通信堆棧的自下而上的分析，針對波卡Runtime源代碼以及Kusama網絡的動態測試。在測試過程中特別測試了拒絕服務方案和欺詐活動。評估得出了一項嚴重，一項高，一項中等風險和三項信息方面的發現。

調查顯示 超半數俄羅斯人知道比特幣為何物:最近由全俄公眾輿論研究中心（VCIOM）進行的一項調查結果顯示，超過56％的俄羅斯人表示他們知道比特幣，活躍網民中這一數字已經漲至66％。年輕的俄羅斯人（18-24歲）中知道比特幣的比率已經達到75％。而首都莫斯科和第二大城市圣彼得堡有74％的居民已經了解到了去中心化的虛擬貨幣。然而只有三分之一的人知道，任何人都可以購買比特幣，16％認為比特幣在俄羅斯實際上是被禁止的。不過，有四分之一以上的人知道虛擬貨幣不僅可以購買，還可以被開采。另有44％的人意識到，將虛擬貨幣兌現，目前在俄羅斯還沒有合法化。[2018/1/23]

關鍵的發現是Substrate中的邏輯問題，該邏輯問題允許生成零成本交易。由于平臺依賴于各種具有成本因素的交易，因此該問題可能允許作惡方通過向網絡發送可能消耗存儲空間的潛在免費交易來向網絡發送時間延遲的操作，例如投票等，以致造成損失。

該問題可通過更新有關計算權重和費用的邏輯來修正，以便使得指令通行時始終支付費用，同時也可以通過標準化計算自定義權重信息的方式來進行輔助修正。

同時要保證識別出的其他問題不能被用來擾亂或顛覆整個網絡秩序。據觀察，Rust編程語言的使用大大降低了許多攻擊類別的可能性，并且WASMRuntime的使用在沙盒實驗的動態代碼中非常有效。

對調查結果的回應

問題：通過Utility.batch進行免費交易濫用

性質：嚴重風險

狀態：已解決。并由Atredis通過代碼審查進行了驗證

https://github.com/paritytech/substrate/pull/4953

問題：通過無效交易對Polkadot節點進行CPU消耗

性質：高風險

狀態：已解決。并由Atredis通過代碼審查進行了驗證

https://github.com/paritytech/substrate/pull/5939

問題：解決P2P身份響應的端點流量反應

Medium性質：中等風險

Won’tFix.回應：不會修復該問題

原因：在公共開放網絡中基于Gossip-based的安全廣播是一個沒有正確答案的問題，不同的機構、學者、工程師提出了各種建議以及半解決方案，但都具有出于自身立場的不同權衡考慮。比特幣通過給節點運營商增加執行網絡級監控的負擔，從而防止了不安全的Gossip，就現有經驗來看這在提升性能方面是相當有效的。Polkadot提出并正在執行質押的概念，同時允許執行更多檢查。另外，當前正在研究基于由節點自身完成的內置網絡監視的解決方案。最后，節點運營商可以對大型比特幣節點運營商進行連接和帶寬使用方面的經典檢查。

問題：解決P2P身份響應的可觀測的地址DNS泄漏

性質：僅通知

回應：不會修復該問題

https://github.com/paritytech/substrate/pull/6582

問題：Substratesr25519Pair::Verify調用不推薦使用的函數

性質：僅通知

回應：不會修復該問題

https://github.com/paritytech/substrate/pull/5138

問題：Substrate在from_seed_slice不一致的接口警告

性質：僅通知

回應：不會修復該問題

保持高透明度是我們Web3Foundation最引以為豪的宗旨。因此我們將持續更新這個正在進行當中的系列內容，同時會刊登出我們發現并確定的問題和糾正的步驟。

編譯/潛行之堯

Tags：比特幣REDPOLPOLK小比特幣ubc今日價格PussyCreditPolkatrailPolka Classic

SHIB最新價格