A empresa de segurança tecnológica Least Authority publicou uma auditoria das especificações do ETH 2.0 - a tão esperada revisão do protocolo Ethereum (ETH).

A Least Authority auditou o ETH 2.0 em janeiro, a pedido da Ethereum Foundation. A empresa trabalhou ao lado da Fundação durante todo o processo e compilou a versão final do relatório em 6 de março.

Fundação Ethereum encomenda auditoria do ETH 2.0

A empresa de segurança revisou as principais especificações do ETH 2.0 para a fase 0, as especificações da Beacon Chain e os documentos da Beacon Chain Fork Choice, a documentação de rede ponto a ponto (P2P), as especificações do Honest Validator e a documentação para a Implementação Go do ETH 2.0

O relatório observa que, embora aspectos específicos do design do ETH 2.0 possam ser revisados, "o sistema pode não se comportar como pretendido".

Relatório destaca riscos para bloquear proponentes

Embora o relatório tenha constatado que as especificações do ETH 2.0 são “muito bem pensadas e abrangentes”, observando que “a segurança foi uma forte consideração durante a fase de design”, a Least Authority destaca preocupações sobre a camada P2P e riscos para bloquear os proponentes.

Os pesquisadores afirmam que as especificações da rede tornam uma tarefa bastante fácil para os validadores de bloco estabelecer os endereços IP de outros validadores.

Com a documentação que implica que os proponentes de bloco são de conhecimento público, a empresa está preocupada com o fato de um invasor tentar executar estrategicamente ataques DDoS.

O relatório também alerta que um invasor pode exercer um grande volume de nodes para lançar um ataque direcionado a proponentes de bloco.

Preocupações com relação ao protocolo de rede P2P

A empresa de segurança afirma que falta a documentação em torno dos sistemas de registros P2P e Ethereum nodes record (ENR) do ETH 2.0, enfatizando que eles "não conseguiram concluir como o sistema P2P incorpora o sistema ENR".

Um "problema de spam" também é identificado no sistema de mensagens P2P do protocolo. O relatório adverte que a ausência de uma entidade centralizada supervisionando as ações dos nodes abre a possibilidade de um node desonesto tentar sobrecarregar a rede com um número ilimitado de mensagens de bloqueio antigas, ao mesmo tempo em que incorre em pouca penalidade.

"Esse tipo de ataque desaceleraria ou potencialmente interromperia o processamento da rede pela duração em que foi realizado", concluem os resultados.

O relatório também destaca preocupações com "incentivos desalinhados" e a falta de "protocolo resiliente à BAR", e insta a fundação Ethereum a buscar revisões regulares de seu código.

Das 10 questões identificadas no relatório final da empresa, duas foram resolvidas e uma foi considerada uma questão inválida.

Vulnerabilidade de segurança identificada entre as carteiras Ethereum Dapp

Em 23 de março, a ZenGO, provedora de carteiras de criptomoeda, anunciou que havia construído uma rede de teste para destacar uma importante falha de segurança que invade as carteiras de aplicativos descentralizados (Dapp) - instando os provedores de carteira a conscientizar os usuários sobre a vulnerabilidade.

O testnet do ZenGo demonstra como, ao autorizar uma única transação entre a carteira de um usuário e o contrato inteligente da Dapp, é concedida a autorização do aplicativo para acessar todos os fundos mantidos nessa carteira.