La firma de seguridad tecnológica Least Authority ha publicado una auditoría de las especificaciones para ETH 2.0, la tan esperada revisión del protocolo Ethereum (ETH).

Least Authority auditó ETH 2.0 durante enero a solicitud de la Fundación Ethereum. La firma trabajó junto a la Fundación durante todo el proceso y compiló la versión final del informe el 6 de marzo.

La Fundación Ethereum encarga la auditoría de ETH 2.0 a Least Authority

La firma de seguridad revisó las especificaciones básicas de ETH 2.0 para la fase 0, las especificaciones de Beacon Chain y los documentos de Beacon Chain Fork Choice, la documentación de redes entre pares (P2P), las especificaciones del Honest Validator y la documentación para la implementación Go de ETH 2.0.

El informe señala que si bien se pueden revisar aspectos específicos del diseño de ETH 2.0, "el sistema colectivo puede no comportarse como se esperaba".

El informe destaca riesgos para los proponentes de bloques

Si bien el informe encontró que las especificaciones ETH 2.0 están "muy bien pensadas y completas", y señala que "la seguridad ha sido una consideración importante durante la fase de diseño", Least Authority destaca las preocupaciones con respecto a la capa P2P y los riesgos para los proponentes de bloques.

Los investigadores afirman que las especificaciones de la red hacen que sea bastante fácil para los validadores de bloques determinar las direcciones IP de otros validadores.

Dado que la documentación implica que los proponentes de bloque son de conocimiento público, a la empresa le preocupa que un atacante pueda intentar ejecutar estratégicamente ataques de denegación de servicio (DDoS).

El informe también advierte que un atacante podría manejar un gran volumen de nodos para lanzar un ataque dirigido a los proponentes de bloque.

Least Authority destaca las preocupaciones sobre el protocolo de red P2P

La firma de seguridad dice que falta la documentación que rodea los sistemas de registros de nodos P2P y Ethereum (ENR) de ETH 2.0, y enfatiza que fueron "incapaces de concluir cómo el sistema P2P incorpora el sistema ENR".

También se identifica un "problema de spam" en el sistema de mensajería P2P del protocolo. El informe advierte que la ausencia de una entidad centralizada que supervise las acciones de los nodos abre la posibilidad de que un nodo deshonesto intente abrumar a la red con un número ilimitado de mensajes de bloques antiguos mientras incurre en una pequeña penalización.

"Este tipo de ataque lentificaría o podría detener el procesamiento de la red durante el tiempo que se llevó a cabo", concluyen los hallazgos.

El informe también destaca las preocupaciones con respecto a los "incentivos desalineados de gossip" y la falta de un "protocolo gossip resistente a BAR", e insta a la fundación Ethereum a propiciar revisiones regulares de su código.

De los 10 problemas identificados en el informe final de la empresa, dos se han resuelto desde entonces, y se ha determinado que uno era un problema no válido.

Vulnerabilidad de seguridad identificada entre las billeteras Dapp de Ethereum

El 23 de marzo, el proveedor de billetera cripto ZenGO anunció que había construido una red de prueba para evidenciar una falla de seguridad importante que penetraba las billeteras de aplicaciones descentralizadas (Dapp), instando a los proveedores de billeteras a que los usuarios sean conscientes de la vulnerabilidad.

La testnet de ZenGo demuestra cómo, al autorizar una sola transacción entre la billetera de un usuario y el contrato inteligente de Dapp, se otorga la autorización de la aplicación para acceder a todos los fondos que se encuentran dentro de esa billetera.

Sigue leyendo: