Ethereum

Audit ETH 2.0 benadrukt risico’s om indieners van voorstellen te blokkeren

Het technologiebeveiligingsbedrijf ‘Least Authority’ heeft een audit uitgevoerd en gepubliceerd van de specificaties voor ETH 2.0. Dit op verzoek van de Ethereum Foundation. De audit heeft ongeveer 2 maanden in beslag genomen.


Belangrijkste specificaties

Least Authority heeft de belangrijkste specificaties van ETH 2.0 voor fase 0 behandeld. Onder deze specificaties vallen de ‘Beacon Chain’, de ‘Beacon Chain Fork Choice’-documenten, de peer-to-peer (P2P) netwerkdocumentatie, de ‘Honest Validator’-specificaties en de documentatie voor de Go-implementatie van ETH 2.0.

Het rapport concludeert dat, alhoewel alle specificaties nog kunnen worden herzien, diverse aspecten van het ontwerp van ETH 2.0 niet volledig ‘gedragen zoals bedoeld’. Hierom zal het team nog het enige werk moeten verrichten.


Goed doordacht en uitgebreid

Het rapport stelt hiernaast wel vast dat de specificaties van ETH 2.0 zeer goed doordacht en uitgebreid waren. De beveiliging lijkt volgens het rapport een sterke overweging. Toch wordt een bezorgdheid benadrukt over de P2P-laag en de risico’s om indieners van voorstellen volledig te blokkeren. Ook is het bedrijf bezorgd dat een aanvaller kan proberen om een denial-of-service (DDoS)-aanvallen uit te voeren wat mogelijk het netwerk tijdelijk vastzet. Ook wordt gewaarschuwd dat een mogelijke aanvaller een groot aantal knooppunten kan gebruiken om een gerichte aanval op blokaanbieders uit te voeren.

Hiernaast mist naar verluidt ook de documentatie rondom de P2P- en Ethereum-knooppuntrecords-systemen. Hierdoor kon het team van Least Autority niet concluderen hoe het P2P-systeem het knooppuntrecords-systeem omvat.


Meer problemen

Ook wordt er een spamprobleem geïdentificeerd in het P2P-berichtensysteem van het nieuwe protocol. Zo wordt er gewaarschuwd dat door de afwezigheid van een gecentraliseerde entiteit die toezicht houdt op de acties van knooppunten nu een mogelijkheid voordoet dat een oneerlijk knooppunt probeert om het gehele netwerk te overrompelen met een onbeperkt aantal oude blokkeringsberichten zonder dat hier een hoge straf voor wordt opgelegd. Dit zou voor vertragingen mogelijk zelfs een volle stop op het netwerk kunnen zorgen.

Het rapport heeft in totaal 10 problemen geïdentificeerd. 2 van deze 10 problemen zijn naar verluidt inmiddels al opgelost. Ook is vastgesteld dat 1 van de problemen ongeldig was vanwege een klein misverstand.