Attacco 'DogByte' trovato nella prova del protocollo 'Randomness' per Ethereum 2.0 Beacon Chain

I ricercatori di ZenGo hanno correttamente divulgato una vulnerabilità scoperta nelDiogene prova di protocollo. La prova è progettata per fornire l'entropia grezza per una funzione di ritardo verificabile (VDF) per la catena di beacon casuali Ethereum 2.0.

• Ligero Inc., il team dietro Diogenes, sta rielaborando la prova del protocollo per eliminare la vulnerabilità, secondo un blog di ZenGoinviare.
• L'entropia è una "casualità" matematica che rafforza la sicurezza delle funzioni crittografiche.
• L'aggiornamento di Ethereum in attesa da tempo, Ethereum 2.0, richiede un catena di fari casualeper creare entropia. Questa catena di fariè stato chiamato la “spina dorsale” di ETH 2.0 per il suo ruolo nel coordinamento delle funzioni tra la blockchain principale di Ethereum e tutte le sue catene derivate più piccole chiamate “shard chain”.
• I VDF sono necessari per costruire una catena di beacon casuali realmente sicura, ha spiegato a CoinDesk il ricercatore di ZenGo Omer Shlomovits.
• In un paradigma ETH 2.0, il protocollo Diogenes orchestra le cosiddette "cerimonie" per generare l'entropia che crea i parametri per il VDF di un beacon casuale. Nel processo sono coinvolte più parti (fino a 1.024 partecipanti).
• Ogni partecipante che prende parte alla cerimonia ottiene solo una parte del "Secret" - la chiave crittografica che consentirebbe agli aggressori di interferire con la "casualità" del VDF - quindi ONE dei 1.024 partecipanti dovrebbe collaborare per mettere insieme i pezzi del puzzle; Diogene fa la giusta ipotesi che almeno ONE di questi attori rimarrà onesto.
• L'attacco "DogByte", come lo chiama ZenGo, consentirebbe a chiunque osservi la trascrizione del protocollo, non solo ai partecipanti alla cerimonia, di Imparare il Secret creato dalla cerimonia.
• Con questo Secret, gli aggressori potrebbero teoricamente "distorcere" o "alterare la casualità generata nella beacon chain", ha detto Shlomovits a CoinDesk. Ciò potrebbe consentire loro di "ottenere un vantaggio ingiusto in tutte le utility che sono costruite in cima alla beacon chain casuale", come manipolarla per una maggiore possibilità di convalidare nuovi blocchi Ethereum 2.0 o imbrogliare uno smart contract che si basa sull'entropia dalla beacon chain.
• Questa è la seconda vulnerabilità individuata da ZenGo nel progetto Diogenes e fa parte di un audit di sicurezza in corso del protocollo commissionato dalla Ethereum Foundation e dalla VDF Alliance.
• La prima vulnerabilità coinvolgeva "un potenziale vettore di attacco che avrebbe potuto [dare all'attaccante] accesso backdoor a [un] Ethereum 2.0 VDF" e richiedeva "che il coordinatore centrale [del VDF] collaborasse con ONE dei partecipanti", scrive ZenGo nel suo recente post sul blog.
• Shlomovits ha sottolineato che ZenGo sta lavorando a stretto contatto con Ligero Inc. su questa ricerca, aggiungendo che "la qualità del bug attesta l'elevata qualità del progetto e la quantità di controllo che viene messa nel testare questo protocollo", e che il fiorente stack tecnologico di ETH 2.0 sembra essere "altamente resiliente".
• Un terzo blog sulle scoperte di ZenGo sarà presto disponibile.

Continua a leggere: Ethereum 2.0: più vicino che mai, c'è ancora molto lavoro da fare