op de crypto
ZenGo-onderzoekers hebben een kwetsbaarheid onthuld die is ontdekt in het Diogenes-testprotocol. Deze release is ontworpen om de ruwe entropie te bieden voor een Verifiable Delay Function (VDF) voor de Ethereum 2.0 bakenketen.
Een willekeurige bakenketen die Eth 2.0 ondersteunt
Ligero Inc., het team achter Diogenes, herontwerpt een testversie van het protocol door de gemelde kwetsbaarheid te elimineren, volgens een ZenGo-bericht. Entropie is een wiskundige "willekeurigheid" die de beveiliging van cryptofuncties versterkt.
De langverwachte Ethereum-upgrade – hier de citaat real-time Ethereum 2.0 vereist een willekeurige bakenketen om entropie te creëren. Deze bakenketen is gedefinieerd als de "ruggengraat" van Eth 2.0 vanwege zijn rol bij het coördineren van functies tussen de belangrijkste Ethereum-blockchain en al zijn kleinere afgeleide ketens die "shard chains" worden genoemd.
VDF's zijn nodig om een echt veilige willekeurige bakenketen te bouwen, zei ZenGo-onderzoeker Omer Shlomovits. Onder een Eth 2.0-paradigma orkestreert het Diogenes-protocol zogenaamde "ceremonies" om de entropie te genereren die de parameters creëert voor het willekeurige baken VDF.
Bij het proces zijn ongeveer 1024 deelnemers betrokken. Elke deelnemer die deelneemt aan de ceremonie krijgt slechts één deel van het "geheim" - de cryptosleutel waarmee slechteriken de "willekeurigheid" van de VDF kunnen verstoren - dus elk van de 1.024 aanwezigen zou moeten samenwerken om de hele sleutel; Diogenes gaat ervan uit dat tenminste één van deze deelnemers eerlijk zal handelen.
De DogByte-bug
De "DogByte"-bug, zoals ZenGo het noemt, zou iedereen die naar het transcript van het protocol kijkt, niet alleen de ceremoniedeelnemers, in staat stellen om het geheim te leren dat tijdens de ceremonie zelf is gecreëerd. Dankzij de geheimhouding konden aanvallers in theorie de willekeur die in de bakenketen werd gegenereerd, "vervormen" of "beïnvloeden", legt Shlomovits uit.
Dit zou hen in staat kunnen stellen "een oneerlijk voordeel te behalen ten opzichte van alle producten die op de willekeurige bakenketen zijn gebouwd", zoals werken om een grotere kans te krijgen om nieuwe blokken van Ethereum 2.0 te valideren of een slim contract te verstoren dat afhankelijk is van bakenketen-entropie.
De kwetsbaarheid gevonden in een beveiligingsaudit in opdracht van de Ethereum Foundation en de VDF Alliance
Deze kwetsbaarheid is de tweede die ZenGo heeft gevonden in het Diogenes-project en maakt deel uit van een doorlopende beveiligingsaudit in opdracht van de Ethereum Foundation en de VDF Alliance. De eerste kwetsbaarheid betrof "een potentiële aanvalsvector die de hacker via een achterdeur toegang kon geven tot een Ethereum 2.0 VDF" en vereiste dat "de centrale coördinator van [de VDF] samenspande met een van de deelnemers", schreef ZenGo in een recent bericht.
Shlomovits wees erop dat ZenGo nauw samenwerkt met Ligero Inc. aan dit onderzoek, eraan toevoegend dat "het type bug getuigt van de hoge kwaliteit van het project en de hoeveelheid aandacht die wordt besteed aan het testen van dit protocol" en dat de Eth 2.0-technologiestapel "zeer veerkrachtig" lijkt te zijn.
