Trovato un bug “DogByte” nel protocollo di prova della Beacon Chain “Randomness” di Ethereum 2.0

I ricercatori di ZenGo hanno divulgato una vulnerabilità scoperta nel protocollo di prova Diogenes. Questa versione è stata progettata per fornire l’entropia grezza per una Verifiable Delay Function (VDF) per la beacon chain di Ethereum 2.0.

Una random beacon chain alla base di Eth 2.0

Ligero Inc., il team dietro Diogenes, sta ridisegnando una versione di prova del protocollo eliminando la vulnerabilità segnalata, secondo un post di ZenGo. L’entropia è una “randomness” (casualità) matematica che rafforza la sicurezza per le funzioni cripto.

L’aggiornamento da lungo tempo atteso di Ethereum – qui la quotazione in tempo reale, Ethereum 2.0, richiede una random beacon chain per creare entropia. Tale beacon chain è stata definita come la “spina dorsale” di Eth 2.0 per il suo ruolo nel coordinamento delle funzioni tra la blockchain principale di Ethereum e tutte le sue catene derivate più piccole chiamate “shard chain”.

I VDF sono necessari per costruire una random beacon chain veramente sicura, ha affermato il ricercatore ZenGo Omer Shlomovits. Sotto un paradigma Eth 2.0, il protocollo Diogenes orchestra le cosiddette “cerimonie” per generare l’entropia che crea i parametri per il VDF della random beacon.

Circa 1024 partecipanti sono coinvolti nel processo. Ogni partecipante che prende parte alla cerimonia ottiene solo un pezzo del “secret” – la chiave cripto che consentirebbe ai malintenzionati di interferire con la “casualità” del VDF – quindi ognuno dei 1.024 partecipanti dovrebbe collaborare per mettere insieme l’intera chiave; Diogene presume che almeno uno di questi partecipanti agirà in modo onesto.

Il bug DogByte

Il bug “DogByte”, come lo chiama ZenGo, consentirebbe a chiunque osservasse la trascrizione del protocollo, non solo ai partecipanti alla cerimonia, di apprendere il segreto creato durante la cerimonia stessa. Grazie al segreto, gli aggressori potrebbero teoricamente “distorcere” o “influenzare la casualità generata nella beacon chain”, ha spiegato Shlomovits.

Ciò potrebbe consentire loro di “ottenere un vantaggio ingiusto su tutti i prodotti costruiti sulla random beacon chain”, come lavorare per ottenere una maggiore possibilità di convalidare nuovi blocchi di Ethereum 2.0 o interferire con uno smart contract che si basi sull’entropia della beacon chain.

La vulnerabilità trovata in un controllo di sicurezza commissionato dalla Fondazione Ethereum e dalla VDF Alliance

Questa vulnerabilità è la seconda che ZenGo ha trovato nel progetto di Diogenes e fa parte di un controllo di sicurezza in corso commissionato dalla Fondazione Ethereum e dalla VDF Alliance. La prima vulnerabilità riguardava “un potenziale vettore di attacco che avrebbe potuto [dare all’hacker] accesso backdoor ad un VDF di Ethereum 2.0” e richiedeva che “il coordinatore centrale [del VDF] colludesse con uno dei partecipanti”, ha scritto ZenGo in un recente post.

Shlomovits ha sottolineato che ZenGo sta lavorando a stretto contatto con Ligero Inc. su questa ricerca, aggiungendo che “il tipo di bug attesta l’alta qualità del progetto e la quantità di controllo che viene posta nel testare questo protocollo” e che lo stack tecnologico di Eth 2.0 sembra essere “altamente resiliente”.