На пути к туземун...

Читаем \ Разработчики Bytecoin о технологических багах в Monero


Разработчики Bytecoin о технологических багах в Monero

12:43 06 июля 2019 годаBCNlog

В течение последних дней на просторах сети появилось множество статей, в которых разработчики Monero признались в существовании девяти уязвимостей.

Сообщество Bytecoin взволновали данные статьи, справедливо заметив, что раз Monero является форком Bytecoin, то, соответственно, и в нашей монете могут иметь место те же уязвимости.

 

Разработчики прокомментировали опасения:

Наряду с работой над существующей кодовой базой и воплощением новых технологий, команда Bytecoin всегда идет в ногу с разработками наших конкурентов и последними исследованиями в нашей области. Недавно TNW опубликовала статью, в которой описываются потенциальные уязвимости, которые могут быть обнаружены в некоторых монетах на основе CryptoNote, в частности, в Monero. Чтобы максимально информировать наше сообщество, мы решили развеять любые опасения, которые могут возникнуть у наших пользователей после прочтения этой статьи.

Для начала следует отметить, что, несмотря на имеющуюся технологическую базу CryptoNote, Bytecoin корректирует эту технологию в течение 7 лет, а это означает, что сегодняшний BCN имеет очень мало общего с BCN семилетней давности.

Вот основные вопросы из статьи, на которых бы мы хотели остановиться:


DoS удаленного узла и другие атаки DOS через RPC

Проблема запроса большого количества блоков в SyncBlocks был решен командой Bytecoin путем установки жесткого ограничения в размере 2 МБ для блоков, возвращаемых за запрос.


Вычисление хэша созданного блока приводит к сбою в tree_hash ()

Эксплуатация в контексте узла через p2p невозможна из-за ограничения в 2 МБ для обращения GetObjectsResponse :: Notify.


Удаленный P2P DoS

Детали этой атаки не разглашаются, но поскольку BCN не передает P2P-код Monero, скорее всего, эта атака не распространяется на BCN. BCN имеет ограничения на количество сообщений для всех p2p-сообщений (очень мало для большинства), также команда BCN планирует удалить некоторые менее безопасные сообщения в последующих выпусках.


Уязвимость, позволяющая злоумышленнику убедить monero-wallet-cli, что он получил произвольное количество монет

Эта уязвимость связана с тем, как были реализованы скрытые суммы, и не относится к BCN. В Bytecoin мы задействовали иную логику реализации в нашей концепцию скрытых сумм.


Чрезмерное использование ресурсов

Эта проблема, как она описана, не существует в BCN, благодаря релизу с высокой устойчивостью к нагрузке, который вышел летом 2018 года. Таким образом, у нас есть важные средства защиты для p2p-соединений, такие как полная обработка и отправка ответа на сообщение перед чтением следующего , жесткие ограничения на большое количество сообщений P2P и таймауты неактивности.


Может произойти утечка неинициализированной памяти

BCN не использует библиотеку epee и не требует boost :: value_initialized, все поля всех структур и классов сообщений (а также других переменных, включая локальные переменные) по умолчанию инициализируются нулевыми / пустыми значениями для предотвращения неопределенного поведения и возврата инициализированных данных.


(удаленное) выделение exabyte с помощью load_from_binary () (DoS)

Опять же, BCN не использует библиотеку epee, поэтому эта проблема не распространяется на BCN.


Мы надеемся, что эта техническая информация была полезна для вас, поскольку наша миссия состоит в том, чтобы поддерживать работоспособность сети и предвидеть любые проблемы, которые могут потенциально повлиять на нашу экосистему.
 

С уважением,

Команда Bytecoin


Источник: reddit.com/r/BytecoinBCN

Комментарии

0
Нет ещё ни одного комментария. Будьте первым!