PoS kripto para birimlerine yönelik "sahte haklar" saldırılarına karşı, bu para birimleri maalesef işe alındı
Önsöz: Pek çok PoS kripto para biriminin aslında Bitcoin kod tabanının (veya en azından torunlarının) çatalları olduğunu biliyoruz. Temel fark, Bitcoin'in çalışma kanıtı yerine sahiplik kanıtı (PoS) kullanmalarıdır ( PoW). Bununla birlikte, bazı tasarım fikirleri güvensiz bir şekilde kopyalandı, bu da bu para birimlerinde bazı yeni güvenlik açıklarına yol açtı ve Bitcoin ana kod tabanında mevcut değildi.
Bu makale, Merkezi Olmayan Sistemler Laboratuvarı'nda Sanket Kanjalkar (sanket1729, smk7@illois.edu), Yunqi Li, Yuguang Chen, Joseph Kuo ve Andrew Miller'dan oluşan bir öğrenci grubu tarafından yürütülen bir dizi kaynak tükenme araştırmasını açıklamaktadır. Boşluklar. Toplamda, bu güvenlik açıkları 26'dan fazla Proof of Stake (PoS) kripto para birimini etkiledi ve küçük miktarlı siber saldırganların ilgili yazılımı çalıştıran herhangi bir ağ düğümüne zarar vermesine izin verdi. Bu çalışma Ekim 2018'de başladı ve araştırmacılar, etkilenen kripto para birimi geliştirme ekiplerini makale yayınlanmadan önce bilgilendirdi ve çoğu hafifletme önlemleri kullandı.
(Resim: itradeico)
Proof of Stake (PoS) kripto para birimleri, özellikle PoSv3'e (PoS'un üçüncü versiyonu) dayalı olanlar, UTXO modelini ve en uzun zincir mutabakat kuralını kullandıkları için Bitcoin'e çok benzer. Temel fark, Proof of Work'ü (PoW) madalyonun sahiplik kanıtıyla değiştirmeleridir.
PoS mekanizmasının potansiyel faydaları arasında azaltılmış çevresel etki ve% 51 saldırılara karşı daha iyi direnç bulunur. Aslında, birçok PoS kripto para birimi, Bitcoin kod tabanının (veya en azından onların soyundan gelenlerin) çatallarıdır ve ardından PoS mekanizmaları yerleştirilir. Bununla birlikte, bazı tasarım fikirleri güvensiz bir şekilde kopyalandı, bu da bu para birimlerinde bazı yeni güvenlik açıklarına yol açtı ve Bitcoin ana kod tabanında mevcut değillerdi.
Bu güvenlik açıklarına " Sahte haklar "Saldırı. Esasen, PoSv3 uygulamasının değerli kaynakları (disk ve RAM) taahhüt etmeden önce ağ verilerini tam olarak doğrulamaması nedeniyle çalışırlar. Sonuç olarak, bir saldırgan (belirli bir Bazı durumlarda, madeni paralara bile ihtiyaç duyulmaz.) Kurbanın diski veya RAM'i, düğümünün çökmesine neden olacak şekilde sahte verilerle doldurulabilir. UTXO'ya dayalı tüm kripto para birimlerinin ve en uzun zincirli PoS modelinin bu "sahte haklara" karşı savunmasız olduğuna inanıyoruz. "Saldırı. Bu makalenin sonunda, araştırmacılar tarafından araştırılan ve etkilendiğine inanılan kripto para birimlerinin bir listesi listelenmiştir.
Bu makalenin geri kalanında, bazı ince sonuçları olduğu için güvenlik açıklarını ve saldırıları ayrıntılı olarak açıklayacağız. Güvenlik açığının kendisi geriye bakıldığında çok basit olsa da, bu sorunu tamamen çözmek çok zordur.Şimdiye kadar proje tarafları tarafından benimsenen azaltma önlemleri, zincir bölünme riski pahasına olmuştur (daha sonra bu konuyla ilgili daha fazlası) Giriş).
arka fon
Bu güvenlik açıklarının ayrıntılarına girmeden önce, öncelikle PoS mekanizmasına dayalı zincirin nasıl çalıştığını tanıtalım.
PoS madenciliği: İş kanıtı (PoW) madenciliğine benzer şekilde, PoS'de madencilik, blok başlığının karma değeri ile zorluk hedefinin karşılaştırılmasını da içerir. PoS'nin üst düzey hedefi, her bir paydaşın bir sonraki bloğu madencilik yapma şansının, sahip oldukları token sayısı ile orantılı olmasını sağlamaktır. Bunu başarmak için, PoS tabanlı bir blok zincirinde, hash yalnızca blok başlığına değil, aynı zamanda paydaşlar tarafından bloğa eklenen özel "CoinShare" işlemine dahil edilen coin miktarına da bağlıdır. PoS madenciliğinin tüm detayları için, Earlz'ün blog gönderisinde ayrıntılı bir açıklama bulabilirsiniz. Bu makale için, PoS'nin aşağıdakilere bağlı olduğunu kontrol etmek önemlidir:1) coinstake işlemi, 2) ve coinstake exchange tarafından kullanılan UTXO.
Blok doğrulama kaynaklarının korunmasında iş kanıtı (PoW) rolü: Hepimizin bildiği gibi PoW, Bitcoin mutabakatında hayati bir rol oynar. Bununla birlikte, PoW ayrıca daha az önemli ikinci bir rol oynar: düğümün sınırlı kaynaklarına (disk, bant genişliği, bellek ve CPU gibi) erişimi korumak. İzinsiz bir kripto para birimi ağında, eş düğümlerin güvenilir olmasına gerek yoktur. Bu nedenle, kaynak tükenme saldırılarını önlemek için Bitcoin düğümleri, daha fazla kaynak göndermeden önce (blokları RAM veya diskte depolamak gibi) önce PoW'da alınan herhangi bir blok olup olmadığını kontrol edecektir. Ancak, PoS'yi kontrol etmenin PoW'yi doğrulamaktan daha karmaşık ve çevreye karşı daha duyarlı olduğu ortaya çıktı. Bu nedenle, PoS tabanlı birçok zincir uygulaması uygun doğrulamayı ihmal eder.Bunun nasıl bir kaynak tükenmesi güvenlik açığına yol açtığını anlamak için, doğrulamadan önce bloğun nasıl saklanacağına dair bazı ayrıntılı bilgiler sağlamalıyız. Bir düğüm yalnızca o andaki en uzun zinciri değil, aynı zamanda zincirin çatal sayısını da izlemelidir (bunlardan herhangi biri en uzun zincir olabilir, bu durumda düğümün ona geçmek için "yeniden gruplanması" gerekir). Bu, örneğin, hatalı bir yükseltme, çift harcama saldırısı (ör.% 51 saldırısı) veya geçici bir ağ bölümü sırasında gerçekleşebilir.
Ana zincir dışındaki bu blokları doğrulamak zordur. Bu blokları tam olarak doğrulamak için, önceki blok zamanından bir dizi kullanılmamış paraya (UTXO) ihtiyacınız vardır. Bitcoin UTXO'yu geçmişteki diğer bloklar yerine en iyi zincirin şu anki ucunda tutar. Çataldaki bloğu tam olarak doğrulamanın iki ana yolu vardır:
Bitcoin'in kod tabanı Seçenek 2'yi desteklemiyor, desteklese bile depolama maliyetlerini artıracak (Bitcoin düğüm performansı, çok sayıda gereksiz verinin silinmesine bağlıdır). Seçenek 1, Bitcoin kod tabanının şu anda yeniden yapılandırmayı tam olarak nasıl işlediğidir. Bununla birlikte, bu çok pahalı olabilir, bu nedenle geri alma ve tam doğrulama, çataldaki çalışma ispatı halihazırda mevcut ana zincirden daha büyük olduğunda mümkün olan son ana kadar ertelenecektir. Bu nedenle, eş ilk kez en uzun zincir olmayan bir blok veya blok başlığı aldığında, tam doğrulamayı atlayacak ve bloğu yerel depolamaya kaydedecektir.
Bloğu diske depolamadan önce, Bitcoin kod tabanı PoW'ye dayalı bazı ön doğrulama gerçekleştirir (ancak işlemi göz ardı eder). Bu ön kontrol yalnızca önceki blok başlığına ve geçerli blok başlığına bağlıdır, bu nedenle düğüm bu işlemi çok hızlı bir şekilde gerçekleştirebilir. Bu etkili bir savunmadır çünkü geçmesi çok pahalı olan etkili POW üretir. Başka bir deyişle, Bitcoin düğümlerini diskte geçersiz bir blok depolaması için kandırabilsek de, böyle bir kaynak tükenme saldırısı gerçekleştirmek çok pahalıdır.
PoS'de benzer bir ön kontrol, eşleştirme işlemini doğrulamak ve mevcut bloğun çekirdeğiyle hashing yaparken zorluk hedefini geçip geçmediğini kontrol etmektir. Eşleştirme işleminin karmasını hesaplamak kolaydır ve zor olan kısım, yeniden alım işleminin UTXO girdisinin geçerli ve kullanılmamış olup olmadığını kontrol etmektir, çünkü bu, UTXO kümesinin kontrol edilmesini gerektirir, daha önce belirtildiği gibi, küme geçmiş bloklar için kullanılamaz. kullanın. Eşleştirme işlemlerini tam olarak doğrulamak zor olduğundan, PoS mekanizmasına dayalı çoğu zincir, sezgisel veya yaklaşık kontroller sağlar. Bu yaklaşımların genellikle yetersiz olduğu ve kullanılabileceği ortaya çıktı.
Güvenlik Açığı 1: Eşitlik gerektirmeyen saldırılar
Bu sorunu ilk araştırdığımızda 5 kripto para birimi olduğunu gördük: Qtum (kuantum zinciri), Particl, Navcoin, HTMLcoin ve Emercoin bu güvenlik açığının oldukça küçük bir biçimini sergiliyor: yani blok RAM'e gönderildiğinde Ya da diskten önce herhangi bir coinhare işlemini kontrol etmediler. Bu beş kripto para biriminin ortak özelliği, Bitcoin'in blok yayılımının blok ve blok başlığı olmak üzere iki ayrı mesaja bölündüğü "blok başlık önceliği" işlevini kullanmalarıdır. Bir düğüm, yalnızca blok başlığı en uzun (veya daha uzun) zincir olan PoW kontrolünü geçerse bir blok talep edecektir. Eşleştirme işlemleri blok başlığında değil sadece blokta mevcut olduğundan, düğüm tek başına blok başlığını doğrulayamaz. Bunun yerine, doğrudan blok başlığını bellekteki bir veri yapısına (mapBlockIndex) depolar. Bu nedenle, herhangi bir siber saldırgan, bozuk para tutmasa bile kurban düğümünün RAM'ını doldurabilir. .
Bu saldırının ikinci çeşidi, biraz farklı çalışmasına ve farklı kaynakları (yani RAM yerine kurbanın diskini) hedef almasına rağmen, aynı kod tabanına karşı yürütülebilir. Tartışmalı olan şey, diskleri içeren saldırıların kurbanlar için daha zararlı olmasıdır: RAM doluysa ve düğüm çökerse, yalnızca yeniden başlatılması gerekir. Bununla birlikte, disk doluysa, manuel müdahale gerekir (örneğin, diskteki eski blokları temizlemek için harici bir komut dosyası çalıştırmak).
Blok başlığı yerine bir blok alındığında, farklı bir ön kontrol gerçekleştirilir. İdeal olarak, blok bir eşleştirme işlemi içerdiğinden, düğüm yazılımı, bloğu diske göndermeden önce eşleştirme işlemini kontrol etmelidir. Bununla birlikte, daha önce de belirtildiği gibi, eğer blok bir çatal üzerindeyse, düğüm, eş alım değişimi tarafından kullanılan UTXO'ya kolayca erişemez. Belki de bu nedenle, bu kod tabanları eşleştirme işlemlerini doğrulayamıyor.
Bu güvenlik açıklarından herhangi biri, madeni para tutmadan kripto para birimine saldırabilir. RAM sürümü saldırısı görece önemsizdir, ancak teknik nedenlerden dolayı disk sürümü saldırısı biraz daha özen gerektirir. Bu detaylar 2019 yılında "Financial Cryptography" de yayınlanan kısa bir makalede anlatılacaktır.
Güvenlik Açığı # 2: Sahte haklar saldırısı
Bu kod tabanlarının "kökenini" izleyerek, Bitcoin'in "önce blok başlığı" özelliği PoSv3 kod tabanına birleştirildiğinde # 1 güvenlik açığının ortaya çıkacağını fark ettik. Saldırı, PoS coinlerinin önceki sürümleri (Pidiancoin gibi) için geçerli değildir çünkü blokları diskte depolamadan önce iki ek ön kontrol gereklidir:
Kontrol 1, mevcut ana zincirde şimdiye kadarki tüm işlemleri izleyen işlem veritabanında (TxDB) arama yapılarak yapılır. Başka bir deyişle, ön doğrulama, doğrulama olmamasından iyidir, ancak yine de tam doğrulamadan daha kötüdür. Bu açıklamayı takip ettiyseniz, aniden iki sorun ortaya çıkabilir:
Endişe A: Kontrol 1 madeni paranın var olduğundan emin olabilir, ancak kullanılmadığından emin olamaz. Bu içgörü, hemen daha sonra tartışacağımız boşluklara yol açar.
Endişe B: Ana zincir çatalındaki bloğu doğruluyor olsak bile, eşleştirme işlemi ana zincirin TxDB'sine göre doğrulanacaktır.
A problemine dayanarak, bu tür teftişi aldatmanın bir yolunu da bulduk. Bu ince saldırı yöntemine "öz sermaye harcama saldırısı" diyoruz. Kontrol 1'i atlamak için, düğüm tarafından görülen ancak zaten meşgul olan bir çıktı kullanırız. Genellikle, 2. kontrolü atlamak için, zorluk hedefini geçen geçerli bir blok çıkarmamız gerekir ve bu da çok sayıda jeton gerektirir. Ancak, "eşitlik büyütme" dediğimiz bir tekniği kullanarak herhangi bir sayıda görünen öz sermaye oluşturmak için eksik doğrulamayı kullanabiliriz.
Stake Arttırma Teknolojisi Küçük bir miktar hisseyle bir saldırı gerçekleştirmek için, saldırganın görünen hissesini artırması gerekir. Görünen öz sermaye, aday özsermayenin toplam çıktısını, hatta harcanan özkaynak çıktısını ifade eder. Saldırgan k UTXO ile başlarsa, saldırgan madeni paraları saldırgana geri harcamak için aşağıdaki şekilde gösterildiği gibi birden fazla işlem oluşturabilir. Yalnızca UTXO'nun (n + 1) stake etme yapmasına izin verilir, ancak yukarıdaki 2. kontrol nedeniyle, tüm UTXO'ların özkaynaklarını 1'den n + 1'e çıkarabiliriz, böylece görünen öz sermayeyi n * k'ye çıkarabiliriz. Bu, bir PoS bloğu bulma şansını artırır çünkü saldırgan, görünürdeki öz sermayesini artırmak için bunu yapmaya devam edebilir. Spesifik süreç, aşağıdaki şeklin sol tarafındaki "Yetki Genişletme Adımında" gösterilmektedir.
Hisse büyütme ve hisse senedi harcama saldırısı
Örneğin, sistemde yalnızca% 0,01 öz sermaye olsa bile, saldırganın% 50 görünür öz sermaye gücüyle bloklar çıkarmak için yalnızca 5000 işlem kullanması gerekir. Saldırgan büyük miktarda görünür öz sermaye topladıktan sonra, PoS bloklarını araştırmaya devam etmek için yeni toplanan görünür öz kaynak çıktısını kullanabilir.Son olarak, saldırgan, kurbanın eş düğümünün diskini, yukarıdaki şeklin sağ tarafında gösterildiği gibi geçersiz bloklarla doldurur . Örneğin, bir saldırgan bir borsadan bazı PoS coinleri satın alabilir, açıkladığımız gibi kendi kendine harcama yoluyla görünen öz sermayeyi genişletebilir, sonra bu coinleri borsaya satabilir ve daha sonra herhangi bir zamanda saldırıyı gerçekleştirebilir. Bir saldırganın ödemesi gereken tek fiyat işlem ücretleridir.
Güvenlik açığı ifşasını koordine edin
İlk olarak Particl ve Qtum kripto para birimleri bağlamında 1 numaralı güvenlik açığını araştırdık.Bu güvenlik açığının etkisini belirlemek için coinmarketcap.com'dan piyasa değerine göre sıralanmış bilinen kripto para birimlerinin bir listesini topladık (9 Ağustos 2018) , Ve bir PoS konsensüs tipi zinciri seçti. Sadece Bitcoin kod tabanından çatallanan PoS para birimlerini inceledik. Toplam 26 kripto para birimi kontrol edildi ve güvenlik açığından sadece 5 PoS coin etkilendi. Bunlar Qtum, Navcoin, HTMLcoin, Emercoin Ve Particl ve bizim saldırı yöntemimiz PoS madeni paralarının geri kalanı için işe yaramıyor gibi görünüyor. Güvenlik açıklarını doğrulamak için, etkilenen beş kod tabanının her birine saldırılar uyguladık. Bitcoin yazılımındaki mevcut test paketlerini, özellikle simüle edilmiş zaman damgalarını destekleyen ve blokları oluşturması kolay olan regtest modunun yanı sıra saldırganları geçebilen python tabanlı bir test düğümü (Bitcoin test çerçevesine dayalı) kullanıyoruz. Davranış genişler. Bu testleri, bunların bağımlılıklarını ve etkilenen bir yeniden üretilebilirlik araç setinde etkilenen belirli taahhüt hash'lerini paketlemek için Docker container'ları kullanıyoruz ve etkilenen beş geliştirme ekibiyle kolayca paylaşabiliriz. , Güvenlik açığı ifşasının bir parçası olarak.
Ardından, etkilenmemiş kripto para birimlerinin neden 1 numaralı güvenlik açığına karşı savunmasız olmadığına dair daha derin bir anlayışa sahibiz ve ardından 2 numaralı güvenlik açığının neredeyse aynı derecede ciddi olduğunu (az miktarda öz sermaye gerektirir), ancak daha yaygın olduklarını anlıyoruz. Koordineli bir ifşa planlarken, aktif olmayan ekonomik faaliyete ve aktif olmayan geliştirme ekiplerine sahip kripto para birimlerine karşı savunmasızlığın ifşa edilmesinin ters etki yaratabileceğine inanıyoruz (örneğin, risk, güvenlik açığı sızdırılırsa, başkalarının azaltma önlemlerini uygulamaya zaman bulamadan, Başkalarını etkileyebilir). Sonunda, dikkatimizi saldırıya uğrama olasılığı en yüksek olan 15 kripto para birimine (en iyi 200 kripto para birimi) odaklamaya karar verdik.
Karmaşık bir faktör, bu kod tabanlarının çoğunun yeniden test modunu kullanmamasıdır, bu nedenle saldırıyı kolayca gösteremiyoruz ve her kod tabanı için bir yeniden üretilebilirlik araç takımı sağlayamıyoruz. Bu nedenle, stratisX'in yalnızca C ++ kod tabanının bir gösterimini sağlıyoruz. Kod tabanındaki benzerliklere dayanarak, etkileneceğini düşündüğümüz 15 ekibin tümünü bilgilendirdik. Bunların arasında 5 ekip güvenlik açığını kabul etti, 3 ekip hala araştırıyor, 3 ekip güvenlik açığını reddetti (azaltma önlemleri uyguladıklarını belirtti) ve 4 ekip yanıt vermedi . Yanıt vermeyen dört ekip için web sitelerinde bulunan kanallar aracılığıyla kendileriyle iletişime geçtik. Burada Github güvenlik açığı yeniden üretilebilirlik araç setimizi ve güvenlik açığı # 1 ile ilgili kısa bir makaleyi bulabilirsiniz. Ayrıca CVE'yi, yakında kamuoyuna duyurulması gereken güvenlik açığı için ayırdık.
Etki azaltma önlemleri
Bir ekibin güvenlik açığı ifşamız için bir dizi hafifletme önlemi uyguladığını gördük. Bazı kripto para birimleri, saldırıları tespit etmek ve saldıran akranlardan bağlantıyı kesmek için hafifletme önlemleri uygular. Basitçe ifade etmek gerekirse, bir düğüm, eş düğümünün anormal davranışını izler (örneğin, bir çatala birden çok blok başlığı göndererek). Bu sezgisel yöntemin zorluğu, gerçek saldırılar ile yasal yeniden yapılanma geçiren dürüst düğümler arasında ayrım yapmanın zor olmasıdır. Bu nedenle, bu planın yanlışlıkla dürüst düğümleri yasaklama riski vardır. Şimdiye kadar gördüğümüz hafifletme önlemleri makul görünüyor, ancak bu daha fazla araştırmaya değer bir alan.
Diğer bazı kripto para birimleri, sabit bir uzunluk aralığında kısmi doğrulama ekledi. Eş, ana zincirden bu uzunluktan daha fazla sapan bir blok alırsa, blok atılır. Örneğin, bu yöntem, 10 blokluk bir yuvarlanan kontrol noktası kullanan BCH'nin (Bitcoin Cash) ABC kod tabanında da kullanılır. Bu yöntemin dezavantajı, "zincir bölünmesi" olasılığını getirmesidir. Dürüst düğümler, blok zincirinin farklı çatallarında sona erdiğinde, zincir bölünmeleri meydana gelir. Bu, örneğin, ağ bağlantısı zayıfsa, düğümlerin birbirleriyle çakışan denetim noktaları oluşturmaya yetecek kadar uzun süre senkronizasyonunu kaybetmelerine neden olabilir. Düğümler yeniden bağlantı kursa bile, zincir senkronizasyonunu sağlayamazlar. Bu tür hafifletme önlemleri olmasa bile, zincir bölünmesi riski olduğunu not ediyoruz. Önceki B endişesine geri dönüp baktığımızda, yeniden alım işlemi mevcut zincirdeki işlem çıktısı kullanılarak doğrulandığından, bir düğüm kendisini geçici olarak bir çatal üzerinde bulursa, gerçek ana zincire geçemeyebilir.
Zincir bölünmesi riski, düşman madenciler için yeni saldırı yöntemlerini de beraberinde getiriyor. Saldırgan, uzun bir zinciri gizlice mayınlamaya çalışabilir ve ardından zincirin bölünmesine neden olmak için onu bir düğüm alt kümesinde yayınlayabilir. IBD'deki (İlk Blok İndirme) düğümler veya uzun süre çevrimdışı kaldıktan sonra yeniden başlatılan düğümler bu saldırıya özellikle açıktır. Bu saldırı, saldırgan tarafından kontrol edilen zincire dürüst düğümler eklemek için bir Eclipse saldırısıyla birleştirilebilir.
Tüm bu azaltma önlemleri, saldırının yürütülmesini zorlaştırabilir, ancak yine de tam doğrulamanın yerini alamaz. Quantum Chain gibi bazı kripto para birimleri, gelecekteki sürümlerde ana olmayan zincir bloklarını tam olarak doğrulamayı planlıyor.
Aşağıdaki etkilenen kripto para birimlerinin kullanıcılarına düğümlerini en son yama yazılımına güncellemeleri tavsiye edilmelidir. Güncellenmemiş düğümler için bu güvenlik açığını düğümün RAM veya disk tüketimini artırmak ve sonunda çökmesine neden olmak için kullanabiliriz.
Aşağıdaki tablo, yukarıdaki iki güvenlik açığından etkilendiğine inandığımız kripto para birimlerini göstermektedir. PoS madeni paralarının hepsini doğrulamadık ve iddialarımızı çürüten para birimi ekiplerinin neden etkilenmediğini araştırmadık.
Son düşünceler
"Hak ve menfaat sahteciliği" saldırıları prensip olarak basit olsa da, zor bir tasarım zorluğunu vurguluyorlar: İş kanıtı (PoW) açısından anlamlı olan bazı fikirler güvenli bir şekilde hak kanıtına (PoS) dönüştürülemez. Bitcoin Core'un PoSv3 kripto para biriminin "öncülü" olduğu düşünüldüğünde, kod paylaşım seviyeleri çok yüksek ve bunun daha fazla incelemeyi hak ettiğini düşünüyoruz. Bu güvenlik açıklarını araştırırken, çeşitli azaltma önlemleri ve özel savunma önlemleri için yapım aşamasında olan projelerin birkaç temelini bulduk. Bizim için bu, PoS geliştiricilerinin bu tasarım alanındaki değiş-tokuşların ve gereksinimlerin tam olarak anlaşılmadığının farkında olduklarını gösteriyor. Buradaki zorluk, bir yandan geçersiz blokları mümkün olan en kısa sürede reddetmek istiyoruz, diğer yandan zincir bölünmelerine düşmek veya asıl ana zinciri işlemede gecikmek istemiyoruz. . Bu sorunla başa çıkmanın sistematik yöntemi, gelecekte hala araştırılmaya çalışılmaktadır.
En az iki kripto para birimi kod tabanını etkileyen son güvenlik açıkları örnekleri (Bitcoin'de CVE 201817144 gibi) görmemize rağmen, bildiğimiz kadarıyla, ilk kez bu kadar çok (20+) bağımsız şifreleme aşıldı Para birimi koordinasyon güvenlik açıklarının ifşa edilmesi. Farklı kripto para birimleri arasında fikirlerin çapraz yayılma miktarı ve kodun yeniden kullanımı göz önüne alındığında, gelecekte bu türden daha fazla güvenlik açığı bekliyoruz. Bu kod tabanlarının güvenlik sürecinin neredeyse tutarsız olduğunu gördük. Örneğin, çoğunun özel bir güvenlik kişisi yoktur. Koordineli açıklama için en iyi uygulamaların oluşturulması, tüm ekosisteme fayda sağlayabilir.
Bu güvenlik açığı fikri, Andrew Miller'ın Unit-E geliştiricileriyle birlikte çalıştığı 2018 yazında ortaya çıktı. Munto Sunbasz ve Gil Danziger'e yararlı tartışmalar için ve DTR Vakfı'na (HTTPS: //DTR.OR/) araştırma finansmanı için teşekkür ederiz.
Emercoin sezgisel bir eşler arası algılama uygular. https://github.com/emergoin/emergoin/commit/ec32762B99cc68fb9ab2909dda96bc7a1319
Qtum'da yuvarlanan kontrol noktası https://github.com/qtumproject/qtum/commit/8d208d0bee8449c1e4a3904f3fc97ed26156648
PoS için özel bir kontrol örneği aşağıdaki gibidir: https://github.com/peercoin/peercoin/blob/ebb4003ce8367501020181f7e734d52c4b1ab5ea/src/main.cpp l2564
Bazı ekiplerle e-posta yoluyla iletişime geçtik ve web sayfalarını veya "not gönder" özelliğini listeledik.
Kasım ayından bu yana defalarca PIVX web sitesinde yer alan iletişim bilgilerinden kendileriyle iletişime geçmeye çalıştık.Bu yazıyı yazarken PIVX'in Hacker One adında bir proje başlattığını da fark ettik. Bugün bile fark ettik. PIVX web sitesindeki hata ödülü sayfası Hacker One projesinden hiç bahsetmiyor.
StratisX, kırılgan bir C ++ kod tabanından bir C # kod tabanına taşındı.
