IOHK publica informe de vulnerabilidad de Cardano Blockchain para impulsar la transparencia en toda la industria

Actualización del protocolo Mary de Cardano lanzada en Mainnet
Tabla de Contenidos

Input Output (IOHK), el brazo de investigación y desarrollo de la plataforma Cardano Blockchain, hoy, 24 de abril, ha publicado un informe de vulnerabilidades descubiertas y remediadas durante la fase 1 y la fase 2 de una auditoría de seguridad de terceros del ecosistema Cardano y su actualización reciente Byron Reboot, realizado por Root9B (R9B).

La divulgación pública de vulnerabilidades tiene como objetivo estimular la transparencia y la seguridad en esta industria naciente y mostrar que Cardano se está construyendo con los estándares de seguridad y garantía más exigentes.

Charles Hoskinson, CEO de IOHK, dijo:

“Es vital que la industria blockchain cumpla con su propia visión de sistemas abiertos y descentralizados cuando se trata del proceso de construcción de blockchains. Las empresas no deben priorizar el secreto y la velocidad de comercialización sobre la seguridad porque vastas sumas de dinero e incluso vidas dependerán del software que produzcamos. La industria debe abrir su desarrollo de software a auditorías de terceros y compartir el conocimiento de las vulnerabilidades en beneficio de la industria en general, así como la confianza del usuario. En este espíritu, elegimos encargar una auditoría de terceros del reinicio de Byron de Cardano y divulgar públicamente las vulnerabilidades que encontramos y las soluciones que aplicamos”.

El 5 de abril, Charles Hoskinson se sentó para dar a conocer una actualización sobre el trabajo de IOHK en Cardano. Le dijo a la comunidad que la compañía estaba tomando medidas correctivas para solucionar los principales problemas descubiertos por el equipo de R9B. Dijo que el informe de auditoría se publicaría públicamente, dando la fecha del 17 de abril, tras el permiso de RB9.

El 17 de abril, Charles Hoskinson informó que se había enviado una respuesta formal, titulada «Response to Security Audit Report (Byron Reboot)«, que enumeraba los pasos de remediación y mitigaba las aclaraciones sobre las áreas identificadas de preocupación en los informes de auditoría de la Fase 1 y Fase 2. R9B, que necesitaba la confirmación del auditor. Por lo tanto, el público del informe de auditoría tendría lugar dentro de la próxima semana. El informe finalmente ha surgido hoy.

El 21 de abril, R9B publicó un documento, titulado como IOHK Mitigation Verification, que revisa el paso de corrección tomado por IOHK. Según el documento, R9B encontró 13 posibles problemas con la confiabilidad de Cardano Blockchain y Byron Reboot, que el auditor ha solucionado.

Estos problemas incluyen:

  1. Código de generación de claves de Génesis inseguro: IOHK dijo que el código en cuestión era solo para pruebas y control de calidad y no para claves de producción. IOHK también ha alterado el código original para usar la generación segura de claves. R9B aprueba este paso.
  2. Código de práctica: ReadFile.R9B confirmó que la solución de IOHK aborda completamente este problema.
  3. Uso potencial de recursos / Denegación de servicio (DoS): R9B confirmó que la alteración realizada por IOHK confirma este problema.
  4. Incompleto de protocolo potencial: conjunto de nodos estáticosIOHK aclaró que el código en cuestión era solo para pruebas.
  5. Uso primitivo: Mock Crypto: IOHK dijo que Mock no era para producción. La implementación simulada real llegará a continuación. R9B aprueba esta resolución.

Otras vulnerabilidades incluyen protecciones debilitadas: CSP en la aplicación electrónica Daedalus, la función Blake Hash solo se realiza una vez al aplicar una contraseña de gasto, sugerencia de aleatorización de direcciones, un posible problema futuro con URI de pago, vulnerabilidad teórica de denegación de servicio (DoS), problemas con el proceso de actualización, vulnerabilidad con la interfaz web de monitoreo de IOHK.

Todas las vulnerabilidades han sido mitigadas y confirmadas por el equipo R9B.

Si este artículo le pareció interesante, aquí puede encontrar más noticias de Cardano

RELATED POSTS

Síguenos en Redes

Cripto Tutoriales

Cripto Reviews

Ads