Med revizijo Telos EVM so odkrili kritično ranljivost kode Ethereum EVM

Med nedavno revizijo virtualnega stroja Ethereum (EVM) za Telos(tlos) popolnoma nova vilica Layer 1, ki ni Ethereum, »Telos EVM«, visoko zmogljivo omrežje blockchain, ki je bistveno bolj robustno kot kateri koli drug EVM na energijsko učinkovit način, kritična napaka visoke prioritete je bila identificirali.

Ranljivost naj bi odkril strokovnjak za varnost programske opreme Guido Vranken

(@guidovranken), ki trenutno dela za Poslano in ga je najela osrednja ekipa razvijalcev Telos. Kot je bilo potrjeno v sporočilu, je bil hrošč odkrit v okviru načrtovane varnostne revizije za Telos EVM. 

Revizijska skupina Sentnl je potrdila, da je med revizijo Telos EVM odkrila kritično ranljivost v kodni bazi Ethereum (ETH). Zaradi nedavne širitve defi v omrežju Ethereum in ker je to hrošč visoke prioritete, bi lahko domnevali, da bi to lahko povzročilo izgubo na stotine milijonov dolarjev. Na srečo je ta pravočasna revizija na koncu služila višjemu namenu. V dobri praksi je revizijska skupina Sentnl o svojih ugotovitvah takoj obvestila razvijalce Ethereuma. 

Temeljito preverjanje kodne baze za zagotovitev največje varnosti

Omeniti velja, da te vrste kritičnih hroščev ne odkrijemo prav pogosto. 

Kot je ugotovila ekipa Telos, so se odločili, da bodo naredili še več, tako da so svojo kodno zbirko temeljito pregledali, preden so lansirali Telos EVM. Ekipa je želela najti ne tako tipičnega revizorja za "rezalnik piškotkov", ki bo preprosto izvedel niz testnih kod.   

Razvijalci Telosa so nadalje pojasnili, da so te testne kode na voljo na spletu. Opazili so tudi, da je ekipa napisala knjižnico lastnih testnih kod po meri. Potem ko so te naloge opravili interno in jih vse spravili v fazo zelene luči, so želeli svoj EVM postaviti pod resnično zmogljivo inšpekcijo tretje osebe. 

Ekipa Telos je omenila, da želi ekipa usposobljenih belih programerjev, ki skrbno pregledajo vsako vrstico kode. Posledično so opravili obsežno preverjanje in se odločili za sodelovanje s Sentnlom.  

Da bi upravičili to odločitev, je ekipa Sentnl pomagala poostriti kodo Telos in na presenečenje vseh odkrila resno napako v Ethereumu, medtem ko je primerjala kodo Ethereum EVM s kodo Telos EVM. 

Po mnenju strokovnjakov za testiranje kode bi to moralo povedati veliko o Sentnl in Telos EVM, ker je bil Ethereum EVM domnevno temeljito revidiran. Nenehno je podvržen revizijam. Torej je bilo odkritje tega hrošča kot iskanje igle v kupu sena.

Razvijalci Ethereuma so objavili, da je bila zaznana zelo resna varnostna težava.

Razvojne ekipe Ethereuma so prav tako potrdile napako in priznale Guido Vranken, da je našel ranljivost.

Telos se osredotoča na zagotavljanje visoke ravni varnosti

Ta zadnja revizijska vaja kaže, da Telos skrbi za varnost in je najel kvalificirano in kompetentno skupino, da preveri njihovo kodo. Zelo pomembno je pisati kodo ob upoštevanju najboljših praks programiranja. Prav tako je ključnega pomena, da to izvorno kodo pregleda izkušena tretja oseba, tako da lahko prepozna morebitne težave, preden objavi kodno zbirko za uporabo v produkcijskem okolju.

Kot je omenjeno v Telosovi posodobitvi, je bila revizija tako temeljita, da so identificirali izkoriščanje, ki ga še nihče ni zaznal. Ta incident potrjuje, da lahko visoko cenimo raven varnosti kode Telos EVM.

Kot globalna kripto skupnost so tudi ključni del širšega okolja EVM in DeFi, ekipa Telosa pa resnično skrbi za varnost in uspeh tega nastajajočega prostora. 

Douglas Horn, glavni arhitekt pri Telosu, je izjavil:

»V našem izbirnem procesu smo bili pridni, ko smo izbrali Sentnl za revizijo kode Telos EVM. Želeli smo najboljše in razveseljivo je videti tako jasen dokaz, da smo naredili pravo izbiro. Telos EVM namerava pomembno prispevati k prostoru EVM in veseli smo, da naš projekt že vodi k pomembnim izboljšavam svetov Ethereum in DeFi. Ljudje bi morali biti tudi zelo prepričani, da je Telos EVM, zahvaljujoč Sentnlu, uporabil najbolj temeljit standard pregleda kode.«

Guido Vranken iz Sentnl Auditors je dejal:

»Da bi našel ranljivosti v Telos EVM, sem se lotil globokega in strogega fuzzinga in preveril, ali se njegovo vedenje natančno ujema z go-ethereumom. Kljub temu, da ima go-ethereum izjemne rezultate, ko gre za varnost, je bil postopek tako učinkovit, da ni bil le ključnega pomena pri potrditvi pravilnosti Telos EVM, ampak je odkril tudi visoko resno težavo v go-ethereum«.

Vir: https://coinquora.com/critical-ethereum-vulnerability-found-by-telos-evm-audit-team/