STR:為何波卡在完成安全審計后卻拒絕處理提示風險？_sub幣是什么指令

為何波卡在完成安全審計后卻拒絕解決風險問題？

我們Web3Foundation的使命是促進下一代互聯網的發展：旨在建立一個去中心化的，公平的網絡，在該網絡上用戶可以控制自己的數據，市場可以從網絡效率和安全性中受益。這篇文章我們在其中報告了為加強我們的系統而進行的安全審核的相關內容。

該安全審計工作由信息安全公司AtredisPartners進行，該公司在滲透測試，逆向工程，硬件/軟件開發以及嵌入式系統設計評估方面擁有豐富的經驗。

什么是安全審計

我們邀請Atredis對波卡Runtime的完整性，機密性和可用性以及波卡驗證程序的安全性和可靠性進行了安全性評估。

此鏈接可閱讀整個審核員的報告。

https://assets.polkadot.network/security-audits/Atredis_Partners-Web3-Polkadot-PlatformSecurityAssessment.pdf

SBF：對SEC為何允許比特幣期貨ETF而不允許現貨比特幣ETF而感到困惑:金色財經報道，今日在美國國會的加密聽證會上，眾議員Tom Emmer向SBF提出了一系列問題，以確定FTX為其用戶提供何種保護。隨后SBF表示，他對美國SEC允許比特幣期貨ETF推出，卻不允許現貨ETF推出感到“困惑”。（CoinDesk）[2021/12/9 12:59:36]

具體來說，Atredis的審計側重于：

identifyanddefinekeyattackchainsagainstthePolkadotRuntime

識別并定義針可對波卡Runtime的攻擊

識別確認任何可能損害Polkadot交易完整性的事件

identifycaseswhereattacker-suppliedcodeexecutioncouldbepossible

動態 | 澳本聰回應江卓爾“為何不了解Base58 編碼”：我想通過 Base58 來誤導聽眾:江卓爾和澳本聰在昨日辯論上，江卓爾問澳本聰名：為什么在銷毀（burn）地址中使用 X 而不是 0。中本聰發明了用于這些地址的 Base58 編碼模式，中本聰有意地排除了看起來相似的數字和字母，比如零和字母 O。為什么您會不了解中本聰發明的Base58 編碼？

澳本聰（CSW）回應稱，這是我的代碼。我想通過 Base58 來誤導聽眾，想讓人們以為我不了解比特幣。實際上 Base58 和交易無關，它只是錢包的實現方式，checksum 是錢包層面的東西，它是錢包交易時用來驗證的東西，它并不存在比特幣網絡上。[2019/7/24]

確認是否存在可以執行攻擊者提供的代碼的可能

確定任何可能會影響Polkadot可信度的情景

為何非洲比特幣交易Golix溢價高達40%:全球比特幣價格飆升，已經超出人們的預期，可是早在全球比特幣價格創新高之前，非洲交易所Golix的交易價已經高出40%。如此高的溢價是因為非洲市場缺乏流動性，賣家很少，而且電力基礎設施落后挖礦幾乎不可能進行，使得比特幣供應量更少。而且非洲國家面臨嚴重的惡性通貨膨脹，這里的人們不得不轉向目前火熱的比特幣。[2017/12/18]

確認波卡Runtime架構，開發情況和交易功能，與公認的能夠確保最佳加密安全性的做法保持一致

嘗試禁用或以其他方式干擾驗證人在波卡網絡上的正常工作

嘗試選拔特定的驗證人

查看是否有可能強行選拔任免作惡的驗證人

報告摘要

評估是由AtredisPartners在2020年1月20日至2月11日進行的。其中包括對通信堆棧的自下而上的分析，針對波卡Runtime源代碼以及Kusama網絡的動態測試。在測試過程中特別測試了拒絕服務方案和欺詐活動。評估得出了一項嚴重，一項高，一項中等風險和三項信息方面的發現。

比特幣為何如此瘋狂：答案也許在這1000多個賬戶里:就在上周四晚到今天，幾天時間里比特幣的瘋狂再次呈現：先是價格突破1.5萬美元，就也就是突破10萬元人民幣！緊接著，比特幣的價格又跌破13000美元關口。新進的比特幣投資者必須警惕：這1000多人或許具有影響比特幣整體的定價能力。芝加哥大學基金會前任投資組合經理Ari Paul認為，和任何資產類別一樣，大型個人持有者和大型機構持有人可以合謀操縱價格。還有一種可能，這些早期比特幣投資者已經彼此認識，因為他們是在早期挖掘加密貨幣比較容易時進入這個市場，當時“挖礦”行業和幣圈的圈子很小。[2017/12/11]

關鍵的發現是Substrate中的邏輯問題，該邏輯問題允許生成零成本交易。由于平臺依賴于各種具有成本因素的交易，因此該問題可能允許作惡方通過向網絡發送可能消耗存儲空間的潛在免費交易來向網絡發送時間延遲的操作，例如投票等，以致造成損失。

該問題可通過更新有關計算權重和費用的邏輯來修正，以便使得指令通行時始終支付費用，同時也可以通過標準化計算自定義權重信息的方式來進行輔助修正。

同時要保證識別出的其他問題不能被用來擾亂或顛覆整個網絡秩序。據觀察，Rust編程語言的使用大大降低了許多攻擊類別的可能性，并且WASMRuntime的使用在沙盒實驗的動態代碼中非常有效。

對調查結果的回應

問題：通過Utility.batch進行免費交易濫用

性質：嚴重風險

狀態：已解決。并由Atredis通過代碼審查進行了驗證

https://github.com/paritytech/substrate/pull/4953

問題：通過無效交易對Polkadot節點進行CPU消耗

性質：高風險

狀態：已解決。并由Atredis通過代碼審查進行了驗證

https://github.com/paritytech/substrate/pull/5939

問題：解決P2P身份響應的端點流量反應

Medium性質：中等風險

Won’tFix.回應：不會修復該問題

原因：在公共開放網絡中基于Gossip-based的安全廣播是一個沒有正確答案的問題，不同的機構、學者、工程師提出了各種建議以及半解決方案，但都具有出于自身立場的不同權衡考慮。比特幣通過給節點運營商增加執行網絡級監控的負擔，從而防止了不安全的Gossip，就現有經驗來看這在提升性能方面是相當有效的。Polkadot提出并正在執行質押的概念，同時允許執行更多檢查。另外，當前正在研究基于由節點自身完成的內置網絡監視的解決方案。最后，節點運營商可以對大型比特幣節點運營商進行連接和帶寬使用方面的經典檢查。

問題：解決P2P身份響應的可觀測的地址DNS泄漏

性質：僅通知

回應：不會修復該問題

https://github.com/paritytech/substrate/pull/6582

問題：Substratesr25519Pair::Verify調用不推薦使用的函數

性質：僅通知

回應：不會修復該問題

https://github.com/paritytech/substrate/pull/5138

問題：Substrate在from_seed_slice不一致的接口警告

性質：僅通知

回應：不會修復該問題

保持高透明度是我們Web3Foundation最引以為豪的宗旨。因此我們將持續更新這個正在進行當中的系列內容，同時會刊登出我們發現并確定的問題和糾正的步驟。

編譯/潛行之堯

Tags：比特幣REDISUBSTR比特幣是什么意思能換來真錢嗎creditbitsub幣是什么指令ASTRAL幣

幣安下載