“نيو تنشر تقرير التدقيق من Secure3 لجسر Neo X الأصلي – اقرأ التفاصيل الكاملة الآن!”
أعلنت شركة Neo عن نتائج مسابقة تدقيق أُجريت بواسطة Secure3، وهي منصة تتعاون مع خبراء الأمن لتحديد ومعالجة التهديدات التي تواجه بروتوكولات Web3.
تدقيق جسر Neo Native
تمت مراجعة جسر Neo Native، الذي طُوّر بواسطة Bane Labs، باستخدام منصة Secure3 لضمان سلامة وأمان نقل الأصول بين Neo N3 و Neo X. ركز التدقيق على مكونين رئيسيين في الجسر: العقد الذكي للجسر وكود المرسل.
تدقيق عقد الجسر
كشف التدقيق عن مشكلة متوسطة الخطورة تتعلق بتسجيل وإلغاء تسجيل الرموز، مما شكل خطرًا لهجمات الإعادة. تم حل هذه المشكلة عن طريق تعديل النظام لمنع إلغاء تسجيل رموز الجسر، مما خفف من الخطر المحتمل.
- كما حدد التدقيق عدة قضايا خفيفة الخطورة، بما في ذلك استخدام
safeTransferFrom
بدلاً منtransferFrom
، مما قد يؤدي إلى سلوك غير متوقع مع بعض الرموز لنها لا تتبع معيار ERC20. تم معالجة هذه المشكلة باعتماد مكتبة SafeERC20 من OpenZeppelin. - القضية الأخرى تتعلق باستخدام وظيفة
ecrecover
، مما قيد المدققين بحسابات مملوكة خارجيًا وكان عرضة لتلاعب التوقيعات، مما قد يؤدي إلى تزوير أو هجمات إعادة الإعادة. تم معالجة هذه القضايا إما بالاعتراف بها لتحسينات مستقبلية أو بإصلاحها باستخدام بدائل أكثر أمانًا مثل وظيفةOpenZeppelin’s ECDSA.recover
. - تم أيضًا تحديد قضايا إعلامية طفيفة، مثل عدم تناسق أسلوب الكود والأخطاء غير المستخدمة، وتم معالجتها حيثما لزم الأمر.
تدقيق مرسل الجسر
كشف تدقيق مرسل جسر Neo X أيضًا عن عدة قضايا خفيفة الخطورة. واحدة منها كانت استمرار تشغيل برنامج المرسل بشكل لانهائي في حالة حدوث خطأ غير متعلق بالاتصال، مما قد يؤدي إلى استنفاد الموارد. تم حل هذه المشكلة بضمان خروج البرنامج بشكل مناسب في مثل هذه السيناريوهات.
- كانت هناك قضية تتعلق بإمكانية حدوث هجوم تعطيل الخدمة بسبب عدم وجود مهلة في وظيفة معالجة التوقيعات، وتم حلها بتنفيذ آلية مهلة.
- سلط التدقيق الضوء أيضًا على عدم أمان عمليات التحقق من التوقيعات، حيث لم يتحقق النظام من عدم تكرار التوقيعات، مما يسمح بتجاوزات محتملة. تم الاعتراف بهذه المشكلة مع خطط لمعالجتها في التحديثات المستقبلية.
- تم تحديد الحد الثابت لعدد التوقيعات المطلوبة لعمليات المرسل كتقييد، مع التخطيط لاعتماد نهج أكثر مرونة في الإصدارات المستقبلية.
- تمت الإشارة إلى قضايا إعلامية أخرى، مثل التعامل غير الصحيح مع الحسابات المشفرة، وتخزين كلمات المرور غير الآمن، وخطر شروط السباق نتيجة لاستخدام
goroutines
في الحلقات. على الرغم من معالجة معظم هذه القضايا على الفور، تم الاعتراف ببعضها وتخصيصها للتحسينات المستقبلية.
يمكن العثور على التقارير الكاملة في الإعلان عبر الرابط التالي.