Cardano: IOHK révèle 13 vulnérabilités corrigées du Byron Reboot

  • IOHK, la société de développement de Cardano, a révélé les résultats de l’audit de sécurité pour le code de Byron Reboot par Root9b et a expliqué comment les problèmes identifiés ont été résolus.
  • Au total, Root9b a révélé 13 vulnérabilités, IOHK ayant soit apporté des clarifications atténuantes, soit déjà apporté la correction.

Dans un rapport partagé avec Crypto News Flash, Input Output Hong Kong (IOHK), la société responsable du développement de Cardano, a révélé 13 vulnérabilités dans le code de Byron Reboot. Celles-ci ont été découvertes et corrigées avec succès par Root9b au cours des phases 1 et 2 de l’audit de sécurité du code de Byron Reboot.

Afin d’accroître la transparence et la sécurité dans l’ensemble du secteur, l’IOHK a également décidé de publier sa stratégie d’atténuation afin d’encourager une plus grande collaboration intersectorielle dans l’identification et l’atténuation des vulnérabilités communes. Charles Hoskinson, PDG de l’IOHK, a souligné, en référence à la publication des résultats de l’audit, que cela est « d’une importance capitale » pour répondre aux principes de l’industrie des chaînes de production d’un système ouvert et décentralisé, c’est pourquoi les résultats ont été publiés (traduits librement) :

Les entreprises ne doivent pas donner la priorité au secret et à la rapidité de mise sur le marché plutôt qu’à la sécurité, car d’énormes sommes d’argent et même des vies humaines dépendront des logiciels que nous produisons.

L’industrie doit ouvrir son développement de logiciels à des tests par des tiers et partager ses connaissances sur les vulnérabilités pour le bénéfice de l’ensemble de l’industrie et la confiance des utilisateurs. C’est dans cet esprit que nous avons décidé de commander une étude indépendante sur le Byron Reboot de Cardano et de rendre publics les vulnérabilités que nous avons trouvées et les correctifs que nous avons appliqués.

Root9b trouve 13 vulnérabilités dans le code du Byron Reboot

Dans la déclaration, partagée avec le Crypto News Flash, sur l’audit de sécurité du code de Byron Reboot par Root9b, IOHK a commenté chaque vulnérabilité trouvée et a décrit comment le bogue a été corrigé ou a reçu une clarification atténuante. Root9b a déjà reconnu que tous les changements ont été résolus.

  • Génération de clé Insecure Genesis : Root9b a découvert que la génération de la clé Genesis présentait une vulnérabilité. L’IOHK a précisé que le code en question était uniquement destiné à des fins de test et d’assurance qualité et non au réseau principal, et a apporté une modification au code pour la génération d’une clé sécurisée.
  • Pratique du code en relation avec le ReadFile : Une vulnérabilité en relation avec le ReadFile a été détectée par Root9b et également corrigée par des modifications.
  • Code de pratique et utilisation potentielle des ressources liées à Async Read
  • Utilisation potentielle des ressources/ Déni de service (DDS)
  • Inachèvement potentiel du protocole – ensemble de nœuds statiques : IOHK a précisé que le code était uniquement destiné à des fins de test.
  • Utilisation primitive du Mock Crypto : IOHK a confirmé que les implémentations simulées ne sont pas destinées à être utilisées en production et que les implémentations réelles sont imminentes.
  • Vulnérabilités liées à la CSP dans l’application Electron Daedalus : Root9b a identifié des mesures de sécurité prétendument faibles liées à la politique de sécurité du contenu (CSP). Selon l’IOHK, il s’agit d’une exigence valable jusqu’à ce que Chrome WASM puisse fonctionner sans elle. Comme il ne s’agit pas d’une vulnérabilité, R9B accepte la clarification.
  • La fonction de hachage Blake n’a été exécutée qu’une seule fois lors de l’application d’un mot de passe de sortie : IOHK confirme que la connexion entre le frontal du Daedalus et le back-end du Cardano Wallet repose sur TLS pour la sécurité du mot de passe pendant le transfert et prévoit d’arrêter le hachage de Blake.
  • Randomisation des adresses : IOHK a précisé que la randomisation des adresses est utilisée pour éviter les conflits de port, donc la racine 9b a également accepté cette clarification.
  • Problèmes potentiels futurs liés à l’URI (Uniform Resource Identifier) de paiement : IOHK prévoit d’aborder ce problème potentiel pour le code.
  • Vulnérabilité du déni de service (DoS) théorique : Le problème identifié par Root9b estcomplètement résolu avec la mise en œuvre du leader de créneau privé par Ouroborous Praos (Shelley).
  • Processus de mise à jour : Résolution par une mise à jour en avril 2020.
  • L’IOHK surveille la charge sur le frontend web : IOHK a supprimé l’interface et retiré le fragment de code.

Suivez-nous sur Facebook et Twitter et ne manquez plus aucune nouvelle ! Vous appréciez nos indices de prix?

About Author

Jake Simmons has been a crypto enthusiast since 2016, and since hearing about Bitcoin and blockchain technology, he's been involved with the subject every day. Beyond cryptocurrencies, Jake studied computer science and worked for 2 years for a startup in the blockchain sector. At CNF he is responsible for technical issues. His goal is to make the world aware of cryptocurrencies in a simple and understandable way.

Les commentaires sont fermés.