NEO News

NEO e la vulnerabilità dello Storage Injection: le parole degli sviluppatori

La società di sicurezza Red4Sec ha scoperto una vulnerabilità (Storage Injection Vulnerability) nei codici sorgenti di alcuni Smart Contract NEP-5 sulla piattaforma NEO.

Tale vulnerabilità, se opportunamente sfruttata, consentirebbe al malintenzionato di apportare modifiche al deposito contrattuale, con la conseguente possibilità di poter letteralmente bruciare una certa quantità di monete.

Tuttavia tale falla di sicurezza non sarebbe da imputare direttamente alla piattaforma NEO, in quanto riscontrata solamente su alcuni contratti. Inoltre non sarebbe nemmeno così facile da sfruttare. Vediamo la dichiarazione ufficiale di NEO.

La dichiarazione degli sviluppatori di NEO

Nella giornata di ieri, il NEO Global Development team, assieme ad Red4Sec ha dichiarato:

La vulnerabilità esiste e può essere trovata all’interno dei codici sorgenti degli Smart Contract di alcune DApps. Tuttavia, la blockchain di NEO non è affetta da tale vulnerabilità.

Ci sono diversi token e cotratti NEP-5 interessati dalla vulnerabilità. Sfruttando questa falla, un aggressore potrebbe apportare modifiche all’archiviazione contrattuale. Il malintenzionato quindi, avrebbe la possibilità di distruggere un certo numero di monete e modificarne la supply all’interno del contratto. Tuttavia, un attacco di questo tipo può solo modificare il valore visualizzato della TotalSupply. Quindi, non verrà modificato il volume effettivo di token. Inoltre, il costo di un attacco simile – in termini di GAS – sarebbe molto elevato. Pertanto, riteniamo che il rischio di danni dovuti ad un attacco di questo tipo siano assai limitati.

Bigbit

In seguito a tale dichiarazioni, il team ha esposto le proprie conclusioni:

Dopo aver esaminato il codice di un elevato numero di contratti, siamo giunti alla seguente conclusione:

1) Alcuni progetti non sono interessati da questa vulnerabilità. Oppure hanno risolto tale bug prima che ne fosse scoperta l’esistenza. Questi progetti non devono intraprendere alcuna azione.

2) Alcuni dei progetti affetti dalla falla sono effettivamente esposti all’attacco. Tuttavia, i loro beni possono venir comunque considerati al sicuro per i motivi sopra riportati. Questi progetti possono decidere se eseguire o meno l’aggiornamento del contratto in base alle proprie considerazioni.

3) C’è un solo progetto il cui codice sorgente non è Open Source. Per tale progetto non siamo in grado di rilevare se la vulnerabilità è presente o meno.

Linee guida per gli sviluppatori

Il NEO Global Development team poi, ha specificato di aver già contatto gli sviluppatori dei progetti interessati dal problema per informarli della questione. E’ stata inoltre pubblicata una linea guida sul come affrontare tale vulnerabilità. La trovate qui:

https://github.com/neo-project/proposals/blob/nep5amendment/nep-5.mediawiki

Infine, il team ha dichiarato che continuerà a monitorare ed a migliorare la sicurezza, fornendo ulteriori linee guida per gli sviluppatori  sulla piattaforma NEO.

Trovate la dichiarazione ufficiale al seguente link: CLICCA QUI.

cripto

Vi invitiamo a seguirci sul nostro canale Telegram ed anche sul gruppo ufficiale Telegram, dove sarà possibile discutere insieme delle notizie e dell’andamento del mercato, sulla nostra pagina Facebook e sul nostro account Twitter.


La più grande community italiana dedicata alle criptovalute: Italian Crypto Club (ICC)

Emanuele Pagliari

Ingegnere delle telecomunicazioni appassionato di tecnologia. La mia avventura nel mondo del blogging è iniziata su GizChina.it nel 2014 per poi proseguire su LFFL.org, GizBlog.it, ed ora su CryptoMinando.it. Sono nel mondo delle criptovalute come minatore dal 2013 ed ad oggi seguo gli aspetti tecnici legati alla blockchain, crittografia e dApps, anche per applicazioni nell'ambito dell'Internet of Things, la mia branca di studio.
Follow Me:

Related Posts

Rispondi