NEO News

NEO e la vulnerabilità dello Storage Injection: le parole degli sviluppatori

La società di sicurezza Red4Sec ha scoperto una vulnerabilità (Storage Injection Vulnerability) nei codici sorgenti di alcuni Smart Contract NEP-5 sulla piattaforma NEO.

Tale vulnerabilità, se opportunamente sfruttata, consentirebbe al malintenzionato di apportare modifiche al deposito contrattuale, con la conseguente possibilità di poter letteralmente bruciare una certa quantità di monete.

Tuttavia tale falla di sicurezza non sarebbe da imputare direttamente alla piattaforma NEO, in quanto riscontrata solamente su alcuni contratti. Inoltre non sarebbe nemmeno così facile da sfruttare. Vediamo la dichiarazione ufficiale di NEO.

La dichiarazione degli sviluppatori di NEO

Nella giornata di ieri, il NEO Global Development team, assieme ad Red4Sec ha dichiarato:

La vulnerabilità esiste e può essere trovata all’interno dei codici sorgenti degli Smart Contract di alcune DApps. Tuttavia, la blockchain di NEO non è affetta da tale vulnerabilità.

Ci sono diversi token e cotratti NEP-5 interessati dalla vulnerabilità. Sfruttando questa falla, un aggressore potrebbe apportare modifiche all’archiviazione contrattuale. Il malintenzionato quindi, avrebbe la possibilità di distruggere un certo numero di monete e modificarne la supply all’interno del contratto. Tuttavia, un attacco di questo tipo può solo modificare il valore visualizzato della TotalSupply. Quindi, non verrà modificato il volume effettivo di token. Inoltre, il costo di un attacco simile – in termini di GAS – sarebbe molto elevato. Pertanto, riteniamo che il rischio di danni dovuti ad un attacco di questo tipo siano assai limitati.

In seguito a tale dichiarazioni, il team ha esposto le proprie conclusioni:

Dopo aver esaminato il codice di un elevato numero di contratti, siamo giunti alla seguente conclusione:

1) Alcuni progetti non sono interessati da questa vulnerabilità. Oppure hanno risolto tale bug prima che ne fosse scoperta l’esistenza. Questi progetti non devono intraprendere alcuna azione.

2) Alcuni dei progetti affetti dalla falla sono effettivamente esposti all’attacco. Tuttavia, i loro beni possono venir comunque considerati al sicuro per i motivi sopra riportati. Questi progetti possono decidere se eseguire o meno l’aggiornamento del contratto in base alle proprie considerazioni.

3) C’è un solo progetto il cui codice sorgente non è Open Source. Per tale progetto non siamo in grado di rilevare se la vulnerabilità è presente o meno.

Linee guida per gli sviluppatori

Il NEO Global Development team poi, ha specificato di aver già contatto gli sviluppatori dei progetti interessati dal problema per informarli della questione. E’ stata inoltre pubblicata una linea guida sul come affrontare tale vulnerabilità. La trovate qui:

https://github.com/neo-project/proposals/blob/nep5amendment/nep-5.mediawiki

Infine, il team ha dichiarato che continuerà a monitorare ed a migliorare la sicurezza, fornendo ulteriori linee guida per gli sviluppatori  sulla piattaforma NEO.

Trovate la dichiarazione ufficiale al seguente link: CLICCA QUI.

cripto

Vi invitiamo a seguirci sul nostro canale Telegram ed anche sul gruppo ufficiale Telegram, dove sarà possibile discutere insieme delle notizie e dell’andamento del mercato, sulla nostra pagina Facebook e sul nostro account Twitter.


La più grande community italiana dedicata alle criptovalute: Italian Crypto Club (ICC)

1xbit

Marco Picchi

Ingegnere Elettronico, da anni appassionato di hardware, IoT e reti. Ho scoperto Bitcoin nel 2012 per poi buttarmi sul mining casalingo l'anno successivo. Ad oggi seguo con interesse lo sviluppo di tecnologia Blockchain.
Follow Me:

Related Posts

Rispondi