Autor: ArweaveB

Tłumaczenie: Haocheng Xu

Recenzent: Kyle

Źródło: Gildia treści — tłumaczenie

Projekt ArConnect ogłosił, że zakończył audyt swojego kodu źródłowego i pomyślnie naprawił ujawnione problemy.

ArConnect, wiodący portfel w ekosystemie Arweave, był pierwszym portfelem, który przeszedł audyt bezpieczeństwa w sierpniu 2023 r. Stwierdzono, że w kwietniu 2024 r. w ciągu 12 dni przeprowadzono drugi audyt i że bezpieczeństwo było najwyższym priorytetem.

Tate Berenbaum, dyrektor generalny Community Labs, nazwał raport „solidnym” i stwierdził, że jest on „znacznie ważniejszy niż jakikolwiek wskaźnik wykorzystania”.

Najnowsze wyniki audytu zostały przeprowadzone przez Spearbit i Open Security i opublikowane w Open Security Risk Assessment. Celem audytu jest identyfikacja potencjalnych metod ataku na rozszerzenie przeglądarki ArConnect, które mogą zostać wykorzystane przez strony zewnętrzne.

W raporcie wskazano, że w audycie wykorzystano metody opracowane przez Open Web Application Security Project (OWASP). Cały audyt został przeprowadzony na przeglądarce Google Chrome z zainstalowaną rozwojową wersją rozszerzenia ArConnect.

Audytorzy opracowali niestandardową weryfikację koncepcji złośliwego oprogramowania w celu przetestowania podejrzanych luk w zabezpieczeniach. Zmodyfikowali także i przetestowali wersję rozwojową rozszerzenia przeglądarki Connect ze złośliwie zmodyfikowanym kodem źródłowym, hostowali serwer WWW ze złośliwym ładunkiem i debugowali rozszerzenie przeglądarki.

Audyt bezpieczeństwa nie wykazał żadnych zagrożeń krytycznych, jednego wysokiego ryzyka i pięciu luk informacyjnych. Jednak w raporcie stwierdza się, że wszystkie wykryte problemy zostały naprawione jedynie z wagą informacyjną.

Opisując luki w zabezpieczeniach oprogramowania open source, które w trakcie kontroli uznano za wysokie ryzyko, audytorzy zauważyli, że główną powierzchnią ataku jest bezpieczeństwo zależności, które są również częścią łańcucha dostaw oprogramowania. W raporcie wskazano, że łańcuch dostaw może mieć wpływ na bezpieczeństwo produktu w dowolnym momencie procesu rozwoju poprzez złośliwe oprogramowanie, które atakuje same narzędzia programistyczne lub po prostu wprowadza luki w oprogramowaniu.

„Główne ryzyko ArConnect wynika z luk w zabezpieczeniach zależności typu open source” – zauważyli audytorzy, dodając: „Laboratoria społecznościowe muszą stale aktualizować i stosować łatki wyższego szczebla do zależności typu open source, aby zapobiegać atakom na łańcuch dostaw”.

Audytorzy zalecili również zmiany w kodzie w celu wzmocnienia rozszerzenia przeglądarki Connect.

🏆 Nagrody za „łapanie błędów”: Jeśli znajdziesz literówki, nieprawidłowe zdania lub nieprawidłowe opisy w tym artykule, kliknij mnie, aby to zgłosić, a otrzymasz zachęty.

🔗 O PermaDAO: Oficjalna strona internetowa |. Twitter |. Telegram |. Medium |