作者: ArweaveB
翻譯: Haocheng Xu
審閱: Kyle
來源:內容公會 - 翻譯
ArConnect 項目宣佈已完成對其源代碼的審計,併成功修復了暴露出的問題。
ArConnect 是 Arweave 生態系統中的領先錢包,是 2023 年 8 月接受安全審計的第一個錢包。它表示,第二次審計已於 2024 年 4 月進行,爲期 12 天,安全性是首要任務。
Community Labs 的 CEO Tate Berenbaum 稱這份報告很“紮實”,並且它“比任何使用指標都重要得多”。
最新的審計結果由 Spearbit 和 Open Security 進行,並在 Open Security 風險評估中發佈。審計的目的是識別任何外部方可能利用的攻擊 ArConnect 瀏覽器擴展的潛在方法。
報告指出,審計使用了由開放式 Web 應用程序安全項目(OWASP)開發的方法。整個審計是在 Google Chrome 瀏覽器上進行的,安裝了 ArConnect 瀏覽器擴展的開發版本。
審計人員開發了定製的惡意概念驗證,用於測試懷疑存在漏洞的情況。他們還修改並測試了帶有惡意修改源代碼的 Connect 瀏覽器擴展開發版本,託管了帶有惡意負載的 Web 服務器,並調試了瀏覽器擴展。
安全審計發現零個關鍵風險,一個高風險和五個信息性漏洞。然而,報告指出所有發現的問題都已修復至僅爲信息性嚴重性。
在描述審計中被評爲高風險的開源依賴項漏洞時,審計人員指出,依賴項的安全性也是軟件供應鏈的一部分,是一個主要的攻擊面。報告指出,供應鏈可以在開發過程中的任何時候通過攻擊開發者工具本身的惡意軟件或簡單地在軟件中引入漏洞來影響產品的安全性。
“ArConnect 的主要風險來源於開源依賴項中的漏洞,”審計人員指出,並補充說,“Community Labs 必須持續更新並應用開源依賴項的上游補丁,以防止供應鏈攻擊。”
審計人員還建議進行代碼更改以加強 Connect 瀏覽器擴展。
🏆 “捉蟲”有獎:在本文發現錯字、病句、描述有誤,點我報告,可得激勵。
🔗 關於 PermaDAO:官網 | 入口 | Twitter | Telegram | Discord | Medium | Youtube