Uma auditoria das especificações da Ethereum 2.0 (ETH 2.0) destacou, em seus resultados, a necessidade de abordar possíveis vulnerabilidades na camada de rede ponto a ponto do protocolo (P2P) e o sistema proponente de blocos.
A pedido da Fundação Ethereum, a empresa de segurança tecnológica Least Authority iniciou sua análise das especificações da ETH 2.0 em janeiro e trabalhou em estreita colaboração com a Fundação durante todo o processo.
Áreas de risco
De acordo com o relatório final de auditoria, a Least Authority considerou as especificações “muito bem pensadas e abrangentes”. No entanto, a equipe argumentou que não havia nenhum exemplo do mundo real de um protocolo em larga escala utilizando a Prova de Participação (PoS) e a fragmentação. Nesse sentido, é difícil avaliar a estabilidade de longo prazo da ETH 2.0 no momento.
“É um dos primeiros projetos de protocolo de prova de participação (PoS) planejados para produção”, afirmou o relatório. “Como resultado, houve uma oportunidade mínima de estudar os impactos das decisões de design nos usos reais de tais implementações de blockchain, e nenhuma na mesma escala. A estabilidade a longo prazo das blockchains PoS é uma área de pesquisa ativa que precisará para serem monitorados ao longo do tempo à medida que são usados na produção .”
O relatório destacou a falta de documentação quando se trata da camada de rede ponto a ponto do protocolo (P2P) e do sistema Ethereum Node Records (ENR, na sigla em inglês).
“Descobrimos que a camada de rede ponto a ponto (P2P) e o sistema ENR estão sub-representados. Isso pode ser elaborado em fases posteriores, mas seu significado sugere que a fase 0 seria um bom ponto de partida para estabelecer as bases de uma forte camada de rede”, afirmou o relatório.
Além disso, o relatório apontou duas áreas com possíveis riscos à segurança: o sistema proponente de bloco e o sistema de mensagens P2P. Ambos exigem esforços de pesquisa de longo prazo e podem ser abordados nas fases posteriores do projeto, afirmou o relatório.
Notavelmente, a Fundação Ethereum havia informado à equipe de auditoria que o lançamento da Fase 0 da rede principal aconteceria em abril de 2020, informação confirmada pela própria Least Authority. No entanto, a linha do tempo de abril foi criada para ajudar a informar o cronograma de auditoria e a Least Authority não pôde confirmar se é a data real de lançamento.
De fato, o líder do projeto ETH 2.0, Danny Ryan, anunciou em um tweet de terça-feira que os próximos passos para a equipe do ETH 2.0 seriam a execução de redes de teste para vários clientes e um programa de recompensa de erros da Fase 0.
Thank you! It was a pleasure to work with @LeastAuthority on this 🙂
Now time for multi-client testnets and our Phase 0 bug bounty program. More details very soon https://t.co/ng9wHqTE0V
— dannyryan (@dannyryan) March 24, 2020
Para que a execução da ETH 2.0 ocorra sem problemas, os desenvolvedores precisariam implementar uma grande rede de teste para vários clientes e executá-la por pelo menos dois meses antes que o lançamento da Fase 0 pudesse ocorrer. Portanto, é improvável que o lançamento ocorra nas próximas semanas.
Leia também: Deu ruim: Pesquisador descobre vulnerabilidade no ProgPoW do Ethereum que não barra ASIC