Moonbeam团队发布针对整数截断漏洞的紧急安全修复

这篇具有很好参考价值的文章主要介绍了Moonbeam团队发布针对整数截断漏洞的紧急安全修复。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

2022年6月27日,Moonriver和Moonbeam都通过Runtime 1606进行了紧急升级,成功解决当天早上(美国东部时间)由独立白帽黑客披露的一项安全问题。该安全问题现已修复,且不再被任一网络利用。初步迹象表明,该漏洞从未被利用,但团队仍将继续展开调查。

为了防止漏洞被恶意利用与攻击Moonbeam网络和其他平行链网络,以及验证在网络受攻击期间未被主动利用,我们并未立即披露此次安全问题的细节。

我们发现安全问题的背景

2022年6月27日下午(美东时间),Moonbeam团队收到了一份漏洞报告。这份报告提出Frontier(属于Substrate pallet,由Moonbeam团队帮助波卡生态构建,是实现以太坊兼容性的核心功能)内部存在的一个潜在安全漏洞。该漏洞由pwning.eth(于5月发现另一个安全问题)直接外联发现并由Immunefi提交。

Moonbeam运营和开发团队立即研究了这份报告并调查该漏洞。其中包括 Astar、Parity和Moonwell在内的其他团队与Moonbeam合作评估此漏洞的范围和严重性。

经验证后,准备Runtime修复和部署计划。然而,当Moonbeam团队处于修复过程中时,通过签入公共存储库无意中披露了核心漏洞。出于谨慎考虑,Moonbeam和Moonriver技术委员会将网络置于维护模式,以防止任何潜在的滥用。网络维护期间仅允许升级和治理操作,网络将继续生产区块。

当天晚上(美东时间)执行并验证Runtime执行后,维护模式被停用,网络恢复正常。

漏洞范围

根源漏洞是一个整数截断,当通过智能合约启动传输时,它绕过了完整性检查。虽然传输只会发生在截断值的情形,但恶意操作者可能已经创建了一个合约,该合约启动了一个更高的值(超过128 bits)到Token包装合约的转移。上述的bug可误导包装合约,致其相信如此大量的Token实际上已被转移,并导致接收地址被错误地记入大量的包装Token。

补救措施

Runtime 1606通过删除截断来解决此问题,留下已经存在的饱和强制转换(Saturating Cast),从而防止执行任何溢出。

紧跟补救措施,一项在Moonriver的治理议案于7月1日通过,消除了在团队测试解决方案期间产生的无效余额。感谢Web3Go团队及时发现问题并引起我们的注意。

修复后的代码可在此获得:https://github.com/PureStake/frontier/compare/652abf16…ca027df5

现有安全措施

代码审计

Moonbeam团队与两家审计公司(SR-Labs和NCC)始终保持着服务关系,这两家公司为Moonbeam执行持续的、递增的和完整的代码快照审计。Moonriver和Moonbeam的代码库都在这一审计过程的范围内。此外,团队正在考虑聘请第三家公司来进一步扩大审计范围。

漏洞赏金计划

去年,Moonbeam项目创建了Immunefi bug bounty赏金计划,以鼓励对Moonbeam代码库进行额外的安全测试。这项安全问题通过该计划提交,是第二个关于Moonbeam的重要报告。从这次披露中可以看出,这项漏洞赏金计划已被证实在维护安全代码库方面极具价值。

内部测试

每次发布前,Moonbeam团队都会完整彻底地测试代码,以此确保代码的完整性,同时通过自动和手动两种途径测试,排除任何潜在的技术问题。一般情况下,此类内部测试耗时超过一周,除了公共测试网络Moonbase Alpha之外,还需在几个内部测试网络中进行反复测试。通常,发布在Moonriver和Moonbeam的代码需间隔约两周以上。由于本次发现的问题迫在眉睫,经过精简而有效的内部测试,Moonriver和Moonbeam两个网络的紧急升级在同时间完成,以最快速度限制曝光窗口。

沟通

根据之前漏洞披露的发现,Moonbeam团队实施了新的通信工具和最佳实践。这使团队之间的沟通和升级过程都更加顺畅。

沟通和回应的时间轴回顾

在收到漏洞报告和相关团队的参与后,Moonbeam团队迅速处理了安全报告并开始着手修复。

首要任务是尽快解决所有受影响链上的直接安全漏洞。当漏洞进入公众视野时,Moonbeam和Moonriver技术委员会迅速采取行动,通过将网络置于维护模式来防止任何损害。

为了更详细描述导致安全修复的事件,Moonbeam团队提供了有关这一事件所采取的步骤和本次事件的沟通明细。

所有提供的时间均以美国东部夏令时间(EDT)为准。

2022 年 6 月 27 日

  • 下午2:13 — Moonwell团队在收到白帽黑客的直接联系后联系了Moonbeam团队。Moonbeam团队立即要求提供一份Immunefi报告以确认其真实性并着手开始处理。
  • 下午2:25 — Moonbeam技术事件响应团队召集Moonwell团队代表开会讨论报告。随后将问题上报给整个业务事件响应团队和Moonbeam & Moonriver的技术委员会。
  • 下午2:36 — 白帽请求引荐Parity和Astar团队。Moonbeam创建了一个电报群供白帽进行内部讨论,并联系请求的团队加入。
  • 下午3:10 — 白帽向Moonbeam和Astar提交Immunefi报告。
  • 下午3:21 — Moonbeam团队收到报告后重新召开会议并决定进行程序修补,但未将网络置于维护模式。
  • 下午4:00 — Parity、Moonbeam和Astar共同确认问题及严重性。Moonbeam开发团队设定升级时间表,并开始着手开发补丁。
  • 下午5:00 — 沟通内容发送给生态内的开发团队。
  • 下午6:13 — Astar团队在公共代码库发布了该问题的修复程序。
  • 下午6:33 — Moonbeam团队注意到已发布的代码并要求技术委员会将网络置于维护模式。开始与重点项目就维护模式进行沟通。
  • 下午6:46 — 维护模式通过Moonbeam和Moonriver的技术委员会制定并启动外部通信。
  • 下午7:46 — 更新完成,CI/CD启动,随之回归测试和部署到多个测试网络。
  • 下午8:05 — 下线Moonbeam dApps GUI以防止出现意外行为。
  • 下午9:40 — 在Moonriver上进行升级投票。因维护模式期间EVM功能不可用,所以Polkassembly暂无法使用
    Polkadot/Substrate Portal
  • 下午10:31 — Moonbeam升级已批准并需要60分钟的排队时间。
  • 下午10:58—Moonbeam和Moonriver均已成功升级并开始产生区块。技术委员会对取消维护模式的投票已提交。

Moonriver技术委员会提案 #92
Moonbeam技术委员会提案 #50

  • 下午11:05 — 维护模式被解除,两个网络恢复全部功能。
  • 下午11:49 — Moonwell确认其服务已完全恢复。
  • 下午11:50 — 升级确认发送至Twitter、Telegram、Discord和Reddit。

回顾与感谢

从收到问题到解决问题,再加上公开披露,处理时长约10个小时。这个时间窗口包括多个阶段的测试和协调,不仅要与PureStake团队、Moonbeam基金会和Immunefi上的漏洞报告者协调,还要与Parity团队和Astar协调。加上开源开发的属性,披露的效率需要极强的执行力和高效的团队间协调,同时需要同步分布在全球不同时区的大量潜在受影响方。

感谢所有协助Moonbeam和Moonriver项目团队解决该问题的伙伴,同时点赞我们团结一致和超强执行力的Moonbeam团队,这是我们快速地解决该问题的关键。

有关Immunefi漏洞赏金计划的更多信息以及如何参与,请访问其网站:Moonbeam Network Bug Bounties | Immunefi

关于此次汇报和我们收到的安全报告的其他问题,请通过Discord联系团队: https://discord.gg/PfpUATX


关于Moonbeam
Moonbeam是波卡网络中兼容以太坊的智能合约平台,可实现轻松构建原生的互操作性去中心化应用。以太坊兼容特性允许开发者以最少的更改将现有的Solidity智能合约和DApp前端部署到Moonbeam。Moonbeam将延续其在Kusama上的姐妹平行链Moonriver的成功,从100多个在网络上构建DApp和协议的项目中积累开发者和用户活动。作为波卡网络上的平行链,Moonbeam将受益于波卡中继链的共享安全性和连接波卡其他链的互操作优势。

如需了解更多信息,请访问:Moonbeam | Polkadot Smart Contract Platform


关于Moonriver
Moonriver是Moonbeam的同行网络,旨在为激励实验提供永久性的测试环境。新上线项目的代码将优先部署到Moonriver,在其真实的经济环境下经历一系列的测试与实验验证。当验证完成并通过测试之后,项目代码才可正式部署至波卡上的Moonbeam。

如需了解更多信息,请访问:Moonriver - Solidity Smart Contracts on Kusama

更多 Moonbeam 信息 
官网: Moonbeam | Polkadot Smart Contract Platform
微博:Sina Visitor System
twitter: https://twitter.com/MoonbeamNetwork
Telegram: https://t.me/moonbeam_CN
Discord: https://discord.gg/skPfXvJWG7
中文电报群助手:@MoonbeamSister文章来源地址https://www.toymoban.com/news/detail-415847.html

到了这里,关于Moonbeam团队发布针对整数截断漏洞的紧急安全修复的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Goby 漏洞发布|亿赛通电子文档安全管理系统 hiddenWatermark/uploadFile 文件上传漏洞

    亿赛通电子文档安全管理系统(简称:CDG)是一款电子文档安全加密软件,该系统利用驱动层透明加密技术,通过对电子文档的加密保护,防止内部员工泄密和外部人员非法窃取企业核心重要数据资产,对电子文档进行全生命周期防护,系统具有透明加密、主动加密、智能加

    2024年02月21日
    浏览(48)
  • 当心这30个重要漏洞!微软发布12月补丁日安全通告

    近日,亚信安全CERT监测到微软12月补丁日发布了34个漏洞的安全补丁(不包含此前发布的Microsoft Edge等安全更新),其中,4个被评为紧急,30个被评为重要。包含10个权限提升漏洞,8个远程代码执行漏洞,5个欺骗漏洞,6个信息泄露漏洞,5个拒绝服务漏洞。微软还修复了1个0

    2024年01月20日
    浏览(35)
  • 当心这46个重要漏洞!微软发布1月补丁日安全通告

    近日,亚信安全CERT监测到微软1月补丁日发布了针对48个漏洞的修复补丁,其中,2个漏洞被评为紧急,46个漏洞被评为重要,共包含10个权限提升漏洞,11个远程代码执行漏洞,3个欺骗漏洞,11个信息泄露漏洞,6个拒绝服务漏洞,7个安全功能绕过漏洞。目前暂未发现相关漏洞被

    2024年01月16日
    浏览(39)
  • 算法安全监测制度技术保障措施、紧急措施

    在这个以数据和算法驱动的世界,算法的安全已成为了我们不可忽视的重要话题。随着算法应用领域的广泛涉及,算法安全不仅影响着个人信息和隐私保护,也关系到公共安全和社会稳定。因此,我们需要构建完善的算法安全监测制度,同时配备相应的技术保障措施和紧急应

    2024年02月04日
    浏览(43)
  • Goby 漏洞发布|天擎终端安全管理系统 YII_CSRF_TOKEN 远程代码执行漏洞

    奇安信天擎是奇安信集团旗下一款致力于一体化终端安全解决方案的终端安全管理系统(简称“天擎”)产品。奇安信天擎终端安全管理系统web部分使用yii框架 该版本框架自带反序列化入口点,攻击者可执行任意代码获取服务器权限。 奇安信天擎终端安全管理系统web部分使

    2024年02月16日
    浏览(51)
  • 苹果发布妙控键盘固件更新 2.0.6,修复蓝牙安全漏洞

    苹果于 1 月 9 日发布了针对其妙控键盘配件的最新固件更新 该更新修复了一个重要的蓝牙安全漏洞,这一漏洞可能允许拥有妙控键盘物理访问权限的攻击者窃取其蓝牙配对密钥并监控蓝牙通信。 根据苹果官方安全公告,该固件更新版本号为 2.0.6,适用于多款妙控键盘,包括

    2024年01月22日
    浏览(47)
  • 移动应用安全合规动态:网信办发布2大重磅文件!《儿童智能手表个人信息和权益保护指南》发布;iOS出现0 day漏洞(第2期)

    一、监管部门动向: 网信办发布《网络安全事件报告管理办法(征求意见稿)》、《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》;《 儿童智能手表个人信息和权益保护指南》爱加密深度参编! 二、安全新闻: 苹果\\\'Lockdown Mode\\\'的破解之法被发现;中国

    2024年02月03日
    浏览(133)
  • 透明安全地解释Moonbeam基金会分配的GLMR去了哪

    在GLMR分配比例中,约有16.7%的GLMR分配给了生态支持。这部分GLMR究竟用在了哪里,Moonbeam生态是否还有足够的GLMR扶持生态项目? Moonbeam基金会每隔半年会发布一份GLMR透明度报告,最近的报告日期为2023年7月31日。其中列出了社区最关心的由基金会控制的GLMR部分。 Moonbeam基金会

    2024年02月08日
    浏览(41)
  • CVE漏洞是什么,如何对其进行针对性的防护

    CVE(Common Vulnerabilities and Exposures)漏洞是一个网安技术术语,用于描述和标识信息安全领域的已知漏洞和安全风险。CVE是一个公开的列表或数据库,它为各种公开知晓的信息安全漏洞和风险提供了标准化的名称。 每个CVE标识符都是唯一的,并按照一定的格式命名。这些标识符

    2024年04月10日
    浏览(35)
  • dedecms里针对搜索发布可搜多关键词及定栏目搜索的方法

    织梦dedecms针对搜索发布可搜多及定栏目搜索。 第一个红色字的0是一定要改,如果是1就会错误。参考高级搜索里这个是搜索类型 1是搜索你或者相关文章 0是搜索你与之相关文章 大家可以测试两个是否这样哈哈。。 这个是定义栏目的记得好像是忘记

    2024年02月03日
    浏览(59)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包