As redes blockchain são sistemas financeiros que exigem padrões de cuidado mais elevados do que um sistema de software tradicional. A Ultra tem o orgulho de anunciar que a primeira auditoria de segurança da base de código da blockchain da Ultra foi concluída com sucesso pelo grupo Sentnl e o resultado foi extremamente positivo.

 “A Ultra selecionou a Sentnl porque eles são especializados em auditorias de segurança EOSIO e por causa de seu conhecimento profundo do ecossistema. Sua equipe é formada por consultores de elite renomados na área. Cada um deles traz uma abordagem única para lidar com a tarefa em questão e, juntos, fornecem uma ampla cobertura . ”

– Rami James, Gerente de Produtos da Blockchain da Ultra

O Escopo da Auditoria

Vamos falar um pouco sobre os sistemas que a Sentnl revisou, para que você possa entender por que era tão importante ter uma perspectiva externa sobre eles.

Alterações de protocolo de nível de recurso

Como parte da estratégia geral da Ultra de tornar o EOSIO mais fácil e transparente de se usar para a maioria dos usuários, foi simplificada drasticamente o gerenciamento de recursos que os usuários devem fazer na rede.

RAM

Os usuários não precisam mais adquirir RAM para criar contas, e muitas das outras ações associadas a este recurso são gerenciadas pela Ultra agora. Isso significa que o custo de uma conta para um usuário não é nada.

POWER

O modelo de recursos exclusivo da Ultra que mescla CPU e NET em um único recurso chamado POWER. Usuários avançados, como desenvolvedores, terão acesso granular a esse mecanismo de “staking”. Uma vez que a Ultra oferece transações gratuitas que cobrem a maioria das necessidades do usuário, eles nunca precisarão gerenciar manualmente seus “stakes” em nossa rede.

Como fizemos alterações nesses recursos básicos do EOSIO, uma auditoria de segurança foi crítica para a Ultra para garantir que não houvesse consequências imprevistas que afetariam nossos usuários ou desenvolvedores no futuro. A revisão da Sentnl nos permite seguir em frente com a certeza de que eles só terão um impacto positivo em nossos usuários, desenvolvedores e editores.

Mudanças no protocolo da fila de transações

Foi implementada uma fila personalizada que ordena as transações primeiro por “stake” e depois pelo uso da rede. De acordo com a capacidade da rede, os usuários sem nada em “stake” na rede podem realizar transações gratuitas. Cada transação realizada adiciona peso negativo a essa conta, empurrando-a ainda mais para baixo na fila.

Sistema de Predicado

Como parte de uma estratégia maior de fornecer aos desenvolvedores ferramentas excelentes, foi desenvolvido um sistema de predicado que permite aos desenvolvedores definir ações a serem executadas de acordo com um limite de recurso predeterminado. Esta é uma ferramenta extremamente poderosa que permite um grau de flexibilidade, liberdade e personalização que atualmente não existe em nenhuma outra plataforma EOSIO.

Contratos inteligentes de contas fáceis de bloquear

Também houve muitas mudanças em como as contas são gerenciadas por meio do cliente Ultra por meio de revolucionário sistema de contas Easy Blockchain.

A Ultra está em processo de patentear este sistema e, como tal, não podem revelar muito sobre as especificações de como ele funciona. O que é importante é garantir aos futuros usuários que suas contas e os ativos que eles mantêm estão seguros de uma forma que nenhuma blockchain permitiu no passado.

Não há mais chaves perdidas. Não há mais serviços de custódia. Blockchain como deveria ser!

Oracle on-chain para conversão de UOS / USD

A equipe de blockchain da Ultra desenvolveu um Oracle on-chain para UOS / USD para que tenhamos acesso a taxas de conversão comprovadas e em tempo real.

Sentnl garantiu que a metodologia usada para extrair dados dos muitos pontos de dados (exchanges, agregadores), como é processado os dados, como é produzida uma média móvel das 24 horas anteriores e como é colocada em andamento – a corrente é resistente à fraude e funciona conforme o esperado. Abaixo está uma ferramenta de visualização construída internamente para uso de controle de qualidade que extrai dados e produz a média móvel.

O que você vê aqui são os muitos pontos de dados de exchanges e agregadores representados graficamente junto com a média móvel de 24 horas (em roxo) que está sendo empurranda na cadeia. Essa média leva em consideração os grandes movimentos do mercado e é resistente à fraude contra qualquer ator que queira manipular a taxa de mercado. A segurança é sempre a principal prioridade.

Como Sentnl realizou a auditoria da Ultra

Conforme descrito pela Sentnl, cada projeto é dividido em seus elementos básicos: a base de código, o caso de negócios e como funcionará quando estiver ativo. Esses elementos são usados ​​para criar um mapa do modelo de ameaça. Este mapa torna-se a base do processo da auditoria, que inclui leitura e difusão de código linha por linha.

Usando seu conhecimento de outras cadeias EOSIO e de como cada contrato opera no sistema da Ultra, eles realizaram uma análise funcional e operacional e fizeram uma leitura de linha em busca de quaisquer bugs. Em segundo lugar, eles executaram um fuzz de código na base de código EOSIO e funções usando um proprietário fuzzer desenvolvido por um de seus especialistas.

A leitura do código linha por linha garante que a equipe de segurança entenda a funcionalidade básica e a implementação em um nível mais profundo. Eles cobriram dezenas de milhares de linhas de código manualmente, procurando coisas como vazamentos de memória, uso de iteradores de maneiras inesperadas ou outras falhas que um usuário malicioso poderia usar como base para um ataque.

Fuzzing ou fuzz testing é uma técnica de teste de software automatizado que envolve o fornecimento de dados inválidos, inesperados ou aleatórios como entradas para um programa de computador. Em seguida, o programa é monitorado quanto a exceções, como travamentos, falhas nas declarações de código integrado ou possíveis vazamentos de memória. Fuzzing foi usado no CDT para compilar os contratos inteligentes. Isso ajudou Sentnl a avaliar se algum bug no CDT poderia causar problemas para os contratos inteligentes sem bugs e bem escritos.

O uso de ambos os processos maximizou a quantidade de bugs e vetores de ataque contabilizados.

 “A Ultra demonstrou um conhecimento especializado da base de código EOSIO que só pode ser rivalizado pela Block.one. É bastante claro que a equipe por trás disso são veteranos da indústria, que entendem a importância de um código limpo, bem documentado e eficiente ”.

– Charles Holtzkampf , CEO da Sentnl

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui