最近、Blockworks、Cointelegraph、The Block、CryptoSlate などの有名な海外メディアの報道によると、TRON は Java-Tron クライアントのセキュリティ評価を正常に完了しました。この評価は、世界をリードするブロックチェーン セキュリティ企業である ChainSecurity によって実施され、TRON のトラブルシューティングと修復を目的として、TRON 仮想マシン (TVM)、コンセンサス メカニズム、ポイントツーポイント (P2P) インタラクションなどのコア コンポーネントのテストに重点が置かれています。 TRON トランザクションに影響を与える可能性のあるトランザクション。実行、ブロック生成、コンセンサス操作などの機能における潜在的な脆弱性。これは、TRON がセキュリティを徹底的に強化したことを意味し、ブロックチェーン システム全体の防御能力を向上させ、潜在的なセキュリティ脅威を防ぐだけでなく、ネットワーク内のコミュニティとユーザーの信頼も強化します。
複数のメディアの報道によると、ChainSecurity は評価中にいくつかの潜在的な脆弱性を発見しました。これらの脆弱性がハッカーによって悪用されると、ネットワークのパフォーマンスに影響を与えたり、システムの停止を引き起こしたりする可能性があります。 TRON 開発チームは、ネットワークの安全性と信頼性を確保するために、脆弱性を修正するために迅速に行動しました。
この評価中に発見された主な問題とその解決策は次のとおりです。
PBFT メッセージは状態のインフレを引き起こす
評価の結果、PBFT (Practical Byzantine Fault Tolerance) メッセージ処理機能には、無制限のメモリ拡張を引き起こし、サービス妨害 (DoS) 攻撃を引き起こす可能性がある重大な隠れた危険性があることが判明しました。
修正の内容: 過度のメモリ使用を避けるために、PBFT 機能が有効になっている場合にのみ関連メッセージが処理されるようにシステム アップデートが行われました。
フォークされたブロック検閲攻撃
ハッカーは、偽のブロックで構成されるフォークされたチェーンを作成し、有効なフォークされたブロックを検閲する可能性があります。このようなアクティビティが検出されると、システムはフォーク全体 (有効なブロックを含む) を破棄します。
解決策: 新しいコードは、データの一貫性を確保するために、最初に無効なブロックプロデューサーによって生成されたブロックをフィルターで除外します。
証人なしで署名されたブロックはリソースを消費します
評価では、証人の署名がないにもかかわらず、システムが依然としてブロックを処理しており、メモリ、ストレージ、CPU リソースが浪費されていることが判明しました。
解決策: リソースの無駄を避け、安定したネットワーク パフォーマンスを確保するために、署名検証に失敗したブロックは直ちに破棄されるようになりました。
ChainSecurity の創設パートナー兼営業責任者である Emilie Raffo 氏は、今回の協力について次のように述べています。「TRON エコシステムに専門的な価値を提供できることを非常にうれしく思います。この評価では、TRON チームと緊密に連携して脆弱性を発見し、修正しました。これにより、ネットワークのセキュリティと全体的なパフォーマンスが向上し、今後の協力でより実りある結果を達成し、TRON エコシステムのセキュリティを保護できることを楽しみにしています。」
TRONコミュニティの広報担当者Dave Uhryniak氏はさらに、「セキュリティはすべてのブロックチェーンの発展と信頼獲得の最優先事項である。ChainSecurityが実施したセキュリティ評価は、TRONのリスク耐性をさらに向上させ、安全で効率的なサービスの提供を継続できることを保証するのに役立った」と述べた。この協力は、TRON にとってセキュリティと信頼性を向上させるためのもう 1 つの重要なマイルストーンです。」
ChainSecurityとの協力は、潜在的な脆弱性のトラブルシューティングと解決を積極的に行うTRONの取り組みを示しており、ユーザー資産とネットワークデータのセキュリティを保護するというTRONの固い決意も完全に反映しています。
上記の脆弱性の特定と修復に成功したことで、Tron エコシステムのセキュリティ パフォーマンスが大幅に向上し、ネットワークが最高の状態で安定して動作することが保証されます。 ChainSecurityの評価は、常に最高水準のセキュリティを維持し、世界中のユーザーにとって安全で信頼できるネットワーク環境を構築するというTRONの絶え間ない追求を改めて裏付けています。
ChainSecurity は、業界で最も早く、最も評判の高いスマート コントラクト監査会社の 1 つであると報告されています。 2017 年の設立以来、ChainSecurity チームはスマート コントラクトのセキュリティ監査に焦点を当てており、MakerDAO、Circle、Curve、Lido、TRON、Compound、 Yearn、TEDA、Argent、FUEL などの多くの長期パートナーからの信頼を獲得してきました。
ChainSecurity は、イーサリアム プロトコルとリアルタイム スマート コントラクト コードの脆弱性を公開しており、さまざまなセキュリティ ツールの開発や新たなセキュリティ脆弱性の発見にも取り組んでいます。
記事の出典:CICCオンライン
元のリンク: http://news.cnfol.com/shangyeyaowen/20241009/30965054.shtml
