IOHK ha annunciato di aver risolto ben 11 nuove vulnerabilità sulla blockchain di Cardano, in particolare su Byron, che si prepara ad aggiornarsi per passare a Shelley per integrare la Proof of Stake.
La blockchain di Cardano infatti si sta evolvendo molto velocemente e vuole integrare la PoS. Il progetto è ancora in fase di test grazie alle ITR (Incentivized Testnet Reward), ma esiste già la possibilità di guadagnare partecipare al test.
La fase di test è ormai agli sgoccioli ed ha già raggiunto dei risultati oltre ogni aspettativa, questo vuol dire che presto dovrà migrare da Byron a Shelley.
L’azienda root9b ha così svolto un audit sulla blockchain e sono state segnalate 11 vulnerabilità che sono state presto risolte da IOHK.
Lo stesso Charles Hoskinson ha sottolineato come la trasparenza deve essere un punto di forza:
“È fondamentale che l’industria blockchain sia all’altezza della propria visione di sistemi aperti e decentralizzati quando si tratta di costruire blockchain. Le aziende non devono dare priorità alla segretezza e alla velocità di accesso al mercato rispetto alla sicurezza, in quanto enormi somme di denaro e persino vite umane dipenderanno dai software che produciamo. L’industria deve rendere accessibile lo sviluppo del software a terzi e condividere la conoscenza delle vulnerabilità a beneficio dell’industria in generale e della fiducia degli utenti. In questo spirito, abbiamo scelto di effettuare un audit da parte di terzi del Byron Reboot di Cardano e di rivelare pubblicamente le vulnerabilità che abbiamo trovato e le correzioni che abbiamo adottato”.
Tra le varie vulnerabilità riscontrate e nell’audit e poi risolte c’erano l’utilizzo del Genesis Key Generation usato per i test, ma ora poi il codice è stato alterato così da non compromettere questa parte di mainnet.
Altro errore riscontrato e poi risolto da IOHK è stato quello relativo al potenziale utilizzo delle risorse e di rischio di attacco DoS (Denial of Service), mentre per la parte del protocollo incompleto lato nodi IOHK ha specificato che il codice è stato usato solo per la fase di test e non verrà utilizzato successivamente.
Per quanto riguarda il wallet c’è un problema di protezione che richiede di usare la configurazione CSP; un altro problema è il collegamento e la trasmissione della password che si affida al TLS, ma in questo caso è già in programma il rilascio del Blake hashing.
Tutti i punti quindi sono stati risolti o mitigati e la maggior parte si risolveranno con la migrazione a Shelley che renderà le precedenti falle obsolete e non più sfruttabili da eventuali criminali per mettere in ginocchio la rete di Cardano (ADA).
Solo i wallet che saranno compatibili con BECH32 avranno la possibilità di delegare e votare; si potranno migrare i precedenti wallet con una semplice guida grazie alla quale sarà possibile creare un nuovo wallet e salvarsi le 15 parole chiave.
Per i premi ITN sarà fatto uno snapshot che verrà fatto una volta che Shelley verrà lanciato e poi tramite il wallet si potrà fare il claim dei reward. Discorso diverso sarà quello per il paper wallet e per gli hardware wallet per cui è previsto il rilascio di un nuovo firmware.
