技术周刊 | Hyperledger Besu开始2020的安全审核

本周加密社区技术消息较少,因此本周的技术周刊只包含以太坊、COSMOS、Hyperledger、Filecoin四个网络的技术动态。

以太坊

金色财经讯,4月15日,以太坊2.0构建团队Prysmatic Labs发布以太坊2.0主网配置测试网Topaz。

官方介绍称,Topaz测试网是唯一完整的以太坊2.0主网配置测试网;实现32ETH存款验证机制(验证者必须将全部32枚ETH放在Goerli ETH1测试网上才能参与验证)。Prysmatic Labs官方表示,将于北京时间4月16日8:00关闭Sapphire验证器,开启Topaz创始存款,并将开启大规模发送交易以启动测试网络。

对此,V神发推提醒称,Topaz还并非“多客户端测试网”,官方将很快重启测试网一两次,以便更多地测试创始机制。

此前,V神在接受采访时透露,多客户端测试网可能会在四月份进行推出。V神表示:“对于何时开始阶段0主网的问题,首先需要一个多客户端测试网,等待该测试网运行一段时间,然后再启动主网。这与我们在2015年为ETH1做的过程类似。因此,很难预测何时会推出主网,我们希望多客户端测试网可以很快推出,四月似乎很有可能。”

ETH 2.0用户体验设计需考虑教育、术语命名等问题

以太坊2.0客户端Lighthouse最近进行有关Eth2.0质押/验证的用户体验调查报告,发现存在不容忽视的问题并提出建议:

1.教育。考虑到对Eth2.0阶段零上质押/验证感兴趣的用户群,客户端通信交流的文档也应该考虑非开发人员,即更加通俗化。从而使得进入系统的验证者,不会因为缺乏技术语言、媒介资源等因素而难以参与验证;另外需要额外分配更多注意力和资源给这些人,从而确保他们可以清楚地知晓目前系统发生的变化以及对未来有清晰的预期。

2.术语命名。建议不要使用“ETH2”和“ETH2.0”等词汇,如果研究团队有需要,可以使用“eth2”或者“Eth2.0”。

3.实验性。鼓励以太坊项目广泛吸纳设计师、撰稿人、协调者、研究人员和系统思考者等各行各业的人才,来帮助共同进步。

4.合作。Eth2.0的进展,目前极大地依赖现有的系统以及个人、团队、组织在各级技术堆栈为Eth2.0发展进行的出色工作。这也要求我们在创建通信和做出致力于面向用户的决策时保持同步。以太坊要想成为一个出色的POS去中心化网络系统,离不开各方鼎力相助,希望大家分享见解、就术语达成共识以及提供教育资源。

CoinBene将于今日16:00上线 EVF:据官方消息,CoinBene将于今日16:00上线EVAL DEFI (EVF),支持EVF/USDT、EVF/ETH交易对,充值现已开放。EVAL DEFI 是一个平台,可提供广泛的加密投资机会,致力于构建去中心化金融系统智能链。EVAL DeFi生态系统包括两个代币:EVAL和稳定币家族USDT等。 EVAL是一种加密货币,可提供 EVAL DeFi内部的存款,加密贷款和其他服务的大量奖金。CoinBene旨在打造值得信赖的数字资产交易平台,在全球180多个国家和地区拥有500多万用户,日活跃用户数超10万,日均交易额30亿美元。[2021/1/28 14:12:21]

以太坊发布Geth v1.9.13 区块处理速度提高约10%

以太坊基金会负责人PéterSzilágyi今日发推称,以太坊网络客户端已发布Geth v1.9.13。它提供了一种新的快照格式(默认情况下未启用),区块处理速度提高了约10%,传播的事务大小限制从64 KB增加到128 KB,还可以在同一端口上运行HTTP和WebSocket。

COSMOS

Tendermint Inc 将重新选择验证人来委托 ATOMs

在 Cosmos 主网上线不久之后,Tendermint Inc 选择了一些验证人给他们进行 ATOMs 委托。由于当时对验证人的设置以及他们对社区的贡献缺乏足够的信息,因此我们的评估标准是基于 “Game of Stakes” 的结果和当时仅有的少量附加数据。

我们在 2019 年 6 月选择的一部分验证人已经在退出,而其他一些验证人在主网上表现突出。除此以外,验证人数量也从创世时的 100 位升级到了 125 位。总而言之,之前选取的验证人名单已经过时。

当务之急-我们需要解除对主网上线时那些验证人的 ATOMs 委托

这次,我们将检视 2019 年委托的那些验证人,将 ATOMs 解委托并加上一年以来累积的奖励,一同委托给 2020 年新选择的优秀验证人。

在本次解委托过程中,我们将进行一次多签账户的迁移, 随着旧签名者被弃用,新的签名者会在 21 天解除绑定后加入。我们计划 4 月 17 日开始 21 天解除绑定的过程,并且在 5 月 8 日之前完成委托给新的验证人。

根据一些验证人对 Cosmos 生态做出的整体贡献,我们正在评估要委托的验证人列表。

Tendermint 委托标准

Tendermint 对于委托数量分成了 4 个等级,分别为以下内容:

100,000 ATOMs: 对那些给网络赋予价值且投票权在前 5 名的验证人委托100,000 ATOMs。

300,000 ATOMs :对以某种有意义的方式为 Cosmos 网络做出了贡献的验证人委托 300,000 ATOMs。Tendermint Inc 的前雇员属于这个类别。

500,000 个 ATOMs:尽管权重高的验证人对生态有巨大的贡献,但经过一番讨论之后,我们最终决定支持权重排名靠后的 60% 的验证人节点。这些验证人通过了稳健性测试,但是出于某种原因 ,可能还没有权重高的验证人有那么多的“品牌知名度”。我们将为此类验证人委托 500,000 ATOMs。Tendermint Inc 的现雇员也属于这一类。

这个等级的委托数量是 700,000 ATOMs,选择思路与500k 级别差不多,区别在于这些验证人需要是 Cosmos 的杰出贡献者,并且通过工具、集成、线下交流会、UI 设计和其他自创的卓越的软件产品让 Cosmos 用户和开发人员获益并感受到明显的变化。

基于所有验证人节点目前在 Cosmos Hub 中的权重,从高到低排序,我们综合评估得出每个等级的最高委托量:

综合条件 (验证人节点投票权从高到低排序)基于投票权的最大委托量

前5名最多 100,000 ATOMs

前10名最多 300,000 ATOMs

前20名最多 500,000 ATOMs

21名及以后最多 700,000 ATOMs

此项工作大约 4 周后完成,之后我们将会分享本次获得委托的验证人列表。未来,我们将每季度定期执行此过程,以便更新此验证人列表、及时跟踪 Cosmos 贡献者。

世界正处在艰难的时期,Tendermint Inc 将尽其所能,为努力工作的 Cosmos 贡献者提供支持,以便所有人都能继续合作,共同推动生态系统的持续发展。

Fliecoin

Fliecoin主网上线时间延期至7月6日至8月6日

Filecoin官方宣布将主网上线时间推迟至7月6日至8月6日。本次上线时间延期并没有引起社区争议,因为Fliecoin很早就公开表示上线窗口可能会有所变动。

Hyperledger

Hyperledger Besu项目在今年第一季度进行了安全审核。这是代码库的第二次安全审核。该代码库在代码库首次启动之前(以及其命名为Pantheon之前)于2018年进行了安全审核。Besu团队进行了另一次安全审核,因为自最初的安全审核以来,代码库已添加了许多新功能。确保在代码库中使用安全最佳实践是Besu团队的首要任务。

Hyperledger Besu团队很高兴与Tevora合作进行此安全审核,并与他们密切合作以发现问题。Tevora审核代码库的方法包括:

侦察

威胁映射

已知漏洞识别

开发

进行代码审核时,重要的是要解决每个发现,以帮助改进代码库并确保其满足安全性期望。虽然在代码库中没有发现严重或严重的问题,但已确定了一些中等风险的问题。

以下是问题的概要以及团队解决这些问题的步骤:

GraphQL配置:

结果摘要: Hyperledger Besu客户端包括用于数据查询的可配置GraphQL端点。Tevora发现GraphQL实现不能充分防范恶意查询。如果GraphQL端点在可路由的网络接口(非默认配置)上提供服务,则攻击者可能制作出耗尽节点的系统资源的查询。这种攻击将导致系统资源的过度利用,并且受影响的节点将与其对等节点断开连接。配置为在Besu客户端上公开GraphQL端点的网络将面临基于DoS的区块链攻击的风险。

团队的解决方案: Besu团队立即开始查询复杂度计量,以防止形成查询循环。此外,作为以太坊社区的成员,团队注意到这对其他具有GraphQL终结点的以太坊客户端来说是一个缺陷,因此它告知社区,以便其他客户端也可以实施适当的修复。您可以在Hyperledger Besu的1.4.3版本中找到解决的项目。

密钥存储

结果摘要: Besu节点将节点私钥存储在主机文件系统上。破坏此密钥不会导致资金的直接损失;但是,这将导致对受影响节点的通信失去信任。

团队的寻址方式:根据设计,Hyperledger Besu团队不会像配置其他以太坊节点那样存储帐户密钥。这样可以减轻帐户接管攻击。该团队将继续评估如何鼓励采用最佳实践在Besu中存储节点私钥,包括使用HSM来存储节点密钥。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块博客

USDC金色前哨 | 莱特币、云币商标在京东拍卖平台流拍

金色财经讯,京东网资产竞价网络平台信息显示,截止4月18日10:00,莱特币、云币商标拍卖正式结束,此次竞拍中涉及到的莱特币、云币商标流拍。网页显示,此次拍卖活动有821人次围观,仅3人报名参与。注:流拍是指在拍卖中,由于起拍价格过高造成的拍卖交易失败。在买卖活动中,买卖双方不能达成协议,使得买卖行为无法成功进行,对其拍卖的标的得不到想要成交的数额。

XRP我在DeFi里亏光又回本的两天

(一) 说来神奇,三十多年来,在钱上踩坑,我还没碰到过。投资有输赢,但是因为意外事件把本金丢了,我总觉得,“没这么背吧?” 直到上周日的上午,我的投资生涯翻开了新的一章。 我现在还记得刚知道被盗时的情景。

AAVE如何通过缠论走势分解判断盘整背驰低点

作者:琛实&东哥,更多文章关注微信公众号“琛和量化”。 走势在不同级别买卖点之间快速转化,如何跟上节奏。 琛实--禅解币市 先看新闻,据《科创板日报》报道,苏州相城区是央行数字货币(DC/EP)的重点试验地区。央行数字货币首个应用场景将在此落地。数字货币概念股应声大涨,BTC午后也跟着强势反弹。 本质上,央行数字货币试验和BTC没有什么关联。

[0:0ms0-7:167ms