최근 Blockworks, Cointelegraph, The Block, CryptoSlate 등 유명 해외 언론의 보도에 따르면 TRON은 Java-Tron 클라이언트의 보안 평가를 성공적으로 완료했습니다. 이 평가는 세계 최고의 블록체인 보안 회사인 ChainSecurity에서 수행했으며 TRON 문제 해결 및 복구를 목표로 TRON 가상 머신(TVM), 합의 메커니즘 및 지점 간(P2P) 상호 작용과 같은 핵심 구성 요소 테스트에 중점을 두었습니다. TRON 트랜잭션에 영향을 미칠 수 있는 트랜잭션, 실행, 블록 생성, 합의 작업과 같은 기능에 잠재적인 취약점이 있습니다. 이는 TRON이 전체 블록체인 시스템의 방어 능력을 향상하고 잠재적인 보안 위협을 예방할 뿐만 아니라 네트워크 내 커뮤니티와 사용자의 신뢰를 높이는 보안을 대폭 강화했음을 의미합니다.
여러 언론 보도에 따르면 ChainSecurity는 평가 중에 몇 가지 잠재적인 취약점을 발견했습니다. 해커가 이러한 취약점을 악용할 경우 네트워크 성능에 영향을 미치거나 시스템 중단을 초래할 수도 있습니다. TRON 개발팀은 네트워크의 안전과 신뢰성을 보장하기 위해 취약점을 수정하기 위한 신속한 조치를 취했습니다.
이번 평가에서 발견된 주요 문제와 해결 방법은 다음과 같습니다.
PBFT 메시지는 상태 인플레이션을 유발합니다.
평가 결과, PBFT(Practical Byzantine Fault Tolerance) 메시지 처리 기능에는 심각한 숨겨진 위험이 숨어 있으며, 이로 인해 무제한 메모리 확장이 발생해 서비스 거부(DoS) 공격을 촉발할 수 있는 것으로 나타났다.
솔루션: 과도한 메모리 사용을 방지하기 위해 PBFT 기능이 활성화된 경우에만 관련 메시지가 처리되도록 시스템 업데이트가 이루어졌습니다.
포크된 블록 검열 공격
해커는 가짜 블록으로 구성된 포크 체인을 생성하고 유효한 포크 블록을 검열할 수 있습니다. 이러한 활동이 감지되면 시스템은 전체 포크(유효 블록 포함)를 폐기합니다.
해결책: 새로운 코드는 데이터 일관성을 보장하기 위해 먼저 유효하지 않은 블록 생산자가 생성한 블록을 필터링합니다.
증인 없이 서명된 블록은 리소스를 소비합니다.
또한 평가 결과, 증인 서명이 누락되었음에도 불구하고 시스템이 여전히 블록을 처리하고 있어 메모리, 스토리지 및 CPU 리소스가 낭비되는 것으로 나타났습니다.
솔루션: 이제 서명 확인에 실패한 블록은 즉시 폐기되어 리소스 낭비를 방지하고 안정적인 네트워크 성능을 보장합니다.
ChainSecurity의 창립 파트너이자 영업 책임자인 Emilie Raffo는 이번 협력에 대해 다음과 같이 말했습니다. "TRON 생태계에 전문적인 가치를 제공할 수 있게 되어 매우 기쁩니다. 이번 평가 기간 동안 TRON 팀과 긴밀히 협력하여 취약점을 발견하고 수정했습니다. 이를 통해 네트워크의 보안과 전반적인 성능이 향상될 것입니다. 우리는 향후 협력에서 더욱 유익한 결과를 달성하고 TRON 생태계의 보안을 보호할 수 있기를 기대합니다.”
TRON 커뮤니티 대변인 Dave Uhryniak은 다음과 같이 말했습니다. "보안은 모든 블록체인이 개발하고 신뢰를 얻는 데 있어 최우선 순위입니다. ChainSecurity가 수행한 보안 평가는 TRON이 위험 저항성을 더욱 향상시키고 안전하고 효율적인 서비스를 계속 제공할 수 있도록 도왔습니다. 이 협력은 TRON이 보안과 신뢰성을 향상시키는 또 다른 중요한 이정표입니다.”
ChainSecurity와의 협력은 잠재적인 취약점을 사전에 해결하고 해결하려는 TRON의 노력을 보여주며 사용자 자산 및 네트워크 데이터의 보안을 보호하려는 확고한 의지를 완전히 반영합니다.
위에서 언급한 취약점을 성공적으로 식별하고 복구함으로써 Tron 생태계의 보안 성능이 크게 향상되어 네트워크가 최상의 상태로 안정적으로 작동할 수 있습니다. ChainSecurity의 평가는 항상 최고 수준의 보안을 유지하고 글로벌 사용자를 위한 안전하고 신뢰할 수 있는 네트워크 환경을 조성하는 TRON의 끊임없는 추구를 다시 한 번 확인시켜 줍니다.
ChainSecurity는 업계에서 가장 초기이자 가장 평판이 좋은 스마트 계약 감사 회사 중 하나인 것으로 보고되었습니다. ChainSecurity 팀은 2017년 설립 이후 스마트 계약 보안 감사에 중점을 두고 있으며 MakerDAO, Circle, Curve, Lido, TRON,Compound, Yearn, TEDA, Argent 및 FUEL과 같은 많은 장기 파트너의 신뢰를 얻었습니다.
ChainSecurity는 이더리움 프로토콜 및 실시간 스마트 계약 코드의 취약점을 공개했으며, 다양한 보안 도구 개발 및 새로운 보안 취약점 발견에도 전념하고 있습니다.
기사 출처: CICC 온라인
원본 링크: http://news.cnfol.com/shangyeyaowen/20241009/30965054.shtml
