АУДИТ БЕЗОПАСНОСТИ CLOAKCOIN, ПРОИЗВЕДЕННЫЙ COGNOSEC

Development Team

Уважаемое Клоук сообщество,

Мы с гордостью представляем долгожданный Аудиторский Отчет!

Аудит, проведенный Cognosec (компания по кибербезопасности, зарегистрированная на бирже NASDAQ), был полезен для достижения целей проекта Cloak, и мы, безусловно, ценим их за эту кропотливую работу. Аудит Безопасности также отображает хорошее общественное признание нашей работы и следовательно открывает новые двери и показывает, что мы - проект, который заслуживает доверия. 40% спорных моментов, обнаруженных при аудите, уже былы исправлены и реализованы. Мы стараемся все исправить, как можно быстрее, в целях подготовки к нашему прямому релизу, который состоится уже в ближайшее время.

ПРОЧИТАТЬ АУДИТ БЕЗОПАСНОСТИ

Ниже, решения, представленные командой разработчиков Cloak:

  • #1 Компромисс Анонимности - самая большая проблема, из-за которой могла быть установлена личность отправителя. И проблема была решена. Анализируя предоставляемые Cloak транзакции на блокчейне, Cognosec обнаружил, что можно определить отправленную сумму, путем суммирования транзакций, поиска одинаковых сумм с помощью метода, называемого анализом вероятности. После того, как будет найдена отправленная сумма​, можно определить адреса отправителя. Исходя из предложений Cognosec, мы внедрили следующее решение: вместо равноценного разделения платы за транзакцию Enigma, участники (Клоукеры) получают часть от сборов Enigma полностью случайным образом - 80% -120% в равной степени от сбора за осуществление транзакции Enigma. Кроме того, сумма транзакции переупаковывается и затем повторно разделяется на 2-4 раза, чтобы предотвратить любые эквивалентные суммирования транзакций. Данная операция полностью предотвращает использование анализа вероятностей в целях определения отправленной суммы. Без возможности определения отправленной суммы, невозможно узнать, кто отправил монеты. Кроме того, это решение решило Проблему #9 - Был Доработан Случайный Разделитель наград.
  • #2 Не был достаточно зашифрован кошелек, поэтому, в настоящее время шифрование кошелька находится в стадии проработки. Cognosec также обнаружил, что даже если кошелек будет украден, монеты не смогут быть каким-либо способом использованы. Текущий риск заключается в том, что история транзакций будет известна.
  • #3 Решена проблема случайного генератора, используемого без сида (своего рода закрытого ключа-пароля).
  • #4, 5, 6, 7 & 8 #4, 5, 6, 7 и 8 Все пункты основаны на использовании "устаревшей" версии Биткойна и используемых для проекта системных библиотек. Обнаруженные уязвимости, связанные с предварительной загрузкой DLL, на самом деле зависят от ОС и будут компенсированы путем размещения необходимых библиотек DLL в каталогах защищенной системы (например, папка system32 в Windows) в случае,когда установщик продукции/релиза создается, как часть нашего нового пакета кошельков. В конце концов, Cloak будет включен в источник последнего проекта LiteCoin, при этом решая многие другие подобные проблемы, которые могут возникнуть.
  • #9 Недостатки Случайного Разделителя наград разрешены. Это было описано выше и показано на рисунке 1.
  • #10 Методы слабого резервного копирования рассматриваются для будущих релизов.
  • #11 Неправильное количество участвующих Клоукеров, определенных Cognosec - чисто для информации. Cognosec не смог распознать отправителя, как участника транзакции Enigma. При изучении их анализа, который можно изучить благодаря предоставленному коду, можно увидеть, что количество участников программного обеспечения сокращено на 1. Выделенная линия на рисунке 9.13, использует функцию "CreateForBroadcast" с первым параметром, numParticipants - 1. Это также описано на рисунке 1, где используются 4 Клоукера. В живой сети текущее количество Клоукеров установлено, как не менее 5 и число может быть установлено пользователем. Данное решение еще больше усиливает сложность анализа транзакций.



Если Вам интересно, прочтите полный отчет об аудите!

Спасибо компании Cognosec!

Мир да Любовь,

Команда Cloak

Читать целиком