关于TORN#32号提案漏洞的讨论

tor TORN 漏洞 讨论 2023-11-05 92

摘要:开放这个清0中继器管理员权限入口(但需要社区投票决定),确实比较中心化的做法,我个人也比较保守,只要能注销掉这些作弊者,Tornado能安全稳定运行就可以,放开更多的权限我也想不出将来会发生事来,所以干脆不放开,或者可以加大中继器注册门槛来解决问题,比如现在从发提案到执行,需要7天时间,那么加的门槛就是让作弊者在7天内完全无法回本,那么他们就不敢作弊了。...

TORN#34号提案 中国社区发生了激烈的讨论。由于32号提案的原因,提案#32存在漏洞。现在一些质押较多的中继器被作弊中继器的人恶意清理,他们的中继器被取消。提案发布者被视为恶意人员,中国社区管理员认为:我个人的看法:

首先看看提案#34合同做了什么,我大概看了下面的代码,它做了以下几件事:

1、取消之前作弊的所有中继器。(几个改过的作弊者不包括在内,因为他们之前被处罚为0并善良),这是我对Theo的建议,因为最后的建议只取消了几个作弊中继器,

然而,我观察到,许多同一个人创建了多个作弊中继器。如果没有取消,建议可能会完成,其他未取消的作弊中继器将再次“复活”。

2、恢复提案#32受害者的三个中继器质押数量,并将被取消的作弊中继器质押余额平分给三个受害者。我看到大约600个TORN平分,每人200个TORN平分。

3、中继器注册合同增加了0中继器质押函数,可以通过社区投票指定一个钱包来执行。本提案尚未设置指定的钱包。

我不是一个专业的智能合同程序员,只懂代码逻辑,不知道有没有漏洞。

就像提案#32一样,我只知道提案要做什么,但我从来没有想过我可以修改ens域名绑定钱包地址来绕过处罚。

大家担心的地方大致有几点:

1、怕提案合同留下侧门或漏洞;

--对于不懂代码的社区成员来说,这确实需要专业人士或值得信赖的人来审计才能放心投票。

2、加入来清0中继器管理员权限入口;

--提案#34只是增加了这个权限入口,但是提案#34没有指定管理员的钱包地址,所以即使提案通过,也暂时没有影响。

后续可发提案社区投票决定(或后面从未使用过设置管理员钱夹提案)

3、由于提案#32有问题,所以@ButterflyAtractor写的合同不放心。

在之前的聊天中,有质疑提案#32 是否 @ButterflyAttractor 我之前在聊天中也提到过留下的漏洞,

我觉得不太可能,因为受害者只有质押量前三的中继器,还有近10、10个正常运行的中继器,

写这些合同需要很多时间。即使他是作弊的中继者,他也不必花很多时间写这个提案。他可以继续作弊,而不必提交这个提案。

我个人认为也是因为他没有考虑到ens这个问题。

为什么黑客喜欢使用Tornado?黑客是这个行业的顶级程序员。因为黑客同意Tornado的稳定性和分散性,他们的资产不能在Tornado中被人为干扰冻结。

打开这个0中继器管理员权限入口(但需要社区投票决定)真的很集中。我也很保守。只要我能取消这些作弊者,Tornado就能安全稳定地运行。

我不明白未来会发生什么,所以我根本不放手,或者我可以增加中继器注册的门槛来解决这个问题。例如,从提案到执行需要7天,所以额外的门槛是让作弊者在7天内完全无法返回,然后他们不敢作弊。

相关推荐