Nym Cüzdanı Güvenlik Denetimi

Giriş

Aralık 2022'de, Nym bağımsız bir güvenlik denetimine tabi tutuldu. Denetim, üçüncü nesil blokzincirler ve merkeziyetsiz protokollerin denetimi konusunda uzmanlaşmış Almanya merkezli siber güvenlik danışmanlık firması Oak Security tarafından gerçekleştirildi. Cosmos, Terra, Polkadot ve Flow gibi ekosistemlerde geniş deneyime sahip olan Oak Security, Nym ekosisteminin iki kritik bileşenini değerlendirmekle görevlendirildi: (1) Nym mixnet ve hakediş sözleşmeleri (tam raporu inceleyin) ve (2) Nym Cüzdanı (tam raporu inceleyin). Denetimin amacı, bu bileşenlerin güvenliğini ve sağlamlığını değerlendirmek, potansiyel zafiyetleri tespit etmek ve güvenli kod geliştirme uygulamalarına uyumu sağlamaktı. Takibi kolaylaştırmak adına, her bileşene ait bulguları ayrı ayrı sunduk. Nym mixnet ve hakediş sözleşmelerine ilişkin denetim özetine buradan ulaşabilirsiniz.

Oak Security Tarafından Gerçekleştirilen Nym Cüzdanı Denetimi Özeti

İki hafta süren denetim sürecinde Oak Security'den dört kişilik bir uzman ekibi görev aldı. Nym ekibi, tüm kod tabanına, proje belgelerine ve ilgili dokümantasyona tam erişim sağladı. Denetimin kapsamı "nym-wallet" deposunu kapsıyordu.

Denetçiler, nym-wallet deposunu kapsamlı şekilde inceledi; güvenlik açıkları, entegrasyon mekanizmaları, kriptografik sağlamlık ve güvenli geliştirme uygulamalarına uyum konularını değerlendirdiler.

Oak Security, güvenlik açıklarını ortaya çıkarmak için otomatik analizleri manuel kod incelemeleriyle birleştiren hibrit bir yaklaşım kullandı.

Bulguların Genel Özeti

Nym Cüzdanı’nın kod tabanının iyi yapılandırılmış olduğu ve orta-yüksek okunabilirliğe sahip olduğu tespit edildi. Denetçiler, test kapsamının ve dokümantasyonun artırılmasını önerdi.

Toplamda 17 bulgu raporlandı. Hiçbiri kritik düzeyde değildi; 4 tanesi büyük, kalan 13'ü küçük ya da bilgilendirici olarak sınıflandırıldı. Bunlar, cüzdanın uygulanışını daha da iyileştirmek için fırsatlar sundu.

Nym ekibi, tüm büyük bulguları hızla çözüme kavuşturdu ve Oak Security bu düzeltmeleri inceleyerek onayladı.

NYM-WALLET-1: Çıkış yaptıktan sonra şifre bellekte kalıyor (Önemli)

Denetçiler, mnemonic doğru şekilde temizlenmesine rağmen, onu çağırmak için kullanılan şifrenin çıkış sonrasında bellekte kalmaya devam ettiğini belirledi.

Nym, bu durumu çözmek için çıkış ve hesap oluşturma sırasında pencereyi yeniden yükleyen bir çözüm geliştirdi. Bu işlem, JavaScript çalışma zamanını taşıyan WebView’i yok ederek mnemonic ve şifre gibi hassas verileri bellekte temizliyor.

NYM-WALLET-2: Cüzdan içinde hesap oluşturulduktan sonra mnemonic bellekte tutuluyor (Önemli)

Denetçiler, kullanıcı oturumunu kapattığında mnemonic ifadenin bellekte düzgün bir şekilde üzerine yazıldığını, ancak hesap oluşturma işleminden sonra bunun geçerli olmadığını tespit etti. Özellikle, cüzdan içinde yeni bir hesap oluşturulduğunda, kullanıcı oturumu kapatsa bile mnemonic ifade bellekte temizlenmiyor ve bu durum hassas bilgilerin açığa çıkmasına neden olabilir.

NYM-WALLET-1'de uygulanan çözüm, bu sorunu da ortadan kaldırmaktadır.

NYM-WALLET-3: Şifre özel karakterlerinin sınırlı aralığı (Önemli)

Denetçiler, cüzdandaki PasswordStrength bileşeninin şifre güvenliğini sağlamak için bir regex deseni kullandığını, ancak bu desenin aşırı derecede kısıtlayıcı olduğunu belirlediler. Daha geniş bir şifre aralığına izin vermek için daha esnek bir sembol kümesinin kullanılması tavsiye edildi. Bu sorunu, denetçilerin önerisi doğrultusunda regex desenini güncelleyerek, daha geniş karakter aralığını destekleyecek ve şifre güvenliğini artıracak şekilde giderdik.

Ayrıca bu sorunu daha doğru ve güçlü bir şifre güvenlik doğrulaması sağlamak amacıyla Dropbox’ın “zxcvbn” paketini entegre ederek çözdük.

NYM-WALLET-4: Kullanıcının mnemonic ifadeyi panoya kopyalamaya zorlanması (Önemli)

Hesap oluşturma sürecinde, kullanıcılara mnemonic ifade gösteriliyor ve “Mnemonic’i Kopyala” düğmesine tıklamaları isteniyordu. Bu düğme ifadeyi panoya kopyalıyordu. Denetçiler, bu uygulamanın güvenlik riski oluşturduğunu belirlediler; çünkü diğer uygulamalar bu ifadeye erişebilir.

Bu durumu düzeltmek için, denetçilerin önerdiği çözümü uygulayarak “Mnemonic’i Kopyala” düğmesini kaldırdık. Bunun yerine, mnemonic ifadenin güvenli bir şekilde nasıl saklanacağı ve kullanılacağına dair bilgilendirme ekledik ve kullanıcıların bu bilgileri okuduğunu ve anladığını onaylaması için bir onay kutusu yerleştirdik.

Last Words

Bu denetim süreci boyunca gösterdikleri uzmanlık ve özveri için Oak Security ekibine teşekkür ederiz. Ayrıca denetimin planlama ve yürütme aşamalarında gösterilen iş birliği ve profesyonellik için de minnettarız. Güvenliğe olan bağlılığımız en yüksek önceliğimiz olmaya devam ediyor ve ekosistemimizde en yüksek standartları korumak için güvenlik uzmanlarıyla olan iş birliklerimizi sürdürmeyi dört gözle bekliyoruz.