Аудит безпеки мережі та додатків Nym 2023–2024

Що таке аудит безпеки?

Аудит безпеки проводиться, коли компанія прагне перевірити параметри безпеки та вразливість технології, системи або мережі. Як і у випадку з Nym, це можуть бути проактивні заходи, спрямовані на те, щоб бета-версія продукту була ретельно протестована перед запуском.

Аудит безпеки може проводитися внутрішньо персоналом служби безпеки або командою розробників, але в ідеалі його виконує незалежна аудиторська фірма, яка не має зацікавленості в компанії або технології. Це забезпечує неупередженість і наукову обґрунтованість тестування.

Крім того, аудити безпеки можуть проводитися в різному масштабі залежно від того, чи є код компанії повністю або частково закритим (тобто недоступним для загального доступу) або відкритим кодом.

В обох випадках аудит безпеки мережі та додатків Nym у 2023–2024 роках проводили незалежні компанії з безпеки, які мали повний доступ до програмного забезпечення Nym з відкритим кодом. Усі звіти та відповіді також доступні для ознайомлення громадськості та спільноти.

Аудит Cure53 (липень 2024 року)

Останній і наймасштабніший аудит був проведений у липні 2024 року берлінською фірмою Cure53. Cure53 добре відома в сфері Web3 і проводила аудит для інших VPN-компаній, таких як ExpressVPN, Mullvad, TunnelBear і NordVPN.

Обсяг аудиту

Cure53 використовувала стратегію «кришталевої скриньки» з повним доступом до вихідного коду, збірками, документацією, тестовими середовищами та супровідними науковими статтями. Їхній всебічний аудит охоплював інфраструктуру Nym, включаючи мобільні та настільні додатки, інфраструктуру VPN, криптографію та архітектуру системи. Це було зроблено за допомогою тестування на проникнення, аудиту вихідного коду та перегляду коду.

Результати аудиту

Багато основних аспектів системи Nym виявилися в хорошому та безпечному стані, зокрема її мобільні та настільні додатки та збірки Rust.

“Cure53 [...] підтвердив, що ні в додатках для Android, ні в додатках для iOS не міститься жорстко закодована конфіденційна інформація або секрети, що є ключовим фактором безпеки».

Аудит Cure53 виявив низку важливих потенційних ризиків безпеки в системі Nym, зокрема щодо потенційних ризиків у її криптографічній реалізації, наприклад, щодо потенційного витоку відкритого тексту в зашифрованому обміні даними між клієнтом і шлюзами. Такі критичні ризики були швидко усунені командою Nym.

Ряд інших потенційних ризиків був визначений Cure53 як «високий» або «критичний», хоча, як пояснює відповідь Nym, вони стосувалися аспектів інфраструктури Nym, які, наприклад, більше не функціонували, або можливих атак, які були б невдалими з огляду на поточну конструкцію, наприклад, реалізації електронних грошей Nym.

Ви можете прочитати відповідь Nym на аудит Cure53 з поясненнями всіх змін, внесених або не внесених керівниками відділу досліджень і технологій Nym. Там також можна знайти посилання на оригінальний звіт Cure53.

Аудит Oak (2023)

Дослідники Nym також опублікували відповідь на два аудити безпеки 2023 року, проведені Oak Security, німецькою компанією, що спеціалізується на безпеці смарт-контрактів. Oak має великий досвід роботи з такими екосистемами, як Cosmos, Terra, Polkadot і Flow.

Обсяг аудитів

Перший аудит був зосереджений на міксі Nym та контрактах на набуття прав, а другий — конкретно на додатку Nym Wallet.

Маючи повний доступ до відкритого коду Nym, аудит Oak охоплював контракти/мікснет, контракти/репозиторії вестінгу, відповідні імпорти цих контрактів для мікснету Nym і контрактів вестінгу, а також додаток Nym Wallet.

Результати аудитів

Аудит мікснету Oak та контракту на набуття прав власності

Щодо аудиту міксінгу та контракту на набуття прав, Анія Піотровська, керівник відділу досліджень Nym, підсумовує висновки та вжиті заходи:

«Контракти Nym mixnet і vesting характеризувалися високою читабельністю і зрозумілістю, а їх надійність підтверджувалася надійним тестуванням. У своїй оцінці аудитори виявили 19 недоліків, серед яких 9 вразливостей безпеки – включаючи критичні та серйозні проблеми – та 10 загальних недоліків, класифікованих як незначні або інформативні. Команда Nym швидко вирішила всі критичні та основні проблеми. Команда Oak Security перевірила та затвердила наші виправлення».

Аудит гаманця Oak Nym

Щодо аудиту Nym Wallet, Аня підсумовує результати:

«Було виявлено, що гаманець Nym має добре структуровану кодову базу із середньою до високою читабельністю. Аудитори рекомендували поліпшити охоплення тестуванням та документацію для підвищення надійності та зручності обслуговування. Загалом було повідомлено про 17 знахідок для гаманця Nym. Жодна з них не була класифікована як критична; чотири були оцінені як серйозні, а решта 13 були класифіковані як незначні або інформативні, що дало можливість вдосконалити реалізацію гаманця. Команда Nym оперативно вирішила всі основні проблеми, а Oak Security перевірила та затвердила виправлення.

Висновок

Безпека мережі та додатків є найважливішим пріоритетом для Nym. Без цього люди, які звертаються до Nym, не отримають того, що їм потрібно і що їм обіцяно: найсучасніші засоби захисту конфіденційності та безпеки, які є на сьогоднішній день. Таким чином, команда Nym вступає в 2025 рік із значними поліпшеннями в галузі безпеки завдяки консультаційній роботі Cure53 та Oak Security.

Nym продовжить регулярний процес незалежних аудитів своєї відкритої кодової бази, розробки додатків і мережі, а також програми винагороди за виявлення помилок, щоб забезпечити найвищі стандарти безпеки для користувачів NymVPN і мережі.