Kiểm toán bảo mật mạng và ứng dụng Nym 2023–2024

Trong quá trình chuẩn bị cho việc ra mắt thương mại NymVPN trên toàn thế giới, mạng lưới và ứng dụng Nym đã trải qua hai cuộc kiểm toán bảo mật độc lập và toàn diện trong hai năm qua. Mục tiêu là đảm bảo công nghệ, mật mã và mạng lưới của Nym ở trạng thái tốt nhất khi NymVPN đến tay người dùng.

Kết quả đã dẫn đến những cải tiến đáng kể về bảo mật và nâng cao hiệu suất đằng sau hậu trường. Giống như mã nguồn mở của Nym, các cuộc kiểm tra này được công khai và phản hồi của đội ngũ dự án đã giải thích các biện pháp được thực hiện để giải quyết các vấn đề có liên quan.

Kiểm toán bảo mật là gì?

Kiểm toán bảo mật được tiến hành khi một công ty muốn kiểm tra các thông số bảo mật và lỗ hổng của công nghệ, hệ thống hoặc mạng. Như trong trường hợp của Nym, đây có thể là các biện pháp chủ động để đảm bảo sản phẩm beta được kiểm tra nghiêm ngặt trước khi ra mắt.

Kiểm toán bảo mật có thể được thực hiện nội bộ bởi nhân viên bảo mật hoặc nhóm phát triển, nhưng lý tưởng nhất là được thực hiện bởi một công ty kiểm toán độc lập không có cổ phần quan tâm trong công ty hoặc công nghệ. Điều này đảm bảo tính công bằng và thử nghiệm nghiêm ngặt về mặt khoa học.

Hơn nữa, kiểm toán bảo mật có thể được tiến hành ở nhiều quy mô khác nhau tùy thuộc vào việc mã code của công ty là độc quyền hoàn toàn hay một phần (tức là không thể truy cập công khai) hay là mã nguồn mở.

Trong cả hai trường hợp, các cuộc kiểm toán bảo mật được tiến hành trên mạng Nym và các ứng dụng từ năm 2023–2024 đều được thực hiện bởi các công ty bảo mật độc lập có toàn quyền truy cập vào phần mềm nguồn mở của Nym. Tất cả các báo cáo và phản hồi cũng đều có sẵn để công chúng và cộng đồng tham khảo.

Kiểm toán Cure53 (tháng 7 năm 2024)

Cuộc kiểm toán mới nhất và toàn diện nhất được thực hiện vào tháng 7 năm 2024 bởi công ty Cure53 có trụ sở tại Berlin. Cure53 nổi tiếng trong lĩnh vực Web3 và đã thực hiện kiểm toán cho các công ty VPN khác như ExpressVPN, Mullvad, TunnelBear và NordVPN.

Phạm vi kiểm toán

Cure53 sử dụng chiến lược hộp pha lê với quyền truy cập đầy đủ vào mã nguồn, bản dựng, tài liệu, môi trường test và các bài báo khoa học hỗ trợ. Kiểm toán mở rộng của họ bao gồm cơ sở hạ tầng của Nym, bao gồm các ứng dụng di động và máy tính để bàn, cơ sở hạ tầng VPN, mật mã và kiến ​​trúc hệ thống. Điều này được thực hiện thông qua thử nghiệm thâm nhập, kiểm toán mã nguồn và đánh giá mã.

Kết quả kiểm toán

Nhiều khía cạnh cốt lõi của hệ thống Nym được nhận định là tốt và an toàn, đặc biệt là các ứng dụng di động và máy tính để bàn cũng như bản dựng Rust.

“Cure53 […] đã xác nhận rằng cả ứng dụng Android và iOS đều không chứa thông tin nhạy cảm hoặc bí mật được mã hóa cứng, đây là một cân nhắc quan trọng về bảo mật.”

Kiểm toán Cure53 đã có thể phát hiện một số rủi ro bảo mật tiềm ẩn quan trọng trên toàn bộ hệ thống Nym, đặc biệt liên quan đến các rủi ro tiềm ẩn trong quá trình triển khai mật mã của hệ thống, ví dụ, liên quan đến rò rỉ văn bản thuần túy tiềm ẩn trong quá trình handshake được mã hóa giữa máy khách và các cổng. Các rủi ro quan trọng như thế này đã được Nym giải quyết nhanh chóng.

Cure53 đã xác định một số rủi ro tiềm ẩn khác là “cao” hoặc “nghiêm trọng”, mặc dù như phản hồi của Nym đã làm rõ, những rủi ro này liên quan đến các khía cạnh của cơ sở hạ tầng Nym, chẳng hạn như hiện không còn hoạt động nữa hoặc các cuộc tấn công có thể không thành công do thiết kế hiện tại, chẳng hạn như việc triển khai tiền điện tử của Nym.

Bạn có thể đọc phản hồi của Nym về cuộc kiểm toán Cure53 với các giải thích về tất cả các thay đổi đã hoặc chưa được thực hiện bởi Trưởng phòng Nghiên cứu và Công nghệ của Nym. Liên kết đến báo cáo gốc của Cure53 cũng có thể được tìm thấy tại đó.

Kiểm toán Oak (2023)

Các nhà nghiên cứu của Nym hiện cũng đã công bố phản hồi cho hai cuộc kiểm toán bảo mật năm 2023 do Oak Security thực hiện , một công ty bảo mật có trụ sở tại Đức chuyên về hợp đồng thông minh. Oak có nhiều kinh nghiệm trong các hệ sinh thái như Cosmos, Terra, Polkadot và Flow.

Phạm vi kiểm toán

Cuộc kiểm toán đầu tiên tập trung vào Nym mixnet và các hợp đồng chuyển nhượng trong khi cuộc kiểm toán thứ hai tập trung cụ thể vào ứng dụng Nym Wallet.

Với quyền truy cập đầy đủ vào cơ sở mã nguồn mở của Nym, cuộc kiểm toán Oak đã bao gồm các hợp đồng/mixnet, kho lưu trữ hợp đồng/quyền sở hữu, các nội dung nhập có liên quan của các hợp đồng này cho mixnet Nym và các hợp đồng quyền sở hữu, cũng như ứng dụng Nym Wallet.

Kết quả kiểm toán

Kiểm toán hợp đồng mixnet và quyền sở hữu Oak

Liên quan đến cuộc kiểm toán mixnet và hợp đồng chuyển nhượng, Ania Piotrowska, Trưởng phòng nghiên cứu của Nym, tóm tắt những phát hiện và hành động đã thực hiện:

“Nym mixnet và các hợp đồng chuyển nhượng được đặc trưng bởi đăc tính dễ đọc và rõ ràng cao, với phạm vi kiểm tra mạnh mẽ giúp tăng độ tin cậy của chúng. Trong đánh giá của mình, các kiểm toán viên đã xác định được 19 phát hiện, bao gồm 9 lỗ hổng bảo mật — bao gồm các vấn đề trung bình và nghiêm trọng — và 10 điểm yếu chung được phân loại là nhỏ hoặc mang tính thông tin. Nhóm Nym đã nhanh chóng giải quyết tất cả các vấn đề nghiêm trọng và trung bình. Oak Security đã xác minh và chấp thuận các bản sửa lỗi của chúng tôi.”

Kiểm toán ví Oak Nym

Liên quan đến cuộc kiểm toán của Nym Wallet , Ania tóm tắt kết quả như sau:

“Ví Nym được phát hiện có cơ sở mã được cấu trúc tốt với khả năng đọc trung bình đến cao. Các kiểm toán viên khuyến nghị cải thiện phạm vi kiểm tra và tài liệu để nâng cao độ tin cậy và khả năng bảo trì. Tổng cộng có 17 phát hiện được báo cáo cho Ví Nym. Không có phát hiện nào được phân loại là nghiêm trọng; bốn phát hiện được đánh giá là trung bình, trong khi 13 phát hiện còn lại được phân loại là nhỏ hoặc mang tính thông tin, tạo cơ hội để tinh chỉnh thêm việc triển khai ví. Nhóm Nym đã nhanh chóng giải quyết tất cả các phát hiện lớn và Oak Security đã xem xét và phê duyệt các bản sửa lỗi.”

Phần kết luận

Bảo mật mạng và ứng dụng là mối quan tâm lớn nhất của Nym. Nếu không có nó, người dùng của Nym sẽ không nhận được những gì họ cần và được hứa hẹn: bảo vệ quyền riêng tư và bảo mật tiên tiến nhất hiện có. Do đó, đội ngũ dự án đang tiến vào năm 2025 với những cải tiến bảo mật đáng kể nhờ sự tư vấn của Cure53 và Oak Security.

Nym sẽ tiếp tục quá trình kiểm toán độc lập thường xuyên đối với cơ sở mã nguồn mở, phát triển các ứng dụng và mạng, cũng như chương trình tiền thưởng cho việc phát hiện lỗi để đảm bảo các tiêu chuẩn bảo mật cao nhất cho những người sử dụng NymVPN.

Miễn trừ trách nhiệm: Tất cả nội dung trên kênh đều vì mục đích cung cấp thông tin và không phải là lời khuyên đầu tư. Người đọc nên tự tiến hành nghiên cứu trước khi đưa ra các quyết định có ảnh hưởng đến bản thân hay doanh nghiệp của mình và sẵn sàng tự chịu trách nhiệm cho những lựa chọn ấy