Para abordar de inmediato cualquier inquietud planteada anteriormente, queremos aclarar que todas las presentaciones de recompensas por errores que hemos recibido han sido revisadas exhaustivamente y respondidas de manera adecuada. Esta siempre ha sido nuestra práctica, y continuamos actuando con prontitud ante cualquier amenaza genuina a la blockchain, sus validadores o contratos.
Tras una evaluación exhaustiva, se confirmó que la presentación de @FuzzingLabs no identificó ninguna amenaza real para la red o sus validadores, contrariamente a sus afirmaciones.
Para mayor claridad, su presentación involucró la posibilidad de que un actor malicioso actualizara los contratos Python heredados para ejecutar código arbitrario. A primera vista, entendemos por qué esto parecía ser una vulnerabilidad. Sin embargo, no comprendieron sus implicaciones prácticas:
- Observaron correctamente que el motor de ejecución de Python todavía está activo en la blockchain de ICON.
- Luego afirmaron que, si bien no se pueden implementar nuevos SCOREs de Python, aún se pueden actualizar. Aquí es donde comenzó el malentendido. En la práctica, no se permiten actualizaciones de contratos Python si implican la implementación de nuevo código Python. En la actualidad, no se acepta ningún SCORE de Python, ya sea una implementación nueva o una actualización. Solo se permiten las actualizaciones que hacen la transición de Python a Java.
"𝘗𝘺𝘵𝘩𝘰𝘯 𝘦𝘹𝘦𝘤𝘶𝘵𝘪𝘰𝘯 𝘦𝘯𝘨𝘪𝘯𝘦 𝘳𝘦𝘮𝘢𝘪𝘯𝘴 𝘢𝘤𝘵𝘪𝘷𝘦 𝘰𝘯 𝘮𝘢𝘪𝘯𝘯𝘦𝘵 𝘥𝘶𝘦 𝘵𝘰 𝘵𝘩𝘦 𝘤𝘰𝘯𝘵𝘪𝘯𝘶𝘦𝘥 𝘦𝘹𝘪𝘴𝘵𝘦𝘯𝘤𝘦 𝘰𝘧 𝘭𝘦𝘨𝘢𝘤𝘺 𝘗𝘺𝘵𝘩𝘰𝘯 𝘤𝘰𝘯𝘵𝘳𝘢𝘤𝘵𝘴." 𝗧𝗿𝘂𝗲.
"𝘗𝘺𝘵𝘩𝘰𝘯 𝘤𝘰𝘯𝘵𝘳𝘢𝘤𝘵𝘴 𝘤𝘢𝘯𝘯𝘰𝘵 𝘣𝘦 𝘥𝘦𝘱𝘭𝘰𝘺𝘦𝘥, 𝘦𝘹𝘪𝘴𝘵𝘪𝘯𝘨 𝘤𝘰𝘯𝘵𝘳𝘢𝘤𝘵𝘴 𝘤𝘢𝘯 𝘴𝘵𝘪𝘭𝘭 𝘣𝘦 𝘶𝘱𝘥𝘢𝘵𝘦𝘥" 𝗙𝗮𝗹𝘀𝗲.
El sistema de tiempo de ejecución prohíbe la actualización de Python a Python. Solo se puede aceptar de Python a Java.
"𝘗𝘺𝘵𝘩𝘰𝘯 𝘦𝘯𝘨𝘪𝘯𝘦 𝘪𝘴 𝘪𝘯𝘴𝘶𝘧𝘧𝘪𝘤𝘪𝘦𝘯𝘵𝘭𝘺 𝘴𝘢𝘯𝘥𝘣𝘰𝘹𝘦𝘥, 𝘢𝘭𝘭𝘰𝘸𝘪𝘯𝘨 𝘢𝘳𝘣𝘪𝘵𝘳𝘢𝘳𝘺 𝘤𝘰𝘥𝘦 𝘦𝘹𝘦𝘤𝘶𝘵𝘪𝘰𝘯" 𝗙𝗮𝗹𝘀𝗲.
Esta es exactamente la razón por la que se introdujo el sistema de auditoría. Actualmente no se acepta ningún Python SCORE, independientemente de si es la primera implementación o una actualización.
Como todos saben, la infraestructura DeFi de ICON, junto con $ICX, pronto migrará a SODAX ($SODA) en la blockchain de Sonic. Mientras se lleva a cabo esta transición, seguimos comprometidos con la seguridad de la blockchain de ICON y sus usuarios. Si surge un exploit creíble con un impacto en el mundo real en la blockchain, los contratos inteligentes o los fondos de los usuarios, tengan la seguridad de que tomaremos todas las medidas necesarias para abordarlo.