為了立即解決上述提出的任何疑慮,我們想澄清,我們收到的所有漏洞賞金提交都已徹底審查並得到適當的回應。這一直是我們的慣例,我們將繼續迅速對區塊鏈、其驗證者或合約的任何真正威脅採取行動。
經過徹底評估,已確認來自 @FuzzingLabs 的提交並未識別出對網路或其驗證者的任何實際威脅,這與他們的聲稱相反。
為了清楚起見,他們的提交涉及惡意行為者更新舊版 Python 合約以執行任意程式碼的可能性。乍看之下,我們理解為什麼這看起來像是個漏洞。但是,他們誤解了其實際含義:
- 他們正確地觀察到 Python 執行引擎仍在 ICON 區塊鏈上運行。
- 然後他們聲稱,雖然無法部署新的 Python SCORE,但仍然可以更新它們。誤解由此開始。實際上,如果對 Python 合約的更新涉及部署新的 Python 程式碼,則不允許進行更新。目前,不接受任何 Python SCORE,無論是全新部署還是更新。僅允許從 Python 過渡到 Java 的更新。
"𝘗𝘺𝘵𝘩𝘰𝘯 𝘦𝘹𝘦𝘤𝘶𝘵𝘪𝘰𝘯 𝘦𝘯𝘨𝘪𝘯𝘦 𝘳𝘦𝘮𝘢𝘪𝘯𝘴 𝘢𝘤𝘵𝘪𝘷𝘦 𝘰𝘯 𝘮𝘢𝘪𝘯𝘯𝘦𝘵 𝘥𝘶𝘦 𝘵𝘰 𝘵𝘩𝘦 𝘤𝘰𝘯𝘵𝘪𝘯𝘶𝘦𝘥 𝘦𝘹𝘪𝘴𝘵𝘦𝘯𝘤𝘦 𝘰𝘧 𝘭𝘦𝘨𝘢𝘤𝘺 𝘗𝘺𝘵𝘩𝘰𝘯 𝘤𝘰𝘯𝘵𝘳𝘢𝘤𝘵𝘴." 𝗧𝗿𝘂𝗲.
"𝘗𝘺𝘵𝘩𝘰𝘯 𝘤𝘰𝘯𝘵𝘳𝘢𝘤𝘵𝘴 𝘤𝘢𝘯𝘯𝘰𝘵 𝘣𝘦 𝘥𝘦𝘱𝘭𝘰𝘺𝘦𝘥, 𝘦𝘹𝘪𝘴𝘵𝘪𝘯𝘨 𝘤𝘰𝘯𝘵𝘳𝘢𝘤𝘵𝘴 𝘤𝘢𝘯 𝘴𝘵𝘪𝘭𝘭 𝘣𝘦 𝘶𝘱𝘥𝘢𝘵𝘦𝘥" 𝗙𝗮𝗹𝘀𝗲.
執行時系統禁止將 Python 更新到 Python。僅接受從 Python 到 Java 的更新。
"𝘗𝘺𝘵𝘩𝘰𝘯 𝘦𝘯𝘨𝘪𝘯𝘦 𝘪𝘴 𝘪𝘯𝘴𝘶𝘧𝘧𝘪𝘤𝘪𝘦𝘯𝘵𝘭𝘺 𝘴𝘢𝘯𝘥𝘣𝘰𝘹𝘦𝘥, 𝘢𝘭𝘭𝘰𝘸𝘪𝘯𝘨 𝘢𝘳𝘣𝘪𝘵𝘳𝘢𝘳𝘺 𝘤𝘰𝘥𝘦 𝘦𝘹𝘦𝘤𝘶𝘵𝘪𝘰𝘯" 𝗙𝗮𝗹𝘀𝗲.
這正是引入審計系統的原因。目前,無論是首次部署還是更新,都不接受任何 Python SCORE。
眾所周知,ICON 的 DeFi 基礎設施以及 $ICX 將很快遷移到 Sonic 區塊鏈上的 SODAX ($SODA)。在過渡期間,我們仍然致力於 ICON 區塊鏈及其使用者的安全。如果出現對區塊鏈、智能合約或使用者資金產生實際影響的可信漏洞,請放心,我們將採取一切必要措施來解決它。