为了立即解决上述提出的任何疑虑,我们想澄清的是,我们收到的所有漏洞赏金提交都经过了彻底审查,并得到了适当的回应。这始终是我们的惯例,我们将继续迅速采取行动,应对区块链、其验证者或合约的任何真正威胁。
经过彻底评估,已确认来自 @FuzzingLabs 的提交并未像他们声称的那样,识别出对网络或其验证者的任何实际威胁。
为了清楚起见,他们的提交涉及恶意行为者更新旧版 Python 合约以执行任意代码的可能性。乍一看,我们理解为什么这看起来像是一个漏洞。但是,他们误解了其实际含义:
- 他们正确地观察到 Python 执行引擎仍然在 ICON 区块链上运行。
- 然后他们声称,虽然新的 Python SCORE 无法部署,但仍然可以更新。这就是误解的开始。实际上,如果对 Python 合约的更新涉及部署新的 Python 代码,则不允许进行更新。目前,不接受任何 Python SCORE,无论是全新部署还是更新。仅允许从 Python 过渡到 Java 的更新。
"𝘗𝘺𝘵𝘩𝘰𝘯 𝘦𝘹𝘦𝘤𝘶𝘵𝘪𝘰𝘯 𝘦𝘯𝘨𝘪𝘯𝘦 𝘳𝘦𝘮𝘢𝘪𝘯𝘴 𝘢𝘤𝘵𝘪𝘷𝘦 𝘰𝘯 𝘮𝘢𝘪𝘯𝘯𝘦𝘵 𝘥𝘶𝘦 𝘵𝘰 𝘵𝘩𝘦 𝘤𝘰𝘯𝘵𝘪𝘯𝘶𝘦𝘥 𝘦𝘹𝘪𝘴𝘵𝘦𝘯𝘤𝘦 𝘰𝘧 𝘭𝘦𝘨𝘢𝘤𝘺 𝘗𝘺𝘵𝘩𝘰𝘯 𝘤𝘰𝘯𝘵𝘳𝘢𝘤𝘵𝘴." 𝗧𝗿𝘂𝗲.
"𝘗𝘺𝘵𝘩𝘰𝘯 𝘤𝘰𝘯𝘵𝘳𝘢𝘤𝘵𝘴 𝘤𝘢𝘯𝘯𝘰𝘵 𝘣𝘦 𝘥𝘦𝘱𝘭𝘰𝘺𝘦𝘥, 𝘦𝘹𝘪𝘴𝘵𝘪𝘯𝘨 𝘤𝘰𝘯𝘵𝘳𝘢𝘤𝘵𝘴 𝘤𝘢𝘯 𝘴𝘵𝘪𝘭𝘭 𝘣𝘦 𝘶𝘱𝘥𝘢𝘵𝘦𝘥" 𝗙𝗮𝗹𝘀𝗲.
运行时系统禁止 Python 到 Python 的更新。 只能接受 Python 到 Java。
"𝘗𝘺𝘵𝘩𝘰𝘯 𝘦𝘯𝘨𝘪𝘯𝘦 𝘪𝘴 𝘪𝘯𝘴𝘶𝘧𝘧𝘪𝘤𝘪𝘦𝘯𝘵𝘭𝘺 𝘴𝘢𝘯𝘥𝘣𝘰𝘹𝘦𝘥, 𝘢𝘭𝘭𝘰𝘸𝘪𝘯𝘨 𝘢𝘳𝘣𝘪𝘵𝘳𝘢𝘳𝘺 𝘤𝘰𝘥𝘦 𝘦𝘹𝘦𝘤𝘶𝘵𝘪𝘰𝘯" 𝗙𝗮𝗹𝘀𝗲.
这正是引入审计系统的原因。 目前,无论首次部署还是更新,都不接受任何 Python SCORE。
众所周知,ICON 的 DeFi 基础设施以及 $ICX 将很快迁移到 Sonic 区块链上的 SODAX ($SODA)。 在此过渡期间,我们将继续致力于 ICON 区块链及其用户的安全。 如果出现对区块链、智能合约或用户资金产生实际影响的可信漏洞,请放心,我们将采取一切必要措施来解决它。