Quantus Weekly: Отрицаемые RPC и аудит безопасности Neodyme

Ваш кошелек доносит на вас.

99% инфраструктуры конфиденциальности — это имитация. Ваша информация утекает где-то в стеке. Ваш кошелек общается с сервером, называемым RPC. Этот RPC-сервер отправляет информацию обратно в ваш кошелек. Но для этого RPC обычно нужно знать некоторую информацию о вас.

Например, чтобы получить ваш баланс, ему может понадобиться история ваших транзакций. Вероятно, он связывает это с вашим IP-адресом, примерным местоположением, привычками использования и т. д. И все это только для того, чтобы вы могли видеть свой баланс в кошельке.

Пока Стейси, новый сотрудник по маркетингу вашего любимого инструмента конфиденциальности ончейн, хвастается в X Space тем, насколько они «приватны и безопасны», люди в костюмах просто подслушивают RPC-соединение.

Вас взломали.

Мы построили нечто иное. Отрицаемые RPC (Deniable RPCs) используют фильтр префиксов хешей, похожий на «незаметный поиск» (oblivious lookup). Вы можете запрашивать у сервера свои транзакции так, чтобы он не знал, что именно вы ищете. RPC не может определить, какие конкретно транзакции вы запрашиваете.

Таким образом, @QuantusNetwork сохраняет конфиденциальность ончейн и в инфраструктуре кошелька/RPC. Мы храним в секрете то, что вы хотите сохранить в секрете, на каждом уровне стека.

На этой неделе мы также объявили о завершении аудита безопасности @Neodyme для нашей библиотеки подписей Dilithium Rusty Crystals. Все проблемы решены, применены методы усиления защиты. Rusty Crystals — лучшая библиотека подписей Dilithium на Rust с полной поддержкой HD-кошельков.

Это были основные моменты. Вот что еще мы выпустили за последнюю неделю:

Активность на GitHub (19 объединенных pull-реквестов):

Core Tech & ZK

• Завершен аудит @Neodyme, все проблемы решены. Применены методы усиления защиты, включая обнуление памяти после использования. Пост здесь.
• Выпущены отрицаемые RPC через префиксное хеширование. Теперь у пользователей есть правдоподобное отрицание при подключении к RPC-узлам (oblivious lookup).
• Включены приватные ZK-адреса для всех токенов при генезисе.
• Непрерывное построение блоков сокращает среднее время до включения транзакции более чем на 50%.
• Удалены ненужные паллеты, что упростило рантайм.
• Паллет мультисиг функционально завершен, обновлена документация. Интеграция с сетью и CLI ожидает проверки.
• Обновлен фаззер для схем ZK-aggregator и расширено тестовое покрытие для комиссий майнеров и сжигаемых комиссий.

Обновления веб- и мобильного приложения

• Выпущено мобильное приложение v1.1.5 (сборка 65) с функцией высокозащищенного вывода.
• Созданы демо-видео для функций высокой безопасности.
• Улучшения эксплорера и крана: добавлены события ошибок и высокой безопасности в детали блока, поиск по типу ошибки и улучшенная фильтрация групповых сообщений.
• Исправлены ошибки Task Master в таблице лидеров, отправке рейдов и метриках.
• Исправлен Dockerfile Subsquid и GitHub Action для генерации Docker-образа.
• Обновлен UX блога на сайте и исправлены проблемы с SEO.

Контент и партнерства

• Преодолена отметка в 1 000 участников в Telegram.
• Забронировано место для побочного мероприятия на Token2049 в Дубае.
• Команда решила вернуться к @ns для следующего спринта.
• Нанят новый дизайнер для редизайна мобильного приложения.
• Нанят первый среднеразмерный создатель контента для видеоколлабораций. Формируем список создателей.

Обновления индустрии

• Статья @QuantumCanary_ с анализом Zcash.
• @QuantumCanary_ опубликовали свою «Таблицу сравнения блокчейнов».