FacebookКриптовалюта Libra взломана — в ранней версии кода Libra обнаружена серьезная уязвимость

Нет комментариев
В системе безопасности была обнаружена дыра Facebookкриптовалюта Libra, которую скоро запустят.

Уязвимость была обнаружена OpenZeppelin, фирмой, которая провела аудит безопасности для многих крупных игроков в индустрии криптовалюты, включая Coinbase, Ethereum Foundation, Brave, Bitgo, Shapeshift и многие другие.

Эксплойт допускал, что текст, который казался безвредным встроенным комментарием, выполнялся как код. Фирма привела несколько примеров того, как злоумышленник может использовать эту уязвимость, в том числе:

  • Кран, который чеканит активы (монеты Libra или любой другой актив в сети Libra) в обмен на плату, может развернуть вредоносный модуль, который берет плату, но фактически не предоставляет возможности добычи такого актива пользователю.
  • Кошелек, который утверждает, что хранит депозиты замороженными и выпускает их через определенный промежуток времени, может фактически никогда не освободить такие средства.
  • Модуль разделения платежей, который, по-видимому, разделяет некоторый актив и передает его нескольким сторонам, может фактически никогда не отправить соответствующую часть некоторым из них.
  • Модуль, который принимает конфиденциальные данные и применяет какую-то криптографическую операцию, чтобы скрыть их (например, операции хеширования или шифрования), может фактически никогда не применить такую ​​операцию.

Но это далеко не полный список, когда обсуждается дыра в безопасности, которая позволяет кому-то выполнять код, возможности безграничны - все зависит от того, насколько креативен или злонамерен человек, пишущий этот код.

Что здесь нормально, а что нет ...

Обнаружение дыр в безопасности в то время, когда проект находится на стадии разработки, является необычным - это стандарт.

Единственное, что нас удивило - большой промежуток времени между тем, когда OpenZeppelin сообщил, что они сообщили Facebook 6 августа и дата Facebook наконец исправил код, 4 сентября.

Еще более странно, что в это время в этот раздел кода были внесены изменения, но эти изменения оставили дыру в безопасности открытой еще на 3 недели.

Facebook говорит, что безопасность превыше всего...

Говоря с одним из моих контактов внутри Facebook, они сказали Весы «прошел и будет продолжать проходить некоторые из самых интенсивных аудитов / проверок безопасности, какие только можно себе представить» добавить «Мы позволяем многим хакерам нанести удар Весам, и он не будет запущен без единого мнения разработчиков о том, что он полностью защищен и готов для масс».

Честно говоря, пока я не могу сказать, что я убежден Facebook выход в криптопространство — это хорошо — хорошо, что они позволяют посторонним подвергать безопасность Libra тщательному тестированию.

Нет ничего более опасного, чем группа разработчиков, которые уверены, что их код безупречен, и они не видят необходимости проверять это утверждение перед его публикацией. Вот как незащищенное программное обеспечение в конечном итоге открывает дыру в безопасности на тысячах или миллионах компьютеров.

-------
Автор: Росс Дэвис
E-Mail: Росс@GlobalCryptoPress.com Twitter:@РоссФМ

Служба новостей Сан-Франциско




Нет комментариев