Уязвимость была обнаружена OpenZeppelin, фирмой, которая провела аудит безопасности для многих крупных игроков в индустрии криптовалюты, включая Coinbase, Ethereum Foundation, Brave, Bitgo, Shapeshift и многие другие.
- Кран, который чеканит активы (монеты Libra или любой другой актив в сети Libra) в обмен на плату, может развернуть вредоносный модуль, который берет плату, но фактически не предоставляет возможности добычи такого актива пользователю.
- Кошелек, который утверждает, что хранит депозиты замороженными и выпускает их через определенный промежуток времени, может фактически никогда не освободить такие средства.
- Модуль разделения платежей, который, по-видимому, разделяет некоторый актив и передает его нескольким сторонам, может фактически никогда не отправить соответствующую часть некоторым из них.
- Модуль, который принимает конфиденциальные данные и применяет какую-то криптографическую операцию, чтобы скрыть их (например, операции хеширования или шифрования), может фактически никогда не применить такую операцию.
Но это далеко не полный список, когда обсуждается дыра в безопасности, которая позволяет кому-то выполнять код, возможности безграничны - все зависит от того, насколько креативен или злонамерен человек, пишущий этот код.
Что здесь нормально, а что нет ...
Обнаружение дыр в безопасности в то время, когда проект находится на стадии разработки, является необычным - это стандарт.
Единственное, что нас удивило - большой промежуток времени между тем, когда OpenZeppelin сообщил, что они сообщили Facebook 6 августа и дата Facebook наконец исправил код, 4 сентября.
Еще более странно, что в это время в этот раздел кода были внесены изменения, но эти изменения оставили дыру в безопасности открытой еще на 3 недели.
Facebook говорит, что безопасность превыше всего...
Говоря с одним из моих контактов внутри Facebook, они сказали Весы «прошел и будет продолжать проходить некоторые из самых интенсивных аудитов / проверок безопасности, какие только можно себе представить» добавить «Мы позволяем многим хакерам нанести удар Весам, и он не будет запущен без единого мнения разработчиков о том, что он полностью защищен и готов для масс».
Честно говоря, пока я не могу сказать, что я убежден Facebook выход в криптопространство — это хорошо — хорошо, что они позволяют посторонним подвергать безопасность Libra тщательному тестированию.
Нет ничего более опасного, чем группа разработчиков, которые уверены, что их код безупречен, и они не видят необходимости проверять это утверждение перед его публикацией. Вот как незащищенное программное обеспечение в конечном итоге открывает дыру в безопасности на тысячах или миллионах компьютеров.
-------
Автор: Росс Дэвис
E-Mail: Росс@GlobalCryptoPress.com Twitter:@РоссФМ
Служба новостей Сан-Франциско
Нет комментариев
Оставить комментарий