Luka została odkryta przez OpenZeppelin, firmę, która przeprowadziła audyty bezpieczeństwa dla wielu głównych graczy w branży kryptowalut, w tym Coinbase, Ethereum Foundation, Brave, Bitgo, Shapeshift i innych.
- Kran, który bije aktywa (Libra Coins lub jakiekolwiek inne aktywa w sieci Libra) w zamian za opłatę, może wdrożyć złośliwy moduł, który pobiera opłatę, ale nigdy nie zapewnia użytkownikowi możliwości wybicia takiego zasobu.
- Portfel, który twierdzi, że utrzymuje zamrożone depozyty i zwalnia je po pewnym czasie, może w rzeczywistości nigdy nie uwolnić takich środków.
- Moduł dzielenia płatności, który wydaje się dzielić pewne zasoby i przesyłać je do wielu stron, może w rzeczywistości nigdy nie wysłać odpowiedniej części do niektórych z nich.
- Moduł, który pobiera wrażliwe dane i stosuje jakąś operację kryptograficzną w celu ich zaciemnienia (np. operacje haszowania lub szyfrowania), może w rzeczywistości nigdy nie zastosować takiej operacji.
Ale to nie jest pełna lista, gdy mówimy o luce bezpieczeństwa, która pozwala komuś na wykonanie kodu, możliwości są nieograniczone – wszystko zależy od tego, jak kreatywna lub złośliwa jest osoba pisząca ten kod.
Co tu jest normalne, a co nie...
Wykrywanie luk w zabezpieczeniach, gdy projekt jest w fazie rozwoju, jest czymś niezwykłym - to standard.
Jedyne, co nas zaskoczyło, to duża przerwa czasowa między tym, kiedy OpenZeppelin powiedział, że poinformował Facebook 6 sierpnia i data Facebook w końcu naprawiłem kod, 4 września.
Co jeszcze dziwniejsze, w tym czasie dokonano zmian w tej sekcji kodu, ale te zmiany pozostawiły lukę w zabezpieczeniach otwartą przez kolejne 3 tygodnie.
Facebook mówi, że bezpieczeństwo jest najwyższym priorytetem...
Rozmawiam z jednym z moich kontaktów w środku Facebook, powiedzieli Waga „przeszedł i będzie przechodził przez jedne z najbardziej intensywnych audytów/testów bezpieczeństwa, jakie można sobie wyobrazić” dodanie „pozwalamy wielu hakerom dźgnąć Librę i nie zostanie ona uruchomiona bez konsensusu wśród programistów, że jest w pełni bezpieczna i gotowa dla mas”.
Z całą uczciwością, chociaż nie mogę powiedzieć, że jestem przekonany Facebook wejście do przestrzeni kryptograficznej jest dobrą rzeczą - dobrze, że pozwalają osobom z zewnątrz poddać bezpieczeństwo Libry rygorystycznym testom.
Nie ma nic bardziej niebezpiecznego niż grupa programistów, więc pewni, że ich kod jest bezbłędny, nie widzą potrzeby testowania tego twierdzenia przed udostępnieniem go publicznie. W ten sposób niezabezpieczone oprogramowanie otwiera lukę w zabezpieczeniach tysięcy, a nawet milionów komputerów.
-------
Autor: Rossa Davisa
E-mail: Ross@GlobalCryptoPress.com Twitter:@Rossfm
Biuro prasowe w San Francisco
Brak komentarzy
Prześlij komentarz