Haavoittuvuuden havaitsi OpenZeppelin, yritys, joka on suorittanut tietoturvatarkastuksia monille kryptovaluuttateollisuuden tärkeimmille toimijoille, mukaan lukien Coinbase, Ethereum Foundation, Brave, Bitgo, Shapeshift ja muut.
- Hana, joka lyö omaisuutta (Libra Coins tai mikä tahansa muu omaisuus Libra-verkossa) maksua vastaan, voi ottaa käyttöön haitallisen moduulin, joka perii maksun, mutta ei koskaan tarjoa käyttäjälle mahdollisuutta lyödä tällaista omaisuutta.
- Lompakko, joka väittää pitävänsä talletukset jäädytettynä ja vapauttavansa ne tietyn ajan kuluttua, ei välttämättä koskaan vapauta tällaisia varoja.
- Maksunjakomoduuli, joka näyttää jakavan osan omaisuudesta ja välittävän sen useille osapuolille, ei välttämättä koskaan lähetä vastaavaa osaa joillekin niistä.
- Moduuli, joka ottaa arkaluontoisia tietoja ja käyttää jonkinlaista salaustoimintoa sen peittämiseksi (esim. hajautus- tai salaustoiminnot), ei välttämättä koskaan käytä tällaista toimintoa.
Mutta tämä tuskin on täydellinen luettelo, kun keskustellaan tietoturva-aukosta, joka mahdollistaa koodin suorittamisen, mahdollisuudet ovat loputtomat - kaikki riippuu siitä, kuinka luova tai haitallinen koodin kirjoittaja on.
Mikä täällä on normaalia ja mikä ei...
Turva-aukkojen löytäminen projektin kehitysvaiheessa ei ole tavallista – se on vakio.
Ainoa asia, jota pidimme yllättävänä - suuri aikaero OpenZeppelinin ilmoittamien tietojen välillä Facebook 6. elokuuta ja päivämäärä Facebook oli vihdoin korjannut koodin 4. syyskuuta.
Vielä kummallisempaa, tähän koodiosaan tehtiin muutoksia tänä aikana, mutta muutokset jättivät tietoturva-aukon auki vielä kolmeksi viikoksi.
Facebook sanoo, että turvallisuus on etusijalla...
Puhuin yhdelle kontaktilleni sisällä Facebook, he sanoivat Vaaka "on ja käy jatkossakin läpi intensiivisimmän kuviteltavissa olevan tietoturvatarkastuksen/testauksen" lisää "Annamme monien hakkerien puukottaa Libraa, eikä sitä julkaista ilman kehittäjien yksimielisyyttä siitä, että se on täysin turvallinen ja valmis massoille".
Rehellisesti sanottuna, vaikka en voi sanoa olevani vakuuttunut Facebook krypto-avaruuteen pääsy on hyvä asia - on hyvä, että ulkopuolisten annetaan testata Vaa'an turvallisuutta tiukasti.
Mikään ei ole vaarallisempaa kuin ryhmä kehittäjiä, jotka ovat niin varmoja, että heidän koodinsa on virheetön, ja he eivät näe tarvetta testata väitettä ennen sen julkaisemista. Näin epävarmat ohjelmistot johtavat tietoturva-aukkoon tuhansissa tai miljoonissa tietokoneissa.
-------
Kirjoittaja: Ross Davis
Sähköposti: Ross@GlobalCryptoPress.com Twitter:@RossFM
San Franciscon uutistoimisto
Ei kommentteja
Lähetä kommentti