Sårbarheten ble oppdaget av OpenZeppelin, et firma som har utført sikkerhetsrevisjoner for mange av de store aktørene i kryptovalutaindustrien, inkludert Coinbase, Ethereum Foundation, Brave, Bitgo, Shapeshift og mer.
- En kran som preger eiendeler (Libra Coins eller andre eiendeler på Libra-nettverket) i bytte mot et gebyr, kan distribuere en ondsinnet modul som tar et gebyr, men som faktisk aldri gir muligheten til å prege slike eiendeler til brukeren.
- En lommebok som hevder å holde innskudd frosset og frigjøre dem etter en viss tid, kan faktisk aldri frigi slike midler.
- En betalingssplittermodul som ser ut til å dele en eiendel og videresende den til flere parter, kan faktisk aldri sende den tilsvarende delen til noen av dem.
- En modul som tar sensitive data og bruker en slags kryptografisk operasjon for å skjule dem (f.eks. hashing eller kryptering) kan faktisk aldri bruke en slik operasjon.
Men dette er neppe en fullstendig liste, når man diskuterer et sikkerhetshull som gjør at noen kan kjøre kode, er mulighetene uendelige - alt avhenger av hvor kreativ, eller ondsinnet, personen som skriver den koden er.
Hva er normalt her, og hva er ikke...
Oppdagelse av sikkerhetshull mens et prosjekt er i utviklingsfasen er mer enn vanlig – det er standard.
Det eneste vi fant overraskende - det store tidsrommet mellom da OpenZeppelin sa at de informerte Facebook den 6. august, og datoen Facebook hadde endelig fikset koden, 4. september.
Enda merkeligere, endringer ble gjort i denne delen av koden i løpet av denne tiden, men disse endringene lot sikkerhetshullet være åpent i ytterligere 3 uker.
Facebook sier sikkerhet er en topp prioritet...
Snakker med en av kontaktene mine inne Facebook, sa de Libra "har og vil fortsette å gå gjennom noen av de mest intense sikkerhetsrevisjonene/testingene man kan tenke seg" legge "vi lar mange hackere ta et stikk på Libra, og det vil ikke bli lansert uten konsensus blant utviklerne om at det er helt sikkert og klart for massene".
I all rettferdighet, selv om jeg ikke kan si at jeg er overbevist Facebook Å gå inn i kryptoområdet er en god ting - det er bra at de lar utenforstående sette Libras sikkerhet gjennom strenge tester.
Ingenting er farligere enn en gruppe utviklere, så sikker på at koden deres er feilfri, ser de ikke behovet for å teste den påstanden før de slipper den til offentligheten. Det er slik usikker programvare ender opp med å åpne sikkerhetshull på tusenvis eller millioner av datamaskiner.
-------
Forfatter: Ross Davis
E-post: Ross@GlobalCryptoPress.com Twitter:@RossFM
San Francisco News Desk
Ingen kommentarer
Legg inn en kommentar