Sårbarheden blev opdaget af OpenZeppelin, et firma, der har udført sikkerhedsrevisioner for mange af de store aktører i kryptovalutaindustrien, herunder Coinbase, Ethereum Foundation, Brave, Bitgo, Shapeshift og mere.
- En vandhane, der præger aktiver (Libra Coins eller ethvert andet aktiv på Libra-netværket) i bytte for et gebyr, kan implementere et ondsindet modul, der tager et gebyr, men som aldrig faktisk giver mulighed for at præge et sådant aktiv til brugeren.
- En tegnebog, der hævder at holde indskud frosset og frigive dem efter en periode, kan faktisk aldrig frigive sådanne midler.
- Et betalingsopdelermodul, der ser ud til at opdele et aktiv og videresende det til flere parter, kan faktisk aldrig sende den tilsvarende del til nogle af dem.
- Et modul, der tager følsomme data og anvender en form for kryptografisk operation for at skjule dem (f.eks. hashing eller kryptering), kan faktisk aldrig anvende en sådan operation.
Men dette er næppe en komplet liste, når man diskuterer et sikkerhedshul, der tillader nogen at eksekvere kode, er mulighederne uendelige - det hele afhænger af, hvor kreativ eller ondsindet personen, der skriver den kode, er.
Hvad er normalt her, og hvad er det ikke...
Opdagelse af sikkerhedshuller, mens et projekt er i udviklingsfasen, er ud over det almindelige – det er standard.
Det eneste, vi fandt overraskende - det store tidsrum mellem OpenZeppelin sagde, at de informerede Facebook den 6. august og datoen Facebook havde endelig rettet koden, 4. sept.
Endnu mærkeligere blev der foretaget ændringer i denne kodesektion i løbet af denne tid, men disse ændringer efterlod sikkerhedshullet åbent i yderligere 3 uger.
Facebook siger sikkerhed en topprioritet...
Taler med en af mine kontakter indeni Facebook, sagde de Libra "har og vil fortsætte med at gennemgå nogle af de mest intense sikkerhedsrevision/tests, man kan forestille sig" tilføje "vi lader en masse hackere tage et stik i Libra, og det vil ikke blive lanceret uden konsensus blandt udviklerne om, at det er fuldt sikkert og klar til masserne".
Helt ærligt, selvom jeg ikke kan sige, at jeg er overbevist Facebook Det er en god ting at komme ind i kryptorummet - det er godt, de lader udenforstående sætte Libras sikkerhed gennem strenge tests.
Intet er mere farligt end en gruppe udviklere, så sikre på, at deres kode er fejlfri, ser de ikke behovet for at teste den påstand, før de frigiver den til offentligheden. Det er sådan, at usikker software ender med at åbne et sikkerhedshul på tusindvis eller millioner af computere.
-------
Forfatter: Ross Davis
E-mail: Ross@GlobalCryptoPress.com Twitter:@RossFM
San Francisco News Desk
Ingen kommentarer
Send en kommentar