Kerentanan itu ditemui oleh OpenZeppelin, sebuah syarikat yang telah menjalankan audit keselamatan untuk banyak pemain utama dalam industri cryptocurrency termasuk Coinbase, Ethereum Foundation, Brave, Bitgo, Shapeshift dan banyak lagi.
- Keran yang mencetak aset (Libra Coins atau aset lain di rangkaian Libra) sebagai pertukaran dengan bayaran boleh menggunakan modul jahat yang memerlukan bayaran tetapi tidak pernah memberikan kemungkinan mencetak aset tersebut kepada pengguna.
- Dompet yang mendakwa menyimpan simpanan dalam keadaan beku dan melepaskannya setelah jangka masa tertentu sebenarnya tidak akan pernah melepaskan dana tersebut.
- Modul pembahagi pembayaran yang nampaknya membahagikan beberapa aset dan meneruskannya kepada banyak pihak sebenarnya tidak akan pernah menghantar bahagian yang sesuai kepada beberapa dari mereka.
- Modul yang mengambil data sensitif dan menggunakan beberapa jenis operasi kriptografi untuk mengaburkannya (contohnya operasi hash atau enkripsi) sebenarnya tidak pernah dapat menerapkan operasi tersebut.
Tetapi ini bukanlah senarai yang lengkap, ketika membincangkan lubang keselamatan yang memungkinkan seseorang melaksanakan kod, kemungkinannya tidak berkesudahan - semuanya bergantung pada seberapa kreatif, atau jahat, orang yang menulis kod tersebut.
Apa yang biasa di sini, dan yang tidak ...
Penemuan lubang keselamatan semasa projek dalam fasa pembangunan adalah perkara biasa - ia adalah standard.
Satu-satunya perkara yang kami dapati mengejutkan - jurang masa yang besar antara apabila OpenZeppelin berkata mereka memaklumkan Facebook pada 6 Ogos, dan tarikh Facebook akhirnya telah membetulkan kod itu, 4 Sept.
Lebih aneh lagi, perubahan dibuat pada bahagian kod ini selama ini, tetapi perubahan tersebut membuat lubang keselamatan terbuka selama 3 minggu lagi.
Facebook mengatakan keselamatan adalah keutamaan...
Bercakap dengan salah seorang kenalan saya di dalam Facebook, kata mereka Libra "telah dan akan terus melalui beberapa pengauditan / ujian keselamatan yang paling kuat yang dapat dibayangkan" menambah "Kami membiarkan banyak penggodam melakukan serangan di Libra, dan itu tidak akan dilancarkan tanpa kata sepakat di kalangan pembangun bahawa ia sepenuhnya selamat, dan siap untuk orang ramai".
Dalam semua keadilan, walaupun saya tidak boleh mengatakan saya yakin Facebook memasuki ruang kripto adalah perkara yang baik - adalah baik mereka membiarkan orang luar meletakkan keselamatan Libra melalui ujian yang ketat.
Tidak ada yang lebih berbahaya daripada sekumpulan pemaju sehingga yakin kod mereka sempurna, mereka tidak melihat keperluan untuk menguji tuntutan itu sebelum membebaskannya kepada umum. Begitulah akhirnya perisian yang tidak selamat membuka lubang keselamatan pada ribuan, atau berjuta-juta komputer.
-------
Pengarang Ross Davis
e-mel: Ross@GlobalCryptoPress.com Twitter:@RossFM
Meja Berita San Francisco
Tiada komen
Catat Ulasan