اختراق عملة Libra على Facebook - اكتشاف خلل أمني كبير في الإصدار المبكر لرمز Libra ...

تم اكتشاف ثغرة أمنية في العملة الرقمية المشفرة التي سيتم إطلاقها على Facebook ، وهي Libra.

تم اكتشاف الثغرة من قبل OpenZeppelin ، وهي شركة أجرت تدقيقات أمنية للعديد من اللاعبين الرئيسيين في صناعة العملات المشفرة بما في ذلك Coinbase و Ethereum Foundation و Brave و Bitgo و Shapeshift والمزيد.

سمح الاستغلال للنص الذي يبدو أنه تعليقات غير ضارة مضمنة ، ليتم تنفيذه كرمز. قدمت الشركة بعض الأمثلة عن كيفية استخدام الفاعل السيئ لهذه الثغرة ، بما في ذلك:

• يمكن للحنفية التي تصنع الأصول (عملات Libra أو أي أصل آخر على شبكة Libra) مقابل رسوم نشر وحدة ضارة تأخذ رسومًا ولكنها لا توفر أبدًا إمكانية سك هذه الأصول للمستخدم.
• إن المحفظة التي تدعي الإبقاء على الودائع مجمدة والإفراج عنها بعد فترة من الوقت قد لا تطلق هذه الأموال أبدًا.
• قد لا تقوم وحدة تقسيم الدفع التي يبدو أنها تقسم بعض الأصول وتحيلها إلى أطراف متعددة في الواقع أبدًا بإرسال الجزء المقابل إلى بعضها.
• الوحدة النمطية التي تأخذ بيانات حساسة وتطبق نوعًا من عمليات التشفير لإخفائها (مثل عمليات التجزئة أو التشفير) قد لا تقوم في الواقع بتطبيق هذه العملية.

لكن هذه بالكاد قائمة كاملة ، عند مناقشة ثغرة أمنية تسمح لشخص ما بتنفيذ التعليمات البرمجية ، فإن الاحتمالات لا حصر لها - كل هذا يتوقف على مدى إبداع أو ضرر الشخص الذي يكتب هذا الرمز.

ما هو طبيعي هنا ، وما هو ليس ...

إن اكتشاف ثقوب الأمان أثناء وجود المشروع في مرحلة التطوير هو أمر شائع - إنه معيار.

الشيء الوحيد الذي وجدناه مدهشًا - الفجوة الزمنية الكبيرة بين الوقت الذي قال فيه OpenZeppelin أنهم أبلغوا Facebook في 6 أغسطس ، وتاريخ إصلاح Facebook أخيرًا ، 4 سبتمبر.

والأكثر غرابة ، أنه تم إجراء تغييرات على هذا القسم من التعليمات البرمجية خلال هذا الوقت ، لكن هذه التغييرات تركت ثقب الأمان مفتوحًا لمدة 3 أسابيع أخرى.

فيسبوك يقول الأمن هو أولوية قصوى ...

تحدثوا إلى أحد جهات الاتصال الخاصة بي داخل Facebook ، قالوا الميزان "خاض وسيستمر في خوض بعض من أكثر عمليات التدقيق / الاختبار الأمني ​​كثافة يمكن تخيلها" مضيفا "نحن نسمح للكثير من المتسللين بطعن في الميزان ، ولن يتم إطلاقها دون توافق بين المطورين على أنها آمنة تمامًا وجاهزة للجماهير".

بكل إنصاف ، بينما لا أستطيع أن أقول إنني مقتنع بأن دخول Facebook إلى مساحة التشفير أمر جيد - من الجيد أنهم يسمحون للغرباء بوضع أمان Libra من خلال اختبارات صارمة.

لا شيء أكثر خطورة من مجموعة من المطورين ، لذا تأكد من أن كودهم لا تشوبه شائبة ، فهم لا يرون ضرورة اختبار هذا الادعاء قبل نشره للجمهور. هذه هي الطريقة التي ينتهي بها البرنامج غير الآمن بفتح فجوة الأمان على الآلاف ، أو الملايين من أجهزة الكمبيوتر.

-------
مؤلف: روس ديفيس
البريد الإلكتروني: Ross@GlobalCryptoPress.com تغريد:RossFM
مكتب أخبار سان فرانسيسكو