تم اكتشاف الثغرة من قبل OpenZeppelin ، وهي شركة أجرت تدقيقات أمنية للعديد من اللاعبين الرئيسيين في صناعة العملات المشفرة بما في ذلك Coinbase و Ethereum Foundation و Brave و Bitgo و Shapeshift والمزيد.
- يمكن للحنفية التي تصنع الأصول (عملات Libra أو أي أصل آخر على شبكة Libra) مقابل رسوم نشر وحدة ضارة تأخذ رسومًا ولكنها لا توفر أبدًا إمكانية سك هذه الأصول للمستخدم.
- إن المحفظة التي تدعي الإبقاء على الودائع مجمدة والإفراج عنها بعد فترة من الوقت قد لا تطلق هذه الأموال أبدًا.
- قد لا تقوم وحدة تقسيم الدفع التي يبدو أنها تقسم بعض الأصول وتحيلها إلى أطراف متعددة في الواقع أبدًا بإرسال الجزء المقابل إلى بعضها.
- الوحدة النمطية التي تأخذ بيانات حساسة وتطبق نوعًا من عمليات التشفير لإخفائها (مثل عمليات التجزئة أو التشفير) قد لا تقوم في الواقع بتطبيق هذه العملية.
لكن هذه بالكاد قائمة كاملة ، عند مناقشة ثغرة أمنية تسمح لشخص ما بتنفيذ التعليمات البرمجية ، فإن الاحتمالات لا حصر لها - كل هذا يتوقف على مدى إبداع أو ضرر الشخص الذي يكتب هذا الرمز.
ما هو طبيعي هنا ، وما هو ليس ...
إن اكتشاف ثقوب الأمان أثناء وجود المشروع في مرحلة التطوير هو أمر شائع - إنه معيار.
الشيء الوحيد الذي وجدناه مفاجئًا - الفجوة الزمنية الكبيرة بين الوقت الذي قال فيه OpenZeppelin أنهم أبلغوا Facebook في السادس من أغسطس والتاريخ Facebook قد أصلح الرمز أخيرًا ، 4 سبتمبر.
والأكثر غرابة ، أنه تم إجراء تغييرات على هذا القسم من التعليمات البرمجية خلال هذا الوقت ، لكن هذه التغييرات تركت ثقب الأمان مفتوحًا لمدة 3 أسابيع أخرى.
Facebook يقول الأمن أولوية قصوى ...
التحدث إلى أحد جهات الاتصال الخاصة بي في الداخل Facebookقالوا الميزان "خاض وسيستمر في خوض بعض من أكثر عمليات التدقيق / الاختبار الأمني كثافة يمكن تخيلها" مضيفا "نحن نسمح للكثير من المتسللين بطعن في الميزان ، ولن يتم إطلاقها دون توافق بين المطورين على أنها آمنة تمامًا وجاهزة للجماهير".
بكل إنصاف ، بينما لا أستطيع أن أقول إنني مقتنع Facebook يعد الدخول إلى مساحة التشفير أمرًا جيدًا - من الجيد أنهم يسمحون للغرباء بوضع أمان الميزان من خلال اختبارات صارمة.
لا شيء أكثر خطورة من مجموعة من المطورين ، لذا تأكد من أن كودهم لا تشوبه شائبة ، فهم لا يرون ضرورة اختبار هذا الادعاء قبل نشره للجمهور. هذه هي الطريقة التي ينتهي بها البرنامج غير الآمن بفتح فجوة الأمان على الآلاف ، أو الملايين من أجهزة الكمبيوتر.
-------
كاتب: روس ديفيس
interfaithlab@tc.columbia.edu Ross@GlobalCryptoPress.com تغريد:RossFM
مكتب أخبار سان فرانسيسكو
لا توجد تعليقات
أضف تعليق