تم اكتشاف الثغرة من قبل OpenZeppelin ، وهي شركة أجرت تدقيقات أمنية للعديد من اللاعبين الرئيسيين في صناعة العملات المشفرة بما في ذلك Coinbase و Ethereum Foundation و Brave و Bitgo و Shapeshift والمزيد.
- يمكن للحنفية التي تصنع الأصول (عملات Libra أو أي أصل آخر على شبكة Libra) مقابل رسوم نشر وحدة ضارة تأخذ رسومًا ولكنها لا توفر أبدًا إمكانية سك هذه الأصول للمستخدم.
- إن المحفظة التي تدعي الإبقاء على الودائع مجمدة والإفراج عنها بعد فترة من الوقت قد لا تطلق هذه الأموال أبدًا.
- قد لا تقوم وحدة تقسيم الدفع التي يبدو أنها تقسم بعض الأصول وتحيلها إلى أطراف متعددة في الواقع أبدًا بإرسال الجزء المقابل إلى بعضها.
- الوحدة النمطية التي تأخذ بيانات حساسة وتطبق نوعًا من عمليات التشفير لإخفائها (مثل عمليات التجزئة أو التشفير) قد لا تقوم في الواقع بتطبيق هذه العملية.
لكن هذه بالكاد قائمة كاملة ، عند مناقشة ثغرة أمنية تسمح لشخص ما بتنفيذ التعليمات البرمجية ، فإن الاحتمالات لا حصر لها - كل هذا يتوقف على مدى إبداع أو ضرر الشخص الذي يكتب هذا الرمز.
ما هو طبيعي هنا ، وما هو ليس ...
إن اكتشاف ثقوب الأمان أثناء وجود المشروع في مرحلة التطوير هو أمر شائع - إنه معيار.
الشيء الوحيد الذي وجدناه مدهشًا - الفجوة الزمنية الكبيرة بين الوقت الذي قال فيه OpenZeppelin أنهم أبلغوا Facebook في 6 أغسطس ، وتاريخ إصلاح Facebook أخيرًا ، 4 سبتمبر.
والأكثر غرابة ، أنه تم إجراء تغييرات على هذا القسم من التعليمات البرمجية خلال هذا الوقت ، لكن هذه التغييرات تركت ثقب الأمان مفتوحًا لمدة 3 أسابيع أخرى.
فيسبوك يقول الأمن هو أولوية قصوى ...
تحدثوا إلى أحد جهات الاتصال الخاصة بي داخل Facebook ، قالوا الميزان "خاض وسيستمر في خوض بعض من أكثر عمليات التدقيق / الاختبار الأمني كثافة يمكن تخيلها" مضيفا "نحن نسمح للكثير من المتسللين بطعن في الميزان ، ولن يتم إطلاقها دون توافق بين المطورين على أنها آمنة تمامًا وجاهزة للجماهير".
بكل إنصاف ، بينما لا أستطيع أن أقول إنني مقتنع بأن دخول Facebook إلى مساحة التشفير أمر جيد - من الجيد أنهم يسمحون للغرباء بوضع أمان Libra من خلال اختبارات صارمة.
لا شيء أكثر خطورة من مجموعة من المطورين ، لذا تأكد من أن كودهم لا تشوبه شائبة ، فهم لا يرون ضرورة اختبار هذا الادعاء قبل نشره للجمهور. هذه هي الطريقة التي ينتهي بها البرنامج غير الآمن بفتح فجوة الأمان على الآلاف ، أو الملايين من أجهزة الكمبيوتر.
-------
مؤلف: روس ديفيس
البريد الإلكتروني: Ross@GlobalCryptoPress.com تغريد:RossFM
مكتب أخبار سان فرانسيسكو
لا توجد تعليقات
أضف تعليق