Facebookتم اختراق عملة Libra Cryptocurrency - عيب أمني كبير تم اكتشافه في الإصدار الأول من رمز الميزان ...

لا توجد تعليقات
تم اكتشاف ثغرة أمنية في Facebookالعملة المشفرة التي سيتم إطلاقها قريبًا ، "الميزان".

تم اكتشاف الثغرة من قبل OpenZeppelin ، وهي شركة أجرت تدقيقات أمنية للعديد من اللاعبين الرئيسيين في صناعة العملات المشفرة بما في ذلك Coinbase و Ethereum Foundation و Brave و Bitgo و Shapeshift والمزيد.

سمح الاستغلال للنص الذي يبدو أنه تعليقات غير ضارة مضمنة ، ليتم تنفيذه كرمز. قدمت الشركة بعض الأمثلة عن كيفية استخدام الفاعل السيئ لهذه الثغرة ، بما في ذلك:

  • يمكن للحنفية التي تصنع الأصول (عملات Libra أو أي أصل آخر على شبكة Libra) مقابل رسوم نشر وحدة ضارة تأخذ رسومًا ولكنها لا توفر أبدًا إمكانية سك هذه الأصول للمستخدم.
  • إن المحفظة التي تدعي الإبقاء على الودائع مجمدة والإفراج عنها بعد فترة من الوقت قد لا تطلق هذه الأموال أبدًا.
  • قد لا تقوم وحدة تقسيم الدفع التي يبدو أنها تقسم بعض الأصول وتحيلها إلى أطراف متعددة في الواقع أبدًا بإرسال الجزء المقابل إلى بعضها.
  • الوحدة النمطية التي تأخذ بيانات حساسة وتطبق نوعًا من عمليات التشفير لإخفائها (مثل عمليات التجزئة أو التشفير) قد لا تقوم في الواقع بتطبيق هذه العملية.

لكن هذه بالكاد قائمة كاملة ، عند مناقشة ثغرة أمنية تسمح لشخص ما بتنفيذ التعليمات البرمجية ، فإن الاحتمالات لا حصر لها - كل هذا يتوقف على مدى إبداع أو ضرر الشخص الذي يكتب هذا الرمز.

ما هو طبيعي هنا ، وما هو ليس ...

إن اكتشاف ثقوب الأمان أثناء وجود المشروع في مرحلة التطوير هو أمر شائع - إنه معيار.

الشيء الوحيد الذي وجدناه مفاجئًا - الفجوة الزمنية الكبيرة بين الوقت الذي قال فيه OpenZeppelin أنهم أبلغوا Facebook في السادس من أغسطس والتاريخ Facebook قد أصلح الرمز أخيرًا ، 4 سبتمبر.

والأكثر غرابة ، أنه تم إجراء تغييرات على هذا القسم من التعليمات البرمجية خلال هذا الوقت ، لكن هذه التغييرات تركت ثقب الأمان مفتوحًا لمدة 3 أسابيع أخرى.

Facebook يقول الأمن أولوية قصوى ...

التحدث إلى أحد جهات الاتصال الخاصة بي في الداخل Facebookقالوا الميزان "خاض وسيستمر في خوض بعض من أكثر عمليات التدقيق / الاختبار الأمني ​​كثافة يمكن تخيلها" مضيفا "نحن نسمح للكثير من المتسللين بطعن في الميزان ، ولن يتم إطلاقها دون توافق بين المطورين على أنها آمنة تمامًا وجاهزة للجماهير".

بكل إنصاف ، بينما لا أستطيع أن أقول إنني مقتنع Facebook يعد الدخول إلى مساحة التشفير أمرًا جيدًا - من الجيد أنهم يسمحون للغرباء بوضع أمان الميزان من خلال اختبارات صارمة.

لا شيء أكثر خطورة من مجموعة من المطورين ، لذا تأكد من أن كودهم لا تشوبه شائبة ، فهم لا يرون ضرورة اختبار هذا الادعاء قبل نشره للجمهور. هذه هي الطريقة التي ينتهي بها البرنامج غير الآمن بفتح فجوة الأمان على الآلاف ، أو الملايين من أجهزة الكمبيوتر.

-------
مؤلف: روس ديفيس
البريد الإلكتروني: Ross@GlobalCryptoPress.com تغريد:RossFM

مكتب أخبار سان فرانسيسكو




لا توجد تعليقات