Facebook's Libra Cryptocurrency HACKAD - Stort säkerhetsbrist upptäckt i tidig version av Libra Code...

Inga kommentarer
Ett säkerhetshål upptäcktes i Facebooks snart lanserade kryptovaluta, "Vågen".

Sårbarheten upptäcktes av OpenZeppelin, ett företag som har genomfört säkerhetsrevisioner för många av de stora aktörerna i cryptocurrency-industrin inklusive Coinbase, Ethereum Foundation, Brave, Bitgo, Shapeshift och mer.

Utnyttjandet möjliggjorde för text som tycktes vara ofarliga inline-kommentarer, som kan utföras som kod. Företaget gav några exempel på hur en dålig skådespelare skulle kunna använda denna sårbarhet, inklusive:

  • En kran som minskar tillgångar (Vågen mynt eller någon annan tillgång i Vågen nätverk) i utbyte mot en avgift kan distribuera en skadlig modul som tar en avgift men faktiskt aldrig ger möjlighet att minska en sådan tillgång till användaren.
  • En plånbok som säger att hålla insättningar frusna och släppa dem efter en viss tid kan faktiskt aldrig släppa sådana medel.
  • En betalningsdelningsmodul som verkar dela en del av tillgången och vidarebefordra den till flera parter kanske faktiskt aldrig skickar motsvarande del till några av dem.
  • En modul som tar känslig data och tillämpar någon form av kryptografisk operation för att dölja den (t.ex. hash- eller krypteringsoperationer) kan faktiskt aldrig tillämpa sådan operation.

Men detta är knappast en fullständig lista, när man diskuterar ett säkerhetshål som gör det möjligt för någon att köra kod, möjligheterna är oändliga - det beror på hur kreativ eller skadlig den som skriver koden är.

Vad är normalt här, och vad är inte ...

Upptäckten av säkerhetshål medan ett projekt är i utvecklingsfasen är utöver vanligt - det är standard.

Det enda vi tyckte var överraskande - det stora tidsskillnaden mellan när OpenZeppelin sa att de informerade Facebook den 6 augusti och datumet Facebook hade äntligen fixat koden, 4 september.

Även lukt, ändringar gjordes i detta avsnitt av koden under denna tid, men dessa ändringar lämnade säkerhetshålet öppet i ytterligare tre veckor.

Facebook Säkerhet är högsta prioritet...

Pratar med en av mina kontakter där inne Facebook, sa de Vågen "har och kommer att fortsätta att gå igenom några av de mest intensiva säkerhetsrevisioner / tester som kan tänkas" tillsats "Vi låter många hackare ta en kniv vid Vågen, och det kommer inte att lanseras utan samförstånd bland utvecklarna att det är helt säkert och redo för massorna".

I ärlighetens namn, även om jag inte kan säga att jag är övertygad Facebook Att komma in i kryptoutrymmet är bra - det är bra att de låter utomstående sätta Vågens säkerhet genom rigorösa tester.

Ingenting är farligare än en grupp utvecklare så säker på att deras kod är felfri, de ser inte behovet av att testa detta påstående innan de släpper ut det för allmänheten. Det är så osäker programvara som slutar öppna säkerhetshål på tusentals eller miljontals datorer.

-------
Författare: Ross Davis
E-post: Ross@GlobalCryptoPress.com Twitter:@RossFM

San Francisco News Desk




Inga kommentarer