이 취약점은 Coinbase, Ethereum Foundation, Brave, Bitgo, Shapeshift 등을 포함하여 cryptocurrency 업계의 많은 주요 업체에 대한 보안 감사를 수행 한 OpenZeppelin에 의해 발견되었습니다.
- 수수료와 교환하여 자산 (Libra Coin 또는 Libra 네트워크의 다른 자산)을 발행하는 수도꼭지는 수수료를받는 악의적 인 모듈을 배치 할 수 있지만 실제로는 그러한 자산을 사용자에게 발행 할 가능성을 제공하지는 않습니다.
- 예금을 동결 상태로 유지하고 일정 기간이 지난 후에 보증금을 지불한다고 주장하는 지갑은 실제로 그러한 자금을 방출하지 않을 수 있습니다.
- 일부 자산을 분할하여 여러 당사자에게 전달하는 것처럼 보이는 지불 분배기 모듈은 실제로 해당 부분을 일부 자산으로 보내지 않을 수 있습니다.
- 민감한 데이터를 취하고 그것을 가리기 위해 어떤 종류의 암호화 작업을 적용하는 모듈 (예 : 해싱 또는 암호화 작업)은 실제로 그러한 작업을 적용하지 않을 수 있습니다.
그러나 이것은 누군가가 코드를 실행할 수있는 보안 허점에 대해 논의 할 때 완전한 목록은 아닙니다. 가능성은 무한합니다. 모두 코드를 작성하는 사람이 얼마나 창의적이고 악의적인가에 달려 있습니다.
여기가 정상인 것과 그렇지 않은 것은 ...
프로젝트가 개발 단계에있는 동안 보안 허점을 발견하는 것은 일반적이지 않습니다. 표준입니다.
우리가 놀라운 사실을 발견한 유일한 사실은 OpenZeppelin이 정보를 제공한 시점 사이에 큰 시간 간격이 있다는 것입니다. Facebook 6월 XNUMX일 날짜와 Facebook 마침내 4월 XNUMX일에 코드를 수정했습니다.
더 이상한 점은이 기간 동안이 코드 섹션이 변경되었지만이 변경 사항으로 인해 3 주 동안 보안 허점이 열렸습니다.
Facebook 보안이 최우선이라고...
내 연락처 중 한 명과 대화 중 Facebook, 그들은 천칭 자리라고 말했다 "상상할 수있는 가장 강력한 보안 감사 / 테스트 중 일부를 계속 진행하고 있습니다" 첨가 "우리는 많은 해커들이 천칭 자리를 찌르 게하고 있으며, 완전히 안전하고 대중에 대한 준비가되어있는 개발자들 사이에서 합의 없이는 시작되지 않을 것입니다.".
공평하게, 내가 확신한다고 말할 수는 없지만 Facebook 암호화 공간에 들어가는 것은 좋은 일입니다. 외부인이 엄격한 테스트를 통해 Libra의 보안을 적용하도록 하는 것이 좋습니다.
개발자 그룹보다 더 위험한 것은 없으므로 코드에 결함이 없는지 확인하고 공개하기 전에 해당 주장을 테스트 할 필요가 없습니다. 이것이 안전하지 않은 소프트웨어가 수천 또는 수백만 대의 컴퓨터에서 보안 허점을 여는 방식입니다.
-------
저자: 로스 데이비스
이메일: 로스@GlobalCryptoPress.com 트위터:Ro
샌프란시스코 뉴스 데스크
코멘트가 없습니다
코멘트를 게시