この脆弱性はOpenZeppelinによって発見されました。OpenZeppelinは、Coinbase、Ethereum Foundation、Brave、Bitgo、Shapeshiftなどの暗号通貨業界の主要プレーヤーの多くに対してセキュリティ監査を実施しています。
- 有料でアセット(Libra CoinsまたはLibraネットワーク上のその他のアセット)をミントする蛇口は、有料で悪意のあるモジュールを配備できますが、実際にはそのようなアセットをユーザーにミントする可能性はありません。
- 預金を凍結して一定期間後に解放すると主張する財布は、実際にはそのような資金を解放することはありません。
- 一部の資産を分割して複数の当事者に転送するように見える支払いスプリッターモジュールは、実際には一部の資産に対応する部分を送信しない場合があります。
- 機密データを受け取り、それを不明瞭にするためにある種の暗号操作(ハッシュ操作や暗号化操作など)を適用するモジュールは、実際にはそのような操作を適用しない場合があります。
しかし、これは完全なリストではありません。誰かがコードを実行することを可能にするセキュリティホールについて議論するとき、可能性は無限です-それはすべて、そのコードを書く人がどれほど創造的または悪意があるかに依存します。
ここで何が正常で、何が異常であるか...
プロジェクトが開発段階にある間にセキュリティホールを発見することは、一般的ではありません。それは標準です。
唯一驚いたのは、OpenZeppelin が通知したと発表してからかなりの時間差があったことです。 Facebook 6月XNUMX日、および日付 Facebook 4月XNUMX日、ついにコードを修正しました。
さらに奇妙なことに、この間にコードのこのセクションに変更が加えられましたが、これらの変更により、セキュリティホールがさらに3週間開いたままになりました。
Facebook セキュリティは最優先事項だと言います...
内部の連絡先の XNUMX 人と話す Facebook、彼らはてんびん座と言いました 「考えられる中で最も強力なセキュリティ監査/テストのいくつかを経験してきました」 追加 「多くのハッカーが天秤座を突き刺すことを許している。それは完全に安全であり、大衆の準備ができているという開発者間の合意なしには起動されないだろう」.
公平を期すために、私は確信しているとは言えませんが、 Facebook 暗号空間に参入することは良いことです - 彼らが部外者にLibraのセキュリティを厳格なテストにかけさせているのは良いことです.
開発者のグループほど危険なものはないので、コードに問題がないことを確認してください。コードを公開する前に、その主張をテストする必要はないと考えています。 安全でないソフトウェアが、何千、何百万ものコンピュータにセキュリティホールを開いてしまうのです。
-------
著者: ロス・デイビス
Eメール: Ross@GlobalCryptoPress.com Twitter:@RossFM
サンフランシスコニュースデスク
コメントはありません
コメントの投稿