Facebook's Libra Cryptocurrency GEHACKT - Größere Sicherheitslücke in früher Version von Libra Code entdeckt...

Dabei wurde eine Sicherheitslücke entdeckt Facebook's bald erscheinende Kryptowährung, die "Libra".

Die Sicherheitsanfälligkeit wurde von OpenZeppelin entdeckt, einem Unternehmen, das Sicherheitsüberprüfungen für viele der wichtigsten Akteure der Kryptowährungsbranche durchgeführt hat, darunter Coinbase, die Ethereum Foundation, Brave, Bitgo, Shapeshift und andere.

Der Exploit ermöglichte es, Text, der als harmlose Inline-Kommentare erschien, als Code auszuführen. Die Firma lieferte einige Beispiele dafür, wie ein schlechter Schauspieler diese Sicherheitsanfälligkeit nutzen kann, darunter:

• Ein Wasserhahn, der Vermögenswerte (Libra Coins oder andere Vermögenswerte im Libra-Netzwerk) gegen eine Gebühr prägt, kann ein bösartiges Modul bereitstellen, das eine Gebühr erhebt, dem Benutzer jedoch niemals die Möglichkeit bietet, solche Vermögenswerte zu prägen.
• Eine Brieftasche, die behauptet, Einlagen eingefroren zu halten und sie nach einer bestimmten Zeit freizugeben, kann solche Gelder möglicherweise niemals freigeben.
• Ein Zahlungssplitter-Modul, das einen Vermögenswert zu teilen und an mehrere Parteien weiterzuleiten scheint, sendet möglicherweise niemals den entsprechenden Teil an einige von ihnen.
• Ein Modul, das vertrauliche Daten aufnimmt und eine Art kryptografischen Vorgang anwendet, um sie zu verschleiern (z. B. Hashing- oder Verschlüsselungsvorgänge), kann einen solchen Vorgang möglicherweise nie anwenden.

Dies ist jedoch kaum eine vollständige Liste. Wenn es um eine Sicherheitslücke geht, durch die jemand Code ausführen kann, sind die Möglichkeiten endlos - alles hängt davon ab, wie kreativ oder böswillig die Person ist, die diesen Code schreibt.

Was ist hier normal und was nicht ...

Das Auffinden von Sicherheitslücken während eines Projekts in der Entwicklungsphase ist nicht üblich - es ist Standard.

Das einzige, was wir überraschend fanden, war die große Zeitlücke zwischen der Meldung von OpenZeppelin Facebook am 6. August, und das Datum Facebook hatte endlich den Code behoben, 4. September.

Noch seltsamer war, dass in dieser Zeit Änderungen an diesem Codeabschnitt vorgenommen wurden, aber diese Änderungen ließen die Sicherheitslücke für weitere 3 Wochen offen.

Facebook sagt, dass Sicherheit oberste Priorität hat ...

Ich spreche mit einem meiner Kontakte drinnen Facebook, sagten sie Waage "hat und wird einige der intensivsten Sicherheitsüberprüfungen / -tests durchlaufen, die man sich vorstellen kann" Hinzufügen "Wir lassen viele Hacker auf Libra los, und es wird nicht ohne Konsens unter den Entwicklern gestartet, dass es vollständig sicher und für die Massen bereit ist.".

In aller Fairness, obwohl ich nicht sagen kann, dass ich überzeugt bin Facebook Der Eintritt in den Krypto-Raum ist eine gute Sache – es ist gut, dass sie Außenstehende die Sicherheit von Libra strengen Tests unterziehen lassen.

Nichts ist gefährlicher als eine Gruppe von Entwicklern, so dass ihr Code fehlerfrei ist und sie nicht die Notwendigkeit sehen, diese Behauptung zu testen, bevor sie der Öffentlichkeit zugänglich gemacht werden. Auf diese Weise öffnet unsichere Software Sicherheitslücken auf Tausenden oder Millionen von Computern.

-------
Autor: Ross Davis
E-Mail: Ross@GlobalCryptoPress.com Twitter:@ RossFM
Nachrichtenredaktion in San Francisco