Facebooks Libra Cryptocurrency HACKED - Großer Sicherheitsmangel in früher Version des Libra-Codes entdeckt ...

Noch keine Kommentare
In der bald erscheinenden Kryptowährung von Facebook, der "Waage", wurde eine Sicherheitslücke entdeckt.

Die Sicherheitsanfälligkeit wurde von OpenZeppelin entdeckt, einem Unternehmen, das Sicherheitsüberprüfungen für viele der wichtigsten Akteure der Kryptowährungsbranche durchgeführt hat, darunter Coinbase, die Ethereum Foundation, Brave, Bitgo, Shapeshift und andere.

Der Exploit ermöglichte es, Text, der als harmlose Inline-Kommentare erschien, als Code auszuführen. Die Firma lieferte einige Beispiele dafür, wie ein schlechter Schauspieler diese Sicherheitsanfälligkeit nutzen kann, darunter:

  • Ein Wasserhahn, der Vermögenswerte (Libra Coins oder andere Vermögenswerte im Libra-Netzwerk) gegen eine Gebühr prägt, kann ein bösartiges Modul bereitstellen, das eine Gebühr erhebt, dem Benutzer jedoch niemals die Möglichkeit bietet, solche Vermögenswerte zu prägen.
  • Eine Brieftasche, die behauptet, Einlagen eingefroren zu halten und sie nach einer bestimmten Zeit freizugeben, kann solche Gelder möglicherweise niemals freigeben.
  • Ein Zahlungssplitter-Modul, das einen Vermögenswert zu teilen und an mehrere Parteien weiterzuleiten scheint, sendet möglicherweise niemals den entsprechenden Teil an einige von ihnen.
  • Ein Modul, das vertrauliche Daten aufnimmt und eine Art kryptografischen Vorgang anwendet, um sie zu verschleiern (z. B. Hashing- oder Verschlüsselungsvorgänge), kann einen solchen Vorgang möglicherweise nie anwenden.

Dies ist jedoch kaum eine vollständige Liste. Wenn es um eine Sicherheitslücke geht, durch die jemand Code ausführen kann, sind die Möglichkeiten endlos - alles hängt davon ab, wie kreativ oder böswillig die Person ist, die diesen Code schreibt.

Was ist hier normal und was nicht ...

Das Auffinden von Sicherheitslücken während eines Projekts in der Entwicklungsphase ist nicht üblich - es ist Standard.

Das einzige, was wir überraschend fanden - die große Zeitspanne zwischen der Meldung von Facebook durch OpenZeppelin am 6. August und dem Datum, an dem Facebook den Code endgültig festgelegt hatte, dem 4. September.

Noch seltsamer war, dass in dieser Zeit Änderungen an diesem Codeabschnitt vorgenommen wurden, aber diese Änderungen ließen die Sicherheitslücke für weitere 3 Wochen offen.

Facebook sagt, Sicherheit hat oberste Priorität ...

Als sie mit einem meiner Kontakte auf Facebook sprachen, sagten sie Waage "hat und wird einige der intensivsten Sicherheitsüberprüfungen / -tests durchlaufen, die man sich vorstellen kann" Hinzufügen "Wir lassen viele Hacker auf Libra los, und es wird nicht ohne Konsens unter den Entwicklern gestartet, dass es vollständig sicher und für die Massen bereit ist.".

Um ehrlich zu sein, obwohl ich nicht sagen kann, dass ich davon überzeugt bin, dass Facebook den Krypto-Bereich betritt, ist es eine gute Sache - es ist gut, dass Außenstehende die Sicherheit von Libra strengen Tests unterziehen.

Nichts ist gefährlicher als eine Gruppe von Entwicklern, so dass ihr Code fehlerfrei ist und sie nicht die Notwendigkeit sehen, diese Behauptung zu testen, bevor sie der Öffentlichkeit zugänglich gemacht werden. Auf diese Weise öffnet unsichere Software Sicherheitslücken auf Tausenden oder Millionen von Computern.

-------
Autor: Ross Davis
E-Mail: Ross@GlobalCryptoPress.com Twitter:@ RossFM

San Francisco News Desk




Noch keine Kommentare