La vulnerabilidad fue descubierta por OpenZeppelin, una empresa que ha realizado auditorías de seguridad para muchos de los principales actores de la industria de la criptomoneda, incluidos Coinbase, Ethereum Foundation, Brave, Bitgo, Shapeshift y más.
- Un grifo que acuña activos (Libra Coins o cualquier otro activo en la red de Libra) a cambio de una tarifa puede implementar un módulo malicioso que cobra una tarifa pero nunca brinda la posibilidad de acuñar dicho activo al usuario.
- Una billetera que dice mantener congelados los depósitos y liberarlos después de un período de tiempo, en realidad nunca liberará dichos fondos.
- Un módulo divisor de pagos que parece dividir algunos activos y reenviarlo a múltiples partes en realidad nunca puede enviar la parte correspondiente a algunos de ellos.
- Un módulo que toma datos confidenciales y aplica algún tipo de operación criptográfica para ocultarlo (por ejemplo, operaciones de cifrado o hashing) puede que en realidad nunca aplique dicha operación.
Pero esta no es una lista completa, cuando se discute un agujero de seguridad que permite que alguien ejecute código, las posibilidades son infinitas: todo depende de cuán creativa o maliciosa sea la persona que escribe ese código.
Lo que es normal aquí, y lo que no es ...
El descubrimiento de agujeros de seguridad mientras un proyecto está en la fase de desarrollo es más que común: es estándar.
Lo único que encontramos sorprendente: la gran brecha de tiempo entre cuando OpenZeppelin dijo que informaron Facebook el 6 de agosto, y la fecha Facebook finalmente había arreglado el código, el 4 de septiembre.
Aún más extraño, se realizaron cambios en esta sección del código durante este tiempo, pero esos cambios dejaron el agujero de seguridad abierto durante otras 3 semanas.
Facebook dice que la seguridad es una prioridad...
Hablando con uno de mis contactos en el interior Facebook, dijeron Libra "ha pasado y seguirá pasando por algunas de las auditorías / pruebas de seguridad más intensas que se puedan imaginar" la adición de "Dejamos que muchos piratas informáticos apuñalen a Libra, y no se lanzará sin consenso entre los desarrolladores de que es totalmente seguro y está listo para las masas"..
Para ser justos, aunque no puedo decir que estoy convencido Facebook ingresar al espacio criptográfico es algo bueno: es bueno que permitan que personas externas sometan la seguridad de Libra a pruebas rigurosas.
Nada es más peligroso que un grupo de desarrolladores, así que asegúrese de que su código sea perfecto y no vean la necesidad de probar esa afirmación antes de lanzarla al público. Así es como el software inseguro termina abriendo un agujero de seguridad en miles o millones de computadoras.
-------
Escrito por: Ross Davis
Correo Electrónico: Ross@globalcryptopress.com Twitter@RossFM
Escritorio de noticias de San Francisco
Sin comentarios
Publicar un comentario