La criptomoneda Libra de Facebook hackeada: una falla de seguridad importante descubierta en la versión anterior del código Libra ...

Sin comentarios
Se descubrió un agujero de seguridad en la criptomoneda que pronto se lanzará en Facebook, el 'Libra'.

La vulnerabilidad fue descubierta por OpenZeppelin, una empresa que ha realizado auditorías de seguridad para muchos de los principales actores de la industria de la criptomoneda, incluidos Coinbase, Ethereum Foundation, Brave, Bitgo, Shapeshift y más.

El exploit permitió que el texto que parecía ser comentarios inofensivos en línea, se ejecutara como código. La firma proporcionó algunos ejemplos de cómo un mal actor podría usar esta vulnerabilidad, incluyendo:

  • Un grifo que acuña activos (Libra Coins o cualquier otro activo en la red de Libra) a cambio de una tarifa puede implementar un módulo malicioso que cobra una tarifa pero nunca brinda la posibilidad de acuñar dicho activo al usuario.
  • Una billetera que dice mantener congelados los depósitos y liberarlos después de un período de tiempo, en realidad nunca liberará dichos fondos.
  • Un módulo divisor de pagos que parece dividir algunos activos y reenviarlo a múltiples partes en realidad nunca puede enviar la parte correspondiente a algunos de ellos.
  • Un módulo que toma datos confidenciales y aplica algún tipo de operación criptográfica para ocultarlo (por ejemplo, operaciones de cifrado o hashing) puede que en realidad nunca aplique dicha operación.

Pero esta no es una lista completa, cuando se discute un agujero de seguridad que permite que alguien ejecute código, las posibilidades son infinitas: todo depende de cuán creativa o maliciosa sea la persona que escribe ese código.

Lo que es normal aquí, y lo que no es ...

El descubrimiento de agujeros de seguridad mientras un proyecto está en la fase de desarrollo es más que común: es estándar.

Lo único que encontramos sorprendente: la gran brecha de tiempo entre cuando OpenZeppelin dijo que informaron a Facebook el 6 de agosto y la fecha en que Facebook finalmente arregló el código, el 4 de septiembre.

Aún más extraño, se realizaron cambios en esta sección del código durante este tiempo, pero esos cambios dejaron el agujero de seguridad abierto durante otras 3 semanas.

Facebook dice que la seguridad es una prioridad ...

Hablando con uno de mis contactos dentro de Facebook, dijeron Libra "ha pasado y seguirá pasando por algunas de las auditorías / pruebas de seguridad más intensas que se puedan imaginar" la adición de "Dejamos que muchos piratas informáticos apuñalen a Libra, y no se lanzará sin consenso entre los desarrolladores de que es totalmente seguro y está listo para las masas"..

Para ser justos, aunque no puedo decir que estoy convencido de que Facebook ingrese al espacio criptográfico es algo bueno, es bueno que permitan que los extraños sometan la seguridad de Libra a pruebas rigurosas.

Nada es más peligroso que un grupo de desarrolladores, así que asegúrese de que su código sea perfecto y no vean la necesidad de probar esa afirmación antes de lanzarla al público. Así es como el software inseguro termina abriendo un agujero de seguridad en miles o millones de computadoras.

-------
Autor: Ross Davis
Correo Electrónico: Ross@GlobalCryptoPress.com Twitter@RossFM

Escritorio de noticias de San Francisco




Sin comentarios

Publicar un comentario