A vulnerabilidade foi descoberta pela OpenZeppelin, uma empresa que realizou auditorias de segurança para muitos dos principais players do setor de criptomoedas, incluindo Coinbase, Ethereum Foundation, Brave, Bitgo, Shapeshift e muito mais.
- Uma torneira que cunha ativos (Libra Coins ou qualquer outro ativo na rede Libra) em troca de uma taxa pode implantar um módulo malicioso que cobra uma taxa, mas nunca fornece a possibilidade de cunhar tal ativo ao usuário.
- Uma carteira que afirma manter os depósitos congelados e liberá-los após um período de tempo pode realmente nunca liberar esses fundos.
- Um módulo divisor de pagamento que parece dividir algum ativo e encaminhá-lo para várias partes pode, na verdade, nunca enviar a parte correspondente a algumas delas.
- Um módulo que recebe dados confidenciais e aplica algum tipo de operação criptográfica para obscurecê-los (por exemplo, operações de hash ou criptografia) pode, na verdade, nunca aplicar tal operação.
Mas esta não é uma lista completa, ao discutir uma falha de segurança que permite que alguém execute código, as possibilidades são infinitas - tudo depende de quão criativa ou maliciosa é a pessoa que escreve esse código.
O que é normal aqui, e o que não é...
A descoberta de falhas de segurança enquanto um projeto está em fase de desenvolvimento é algo além do comum - é o padrão.
A única coisa que achamos surpreendente - o grande intervalo de tempo entre quando o OpenZeppelin disse que informou Facebook em 6 de agosto, e a data Facebook tinha finalmente corrigido o código, 4 de setembro.
Ainda mais estranho, alterações foram feitas nesta seção de código durante esse período, mas essas alterações deixaram a brecha de segurança aberta por mais 3 semanas.
Facebook diz que a segurança é uma prioridade...
Falando com um dos meus contatos dentro Facebook, eles disseram Libra "passou e continuará passando por algumas das mais intensas auditorias/testes de segurança imagináveis" acrescentando "estamos deixando muitos hackers darem uma facada no Libra, e ele não será lançado sem o consenso entre os desenvolvedores de que é totalmente seguro e pronto para as massas".
Com toda a justiça, enquanto eu não posso dizer que estou convencido Facebook entrar no espaço criptográfico é uma coisa boa - é bom que eles estejam deixando pessoas de fora colocarem a segurança da Libra em testes rigorosos.
Nada é mais perigoso do que um grupo de desenvolvedores tão certos de que seu código é impecável, eles não veem a necessidade de testar essa afirmação antes de liberá-la ao público. É assim que um software inseguro acaba abrindo uma brecha de segurança em milhares ou milhões de computadores.
-------
Autor: Ross Davis
E-mail: Ross@GlobalCryptoPress.com Twitter:@RossFM
Central de notícias de São Francisco
Sem comentários
Postar um comentário