Facebookतुला की क्रिप्टोक्यूरेंसी हैक की गई - तुला कोड के प्रारंभिक संस्करण में प्रमुख सुरक्षा दोष का पता चला ...

कोई टिप्पणी नहीं
में एक सुरक्षा छेद की खोज की गई थी Facebookजल्द ही लॉन्च होने वाली क्रिप्टोकरेंसी, 'लिब्रा'।

भेद्यता की खोज OpenZeppelin द्वारा की गई थी, जो कि सिक्काबेस, एथेरियम फाउंडेशन, ब्रेव, बिटगो, शैपशिफ्ट और अधिक सहित क्रिप्टोक्यूरेंसी उद्योग के कई प्रमुख खिलाड़ियों के लिए सुरक्षा ऑडिट का आयोजन किया है।

पाठ के लिए अनुमत शोषण जो हानिरहित इनलाइन टिप्पणियों के रूप में प्रकट होता है, कोड के रूप में निष्पादित किया जाता है। फर्म ने कुछ उदाहरण दिए कि कैसे एक खराब अभिनेता इस भेद्यता का उपयोग कर सकता है, जिसमें शामिल हैं:

  • एक नल जो एक शुल्क के बदले में संपत्ति (तुला सिक्के या तुला नेटवर्क पर किसी अन्य संपत्ति) का टकराव करता है, एक दुर्भावनापूर्ण मॉड्यूल को तैनात कर सकता है जो एक शुल्क लेता है लेकिन उपयोगकर्ता को ऐसी संपत्ति का खनन करने की संभावना कभी नहीं प्रदान करता है।
  • एक बटुआ जो जमा को स्थिर रखने का दावा करता है और समय की अवधि के बाद उन्हें जारी करता है, वास्तव में ऐसे फंड को कभी जारी नहीं कर सकता है।
  • एक भुगतान स्प्लिटर मॉड्यूल जो कुछ परिसंपत्तियों को विभाजित करने और कई पार्टियों को अग्रेषित करने के लिए प्रकट होता है, वास्तव में उनमें से कुछ को संबंधित भाग कभी नहीं भेज सकता है।
  • एक मॉड्यूल जो संवेदनशील डेटा लेता है और इसे अस्पष्ट करने के लिए किसी प्रकार के क्रिप्टोग्राफिक ऑपरेशन को लागू करता है (उदाहरण के लिए हैशिंग या एन्क्रिप्टिंग ऑपरेशन) वास्तव में कभी भी इस तरह के ऑपरेशन को लागू नहीं कर सकता है।

लेकिन यह शायद ही एक पूरी सूची है, जब एक सुरक्षा छेद की चर्चा करते हुए जो किसी को कोड निष्पादित करने की अनुमति देता है, तो संभावनाएं अनंत हैं - यह सब इस बात पर निर्भर करता है कि रचनात्मक, या दुर्भावनापूर्ण, उस कोड को लिखने वाला व्यक्ति कैसा है।

यहाँ क्या सामान्य है, और क्या नहीं है ...

सुरक्षा छिद्रों की खोज, जबकि एक परियोजना विकास के चरण में है, सामान्य से परे है - यह मानक है।

केवल एक चीज जो हमें आश्चर्यजनक लगी - जब ओपनजेपेलिन ने कहा कि उन्होंने सूचित किया है, तो उनके बीच समय का बड़ा अंतर है Facebook 6 अगस्त और तारीख Facebook आखिरकार 4 सितंबर को कोड तय कर दिया था।

यहां तक ​​कि ऑडेरियन, इस समय के दौरान इस अनुभाग में परिवर्तन किए गए थे, लेकिन उन परिवर्तनों ने सुरक्षा छेद को एक और 3 सप्ताह के लिए खुला छोड़ दिया।

Facebook सुरक्षा को सर्वोच्च प्राथमिकता कहते हैं...

अंदर मेरे एक संपर्क से बात कर रहे हैं Facebook, उन्होंने कहा तुला "है और सबसे तीव्र सुरक्षा ऑडिटिंग / परीक्षण में से कुछ के माध्यम से जाना जारी रहेगा" जोड़ने "हम बहुत से हैकर्स को तुला में एक कदम रखने दे रहे हैं, और इसे डेवलपर्स के बीच आम सहमति के बिना लॉन्च नहीं किया जाएगा कि यह पूरी तरह से सुरक्षित है, और जनता के लिए तैयार है".

सभी निष्पक्षता में, जबकि मैं यह नहीं कह सकता कि मैं आश्वस्त हूँ Facebook क्रिप्टो स्पेस में प्रवेश करना एक अच्छी बात है - यह अच्छा है कि वे बाहरी लोगों को कठोर परीक्षण के माध्यम से तुला की सुरक्षा प्रदान करने दे रहे हैं।

डेवलपर्स के एक समूह की तुलना में कुछ भी अधिक खतरनाक नहीं है, इसलिए सुनिश्चित करें कि उनका कोड निर्दोष है, उन्हें जनता को जारी करने से पहले उस दावे का परीक्षण करने की आवश्यकता नहीं है। यह असुरक्षित सॉफ्टवेयर हजारों, या लाखों कंप्यूटरों पर सुरक्षा छेद खोलने का काम करता है।

-------
लेखक: रॉस डेविस
ईमेल: रॉस@GlobalCryptoPress.com Twitter:@RossFM

सैन फ्रांसिस्को न्यूज़ डेस्क




कोई टिप्पणी नहीं