फेसबुक का लिब्रा क्रिप्टोक्यूरेंसी हैक किया गया - तुला कोड के प्रारंभिक संस्करण में पता चला मेजर सिक्योरिटी फ्लैव ...

कोई टिप्पणी नहीं
फेसबुक के जल्द ही लॉन्च होने वाले क्रिप्टोकरेंसी, 'तुला' में एक सुरक्षा छेद की खोज की गई थी।

भेद्यता की खोज OpenZeppelin द्वारा की गई थी, जो कि सिक्काबेस, एथेरियम फाउंडेशन, ब्रेव, बिटगो, शैपशिफ्ट और अधिक सहित क्रिप्टोक्यूरेंसी उद्योग के कई प्रमुख खिलाड़ियों के लिए सुरक्षा ऑडिट का आयोजन किया है।

पाठ के लिए अनुमत शोषण जो हानिरहित इनलाइन टिप्पणियों के रूप में प्रकट होता है, कोड के रूप में निष्पादित किया जाता है। फर्म ने कुछ उदाहरण दिए कि कैसे एक खराब अभिनेता इस भेद्यता का उपयोग कर सकता है, जिसमें शामिल हैं:

  • एक नल जो एक शुल्क के बदले में संपत्ति (तुला सिक्के या तुला नेटवर्क पर किसी अन्य संपत्ति) का टकराव करता है, एक दुर्भावनापूर्ण मॉड्यूल को तैनात कर सकता है जो एक शुल्क लेता है लेकिन उपयोगकर्ता को ऐसी संपत्ति का खनन करने की संभावना कभी नहीं प्रदान करता है।
  • एक बटुआ जो जमा को स्थिर रखने का दावा करता है और समय की अवधि के बाद उन्हें जारी करता है, वास्तव में ऐसे फंड को कभी जारी नहीं कर सकता है।
  • एक भुगतान स्प्लिटर मॉड्यूल जो कुछ परिसंपत्तियों को विभाजित करने और कई पार्टियों को अग्रेषित करने के लिए प्रकट होता है, वास्तव में उनमें से कुछ को संबंधित भाग कभी नहीं भेज सकता है।
  • एक मॉड्यूल जो संवेदनशील डेटा लेता है और इसे अस्पष्ट करने के लिए किसी प्रकार के क्रिप्टोग्राफिक ऑपरेशन को लागू करता है (उदाहरण के लिए हैशिंग या एन्क्रिप्टिंग ऑपरेशन) वास्तव में कभी भी इस तरह के ऑपरेशन को लागू नहीं कर सकता है।

लेकिन यह शायद ही एक पूरी सूची है, जब एक सुरक्षा छेद की चर्चा करते हुए जो किसी को कोड निष्पादित करने की अनुमति देता है, तो संभावनाएं अनंत हैं - यह सब इस बात पर निर्भर करता है कि रचनात्मक, या दुर्भावनापूर्ण, उस कोड को लिखने वाला व्यक्ति कैसा है।

यहाँ क्या सामान्य है, और क्या नहीं है ...

सुरक्षा छिद्रों की खोज, जबकि एक परियोजना विकास के चरण में है, सामान्य से परे है - यह मानक है।

केवल एक चीज हमें आश्चर्यचकित करती है - जब ओपनज़ेपेलिन ने कहा कि बीच में बड़ा अंतर है तो उन्होंने फेसबुक को 6 अगस्त को सूचित किया, और फेसबुक ने आखिरकार कोड 4 वीं कोड को तय किया।

यहां तक ​​कि ऑडेरियन, इस समय के दौरान इस अनुभाग में परिवर्तन किए गए थे, लेकिन उन परिवर्तनों ने सुरक्षा छेद को एक और 3 सप्ताह के लिए खुला छोड़ दिया।

फेसबुक का कहना है कि सुरक्षा एक सर्वोच्च प्राथमिकता है ...

फेसबुक के अंदर मेरे एक संपर्क से बात करते हुए, उन्होंने कहा कि तुला "है और सबसे तीव्र सुरक्षा ऑडिटिंग / परीक्षण में से कुछ के माध्यम से जाना जारी रहेगा" जोड़ने "हम बहुत से हैकर्स को तुला में एक कदम रखने दे रहे हैं, और इसे डेवलपर्स के बीच आम सहमति के बिना लॉन्च नहीं किया जाएगा कि यह पूरी तरह से सुरक्षित है, और जनता के लिए तैयार है".

सभी निष्पक्षता में, जबकि मैं यह नहीं कह सकता कि मैं आश्वस्त हूं कि फेसबुक को क्रिप्टो स्पेस में प्रवेश करना एक अच्छी बात है - यह अच्छा है कि वे बाहरी लोगों को तुला परीक्षण के माध्यम से कठोर सुरक्षा प्रदान करने देते हैं।

डेवलपर्स के एक समूह की तुलना में कुछ भी अधिक खतरनाक नहीं है, इसलिए सुनिश्चित करें कि उनका कोड निर्दोष है, उन्हें जनता को जारी करने से पहले उस दावे का परीक्षण करने की आवश्यकता नहीं है। यह असुरक्षित सॉफ्टवेयर हजारों, या लाखों कंप्यूटरों पर सुरक्षा छेद खोलने का काम करता है।

-------
लेखक: रॉस डेविस
ईमेल: Ross@GlobalCryptoPress.com चहचहाना:@RossFM

सैन फ्रांसिस्को न्यूज़ डेस्क




कोई टिप्पणी नहीं