该漏洞由OpenZeppelin发现,该公司已对加密货币行业的许多主要参与者进行了安全审核,包括Coinbase,以太坊基金会,Brave,Bitgo,Shapeshift等。
- 铸造资产(Libra Coins或Libra网络上的任何其他资产)以换取费用的水龙头可以部署需要付费的恶意模块,但实际上不会向用户提供铸造此类资产的可能性。
- 声称冻结存款并在一段时间后释放的钱包实际上可能永远不会释放这些资金。
- 似乎可以分割某些资产并将其转发给多方的付款拆分器模块实际上可能永远不会将相应的部分发送给其中一些。
- 接收敏感数据并应用某种加密操作将其掩盖的模块(例如,哈希或加密操作)实际上可能永远不会应用这种操作。
但这并不是一个完整的清单,当讨论一个允许某人执行代码的安全漏洞时,可能性是无穷无尽的,这完全取决于编写该代码的人的创造力或恶意程度。
这是正常的,什么不是...
在项目处于开发阶段时发现安全漏洞已经很普遍了-这是标准的。
我们发现唯一令人惊讶的事情 - OpenZeppelin 说他们通知的时间间隔很大 Facebook 6 月 XNUMX 日,日期 Facebook 终于在 4 月 XNUMX 日修复了代码。
更奇怪的是,这段时间对这段代码进行了更改,但是这些更改使安全漏洞再开放了三个星期。
Facebook 说安全是重中之重...
与我在里面的一位联系人交谈 Facebook,他们说天秤座 “已经并将继续进行一些可以想象得到的最密集的安全审核/测试” 添加 “我们让很多黑客对Libra进行攻击,并且如果没有开发人员之间的共识,即它的完全安全性和面向大众的准备,就不会启动它。”.
平心而论,虽然我不能说我相信 Facebook 进入加密货币领域是一件好事——他们让外人通过严格的测试来测试 Libra 的安全性是件好事。
没有什么比一群开发人员更危险了,因此确保他们的代码是完美无缺的,他们认为在将其发布给公众之前不需要测试该声明。 这就是不安全的软件最终在数千或数百万台计算机上打开安全漏洞的方式。
-------
作者: 罗斯·戴维斯
电子邮件: 罗斯@GlobalCryptoPress.com Twitter:@罗斯FM
旧金山新闻台
没有评论
发表评论