一位推特使用者指出,他大約在一年前發現了萊特幣的一個漏洞,而這個漏洞一直都沒有得到修復。這凸顯了加密數字貨幣自籌資金自主研發的必要性。
Edin Jusupovic @ oasace
2018年3月11日,我發現了由萊特幣研發團隊維護的Litecoin Litecore implementation(即insight-lite-api)中的漏洞。這個漏洞至今都還沒有得到修復,這意味著它仍然可能會被有心人士加以利用。這是嚴重的漏洞,大家下次再聽到相關訊息的時候可能就是在新聞報道里了。https://bit.ly/2DsWtEb ——2019年2月11日 17:44
|
@oasace指出,他在2018年3月11日發現了萊特幣研發團隊維護的Litecoin Litecore implementation (即insight-lite-api)中的堆疊跟蹤漏洞。到目前為止,漏洞依然沒有得到修復,攻擊者可以根據github描述對漏洞加以利用。據悉,向不同的API端點傳送POST請求已經錯誤地積壓在堆疊跟蹤上,此類資訊可以幫助駭客獲取更多的資訊,並專注於研發針對目標系統的進一步攻擊或利用不正確的錯誤處理來發起新的攻擊。在DuckDuckGo上快速搜尋的結果顯示,“簡單來說,堆疊跟蹤是應用程式在出現異常時可用的除錯方法列表”。與其它錯誤相比,有關堆疊跟蹤的漏洞在安全方面並不是太重要,這可能就是為什麼這個漏洞沒能引起萊特幣研發團隊的關注的原因之一。無論如何,它仍然說明了萊特幣缺乏激勵機制,以至於研發團隊在將近一年的時間裡都沒有修復這個漏洞。為漏洞的發現和修復提供激勵與任何軟體一樣,加密數字貨幣也會偶爾受到漏洞的影響,但開源軟體的好處在與任何人都可以檢視程式碼併發布任何潛在的漏洞,從而在社羣的幫助下完成漏洞的修復。出於對加密數字貨幣的信仰,許多人為開源軟體免費修復漏洞。不過,也有許多加密數字貨幣為確保程式碼的安全性提供了激勵機制。在此基礎上,為漏洞的發現和修復提供激勵將吸引背景更多樣化的更多程式設計師參與其中,從而確保漏洞能被迅速地定位和修復。bugcrowd ✔@ Bugcrowd
隨著加密數字貨幣日趨接近主流,漏洞的識別和修復勢在必行。然而,加密數字貨幣安全人員卻出現了供不應求的情況。在這種背景下,歡迎大家瞭解達世幣如何透過@Bugcrowd來應對這一痛點。https://bgcd.co/2Qxwdxx#OuthackThemAll——2019年1月3日 2:53
|
達世幣利用去中心化自主管理組織預算資金贊助了Bugcrowd,這是一個漏洞賞金計劃,它進一步增強了有關各方對其程式碼庫的信心。在Bugcrowd執行一年之後,團隊釋出了一個案例研究,並透露Bugcrowd的研究人員透過篩除66個漏洞定位了達世幣數字現金應用程式中獨有的11個漏洞,為達世幣團隊節省了大量的時間。其中一個漏洞出現在現已停用的達世幣Copay錢包中,它可能造成敏感資料的洩露。幸運的是,它在測試階段就得到了及時的定位和修復。其實,這個漏洞是比特幣錢包版本的歷史遺留問題,它還讓人想起了得到快速修復的、歷史久遠的另一個漏洞,這個起源於萊特幣程式碼庫的漏洞曾經導致達世幣挖礦活動異常快速。達世幣鼓勵適當且有效的程式碼管理達世幣致力於成為日常可用的數字貨幣,這意味著它需要消費者和商家的最大信任。達世幣可以透過編寫優秀的程式碼和反覆的檢查來贏得他們的信任。雖然確保程式碼的安全性是所有頂級加密數字貨幣的首要任務,但達世幣可以為達世幣核心團隊、其他開發人員和漏洞“賞金獵人”提供資金,從而有效地激勵他們的活動並確保異常出色的程式碼工作。基於自願的工作當然也很好,但考慮到研發人員也需要賺錢,所以他們往往需要作出權衡。此外,依賴第三方來獲取資金是有風險的,因為它有可能會終止資金供應或與加密數字貨幣團隊的利益相互衝突。達世幣將程式碼編寫和審查流程納入自身的管理體系,從而避免了上述問題並建立起了一個完備的經濟激勵迴圈。
更多數字貨幣資訊:www.qukuaiwang.com.cn/news
