Что говорят о критических исправлениях ошибок в Mastodon о уязвимостях безопасности криптовалюты

Что говорят о исправлениях ошибок Mastodon в криптовалюте

На прошлой неделе были исправлены несколько критических ошибок на платформе Mastodon, аналогичной Twitter, после того, как исследователи, финансируемые Фондом Mozilla, указали на уязвимости. Эта ситуация показывает одну из фундаментальных компромиссов в разработке программного обеспечения с открытым исходным кодом: публично доступный код может быть рассмотрен и использован любым человеком.

Иногда это означает, что ошибки обнаруживаются так называемыми хакерами-белыми шапками, а иногда они остаются открытыми для использования. В случае с Mastodon Mozilla заплатила немецкой фирме Cure53 за проведение тестирования на проникновение в социальную сеть после объявления о планах использования Mastodon для корпоративных коммуникаций.

Это отрывок из информационного бюллетеня The Node, ежедневного обзора самых важных новостей о криптовалюте на CoinDesk и за его пределами. Вы можете подписаться, чтобы получить полный бюллетень здесь.

Особенно в эпоху пост-Elon-Musk-поглощения Twitter Mastodon стал одним из самых популярных децентрализованных приложений, используемых обычными людьми. Mastodon называет себя “федерацией”, потому что он состоит из нескольких тысяч отдельных “инстансов”, которые предоставляют людям контент (в отличие от компаний, таких как Twitter или Facebook, которые поддерживают собственные серверы). Любой может запустить свой собственный инстанс или попросить присоединиться к другому, который может установить собственные стандарты модерации.

Не было раскрыто много информации о пяти исправленных ошибках, хотя независимый исследователь по безопасности Кевин Бомонт, написавший на Mastodon, сказал, что один потенциальный эксплойт под названием #TootRoot мог бы дать хакерам root-доступ к инстансам Mastodon – что могло вызвать различные проблемы, включая компрометацию аккаунтов и другие схемы фишинга.

См. также: Хакеры возвращают похищенные деньги: TRM Labs

Mastodon gGmbH, организация, поддерживающая открытое программное обеспечение Mastodon, оценила одну другую ошибку как критическую, а три другие как высокие и VoAGI по степени серьезности. Крупные серверы также получили предварительные объявления о наличии уязвимостей в последние недели, чтобы они могли быть готовы быстро установить исправление после его выхода, согласно Ars Technica.

Насколько я могу сказать, ни один из 14,5 миллиона пользователей Mastodon не пострадал от неправильного кода, который, по-видимому, не был использован. Но эта ситуация вызывает некоторые неприятные вопросы, включая то, как долго критические проблемы могли бы оставаться неиспользованными, если бы Mozilla не проявила интерес к оплате проверки безопасности Mastodon. И мог бы кто-то с плохими намерениями оказаться первым.

Это актуальные проблемы в мире свободного и открытого программного обеспечения, включая (и, возможно, особенно) криптовалюту. Отложив в сторону проблемы, связанные с обеспечением того, чтобы все загружали патч или запускали последнюю версию программного обеспечения (если вы являетесь пользователем Mastodon, проверьте, что используемый вами инстанс имеет версию 4.1.3 или более позднюю, или добивайтесь обновления сервера) – безопасность сетей основана исключительно на рыночных силах.

Финансовые стимулы воздействуют как на хакеров, которые иногда могут получить вознаграждение за правильное раскрытие проблемы, так и на тех, кто может продать злонамеренную информацию на темном рынке. И не всегда есть Mozilla, готовая заплатить за глубокие проверки, чтобы убедиться, что эти системы безопасны.

Проблема только усугубляется в криптовалюте, которая превращает приложения в “многомиллионные вознаграждения за нахождение ошибок” или в мешки для хакеров, стремящихся быстро заработать деньги. Только в прошлом году из децентрализованных финансовых (DeFi) протоколов было похищено около 3,1 миллиарда долларов. И даже когда фондации протоколов или пользователи объединяются, чтобы оплачивать кодовые обзоры, не всегда ясно, можно ли доверять печати аудитора (часто из-за неумения, а не жадности).

См. также: Называть взлом эксплойтом минимизирует ошибку человека | Мнение

Дияхир Кампос, пользователь криптовалюты и разработчик, утверждающий, что пострадал после многомиллионной атаки на Euler Finance, недавно предложил “защитный выключатель” для DeFi, который бы приостанавливал протоколы при необычных снятиях средств. Это было бы нечто “добровольное”, что, безусловно, не обеспечило бы полную безопасность пользователя, но могло бы уменьшить потери денег при взломах.

Такие решения похвальны, даже если нет простых способов решить проблемы криптовалюты (и определенно нет “универсального” варианта). И, конечно же, есть базовый риск при использовании любой компьютерной программы, независимо от того, является ли она открытым исходным кодом. Не забывайте, что даже самые компетентные организации, такие как Министерство обороны США или Microsoft, не защищены от катастрофических ошибок.

Сообщество FOSS поддерживает настоящую культуру солидарности и совместной ответственности, где уважение, получаемое за нахождение и раскрытие проблем, часто стоит больше, чем деньги, которые они могли бы заработать. Пусть это будет холодным утешением для криптовалюты, независимо от того, примет ли Mozilla их или нет.

We will continue to update BiLee; if you have any questions or suggestions, please contact us!

Share:

Was this article helpful?

93 out of 132 found this helpful

Related articles

    Discover more

    мнение

    Пока Конгресс спорит, остальной мир признает стейблкоины

    Сингапур, Швейцария и несколько других юрисдикций заложили основу для юридического закрепления стейблкоинов. А США? Н...

    мнение

    Крипто-кредиторы вызвали крипто-заражение в прошлом году. Как отрасль восстанавливается?

    Эра «Дикого Запада» криптокредитования закончилась серией банкротств. Теперь индустрия пытается восстановиться устойч...

    мнение

    Почему профессионалы жаждут Биткоин ETF?

    Основы инвестирования дают ответ, и влияние от BTC ETF, таких как BlackRock и Fidelity, может быть огромным.

    мнение

    Почему Binance, Coinbase, Ripple и другие криптовалютные компании ссылаются на 'доктрину основных вопросов' во время юридических разбирательств

    Контроверзная правовая доктрина, направленная на сдерживание чрезмерного вмешательства регуляторов, стала главным дов...

    мнение

    Регулятивная ясность не приведет к исчезновению рисков криптовалюты

    Даже полная криптовалютная законодательная база не остановит людей от принятия плохих инвестиционных решений, заявляе...

    мнение

    Джексон Хоул Когда политика ФРС принимается на ходу

    Стабильность Биткоина вдохновляет больше доверия?