莱特币持续存在的漏洞突出了自筹资金自主研发的必要性

2020-05-21

一位推特用户指出,他大约在一年前发现了莱特币的一个漏洞,而这个漏洞一直都没有得到修复。这凸显了加密数字货币自筹资金自主研发的必要性。


Edin Jusupovic @ oasace
2018年3月11日,我发现了由莱特币研发团队维护的Litecoin Litecore implementation(即insight-lite-api)中的漏洞。这个漏洞至今都还没有得到修复,这意味着它仍然可能会被有心人士加以利用。这是严重的漏洞,大家下次再听到相关消息的时候可能就是在新闻报道里了。https://bit.ly/2DsWtEb ——2019年2月11日 17:44


@oasace指出,他在2018年3月11日发现了莱特币研发团队维护的Litecoin Litecore implementation (即insight-lite-api)中的堆栈跟踪漏洞。到目前为止,漏洞依然没有得到修复,攻击者可以根据github描述对漏洞加以利用。

据悉,向不同的API端点发送POST请求已经错误地积压在堆栈跟踪上,此类信息可以帮助黑客获取更多的信息,并专注于研发针对目标系统的进一步攻击或利用不正确的错误处理来发起新的攻击。

在DuckDuckGo上快速搜索的结果显示,“简单来说,堆栈跟踪是应用程序在出现异常时可用的调试方法列表”。与其它错误相比,有关堆栈跟踪的漏洞在安全方面并不是太重要,这可能就是为什么这个漏洞没能引起莱特币研发团队的关注的原因之一。无论如何,它仍然说明了莱特币缺乏激励机制,以至于研发团队在将近一年的时间里都没有修复这个漏洞。

为漏洞的发现和修复提供激励

与任何软件一样,加密数字货币也会偶尔受到漏洞的影响,但开源软件的好处在与任何人都可以查看代码并发布任何潜在的漏洞,从而在社区的帮助下完成漏洞的修复。出于对加密数字货币的信仰,许多人为开源软件免费修复漏洞。不过,也有许多加密数字货币为确保代码的安全性提供了激励机制。在此基础上,为漏洞的发现和修复提供激励将吸引背景更多样化的更多程序员参与其中,从而确保漏洞能被迅速地定位和修复。

bugcrowd ✔@ Bugcrowd
随着加密数字货币日趋接近主流,漏洞的识别和修复势在必行。然而,加密数字货币安全人员却出现了供不应求的情况。在这种背景下,欢迎大家了解达世币如何通过@Bugcrowd来应对这一痛点。https://bgcd.co/2Qxwdxx#OuthackThemAll——2019年1月3日 2:53


达世币利用去中心化自主管理组织预算资金赞助了Bugcrowd,这是一个漏洞赏金计划,它进一步增强了有关各方对其代码库的信心。在Bugcrowd执行一年之后,团队发布了一个案例研究,并透露Bugcrowd的研究人员通过筛除66个漏洞定位了达世币数字现金应用程序中独有的11个漏洞,为达世币团队节省了大量的时间。其中一个漏洞出现在现已停用的达世币Copay钱包中,它可能造成敏感数据的泄露。幸运的是,它在测试阶段就得到了及时的定位和修复。其实,这个漏洞是比特币钱包版本的历史遗留问题,它还让人想起了得到快速修复的、历史久远的另一个漏洞,这个起源于莱特币代码库的漏洞曾经导致达世币挖矿活动异常快速。

达世币鼓励适当且有效的代码管理

达世币致力于成为日常可用的数字货币,这意味着它需要消费者和商家的最大信任。达世币可以通过编写优秀的代码和反复的检查来赢得他们的信任。虽然确保代码的安全性是所有顶级加密数字货币的首要任务,但达世币可以为达世币核心团队、其他开发人员和漏洞“赏金猎人”提供资金,从而有效地激励他们的活动并确保异常出色的代码工作。基于自愿的工作当然也很好,但考虑到研发人员也需要赚钱,所以他们往往需要作出权衡。此外,依赖第三方来获取资金是有风险的,因为它有可能会终止资金供应或与加密数字货币团队的利益相互冲突。达世币将代码编写和审查流程纳入自身的管理体系,从而避免了上述问题并建立起了一个完备的经济激励循环。


转自:区块网

󰄯 分享

相关文章