从头再来 发表于 2022-6-11 05:33:20

Monero报告解决假冒XMR修复后一个月的错误

技术分析

加密货币目前处于最前沿,它几乎定义了它,但有些人发现它比预期的更加严格。可怕的揭示了通过最近几个月影响Monero(XMR)的HackerOne互联网安全平台的九个安全漏洞- 从无足轻重的解决到恶意和现场 - 对于区块链爱好者来说是一个很大的警钟 。其中五个漏洞构成了可怕的DDoS风险(其中一个被标记为批评)l,但其中八个漏洞现已修复,包括发现的最严重漏洞。

人造XMR的重要性

6月3日,HackerOne的区块链开发人员宣布在Monero中发现了一个严重漏洞,它使黑客能够 “创建”假XMR并将其发送到交换机。报告指出:

“通过挖掘依旧通过守护程序验证的特制块,攻击者可以创建一个矿工交易,在钱包中显示,包括攻击者选择的XMR总和。我们相信,这可以被利用从交易所偷钱。“

虽然假的XMR漏洞是Monero问题列表中的一个 - 而最大的输家是交易所而不是交易者或投资者 - 它表明即使是最私密且以安全为中心的硬币也可能受到损害。这对整个生态系统来说是一个非常明显的威胁。如果加密货币未能兑现其最基本的安全性和透明度承诺,那么它就绝对毫无价值。由于(目前)加密货币的功能与法定货币相比有限 ,如果硬币承认其主要优势,那么重点是什么?交易所法典委员会首席执行官Serge Vasylchuk说:

“大多数漏洞都是在几个月前公布的,但现在才被修复。虽然Monero的开发人员做得很好,但他们不能保证不会通过欺骗交换来铸造新的硬币。如果发生这样的攻击,可能需要很长时间才能让交易所注意到它,除非他们的安全机制足够先进以扫描其冷钱包存储并将其与账户存款进行快速比较。

特别是对于Monero--一种自称的隐私和安全硬币 - 这些失败似乎是不可原谅的。他们对加密货币通常是绝对可靠的这一观点提出了重大疑问,并对交易所承担更大责任以完成定期审计,并在他们列出的令牌中更具选择性 。这个概念在此之前并未得到明智的考虑,但鉴于Monero的最新问题,我们可能会看到整个行业都在努力清理商店。Monero同时发布的大量问题,即使大多数问题已经得到修复,也表明了项目在出现之后不久就会出现的绝望努力。

Monero的虫子在加密时拉下窗帘

Monero暴露的另一个问题是加密对多米诺骨牌效应非常敏感,因为最新的解决方案通常是第一次迭代区块链软件的堆栈。在HackerOne上报告的另一个关键问题是使用CryptoLive应用程序层影响所有令牌的问题,而不仅仅是Monero。导致DDoS易感性的CryptoLive错误会影响所有项目, 这些硬币出现的加密货币交易所以及投资者。这说明了加密不是密不透风的观点,而且其紧密结合的生态系统可能已经成熟,可能会传染。

然而,这些最近发生的事件有一线希望:没有关于这些错误出现在其他地方的报道 - 而且Monero将其引入社区的注意力这一事实意味着很多意思 - 并且是一个渐进的角度,可以解决潜在的多米诺骨牌问题影响。通过在历史上公开(而不是混淆水域)关于他们软件中的问题,Monero有效地警告了该领域的其他人关于潜在的困境,并表明它致力于其用户。去年,该公司披露了一个Monero钱包漏洞并立即解决了加密风险和新颖性的公开声明,这也让人感到不安。

关于这一点,硬件钱包Ledger首席安全官Charles Guillemet在一次谈话中告诉Cointelegraph,透明度增加了人们对这些区块链的信任。另一方面,将用户置于风险之中的披露将是不负责任的。

没有一家公司只对资本感兴趣,或者成为“先行者”而不是区块链领导者,他们会发布他们的问题“再次有效地提醒人们,加密货币和相应的软件仍处于起步阶段,因而非常容易发生(关键)错误,“像Monero在最近的博客文章中所做的那样。

整个XMR情况引起的另一个问题是错误还款问题。bug赏金是否是解决区块链空间安全问题的充分方法,或者Monero对其自身问题的处理是否表明需要更好或更迅速的解决方案?Guillemet还对Cointelegraph发表了评论:

“赏金计划是激励安全研究人员负责任行事的绝佳方式。当公司/组织使用赏金外包其安全工作时,这就成了问题。赏金不得取代公认实验室的红队,安全开发和第三方审核。一个常见的错误在于认为开源和赏金计划可以保证安全。这显然是错误的,我们已经看到了许多例子。“

Monero只是最新的

加密行业中发生的其他主要问题有助于将Monero的麻烦置于背景中,当缩小时,很快就会意识到该技术可能还没有为现在的主流做好准备。如果像今天流行的许多广受欢迎的应用程序或平台--Facebook Messenger,WeChat,Airbnb--都会被Monero所摧毁,那将是与Cambridge Analytica或更远的同一联盟的国际危机。坦率地说,一些加密黑客的大小应该让我们感激,数字代币在这个时间点并不是世界运作方式的重要组成部分。

今年早些时候,主要区块链平台和项目的漏洞每月计数攀升至43个,Coinbase,Brave,Tendermint,Ledger等发现问题 。目前,白帽黑客和内部开发人员大部分都投入到了修复错误的汗水资产中,每个月都会有成千上万的项目给予他们最大的故障。

监管机构无疑正在努力应对他们负责组织的项目的压倒性和不稳定的金字塔,但在具有类似瑞士奶酪的代码的项目之前,它必须发生(即使有一套限制性的“一刀切”法规)允许处理大量的公共数据和资金。Charles Guillemet认为,“Monero不是第一个例子,不幸的是不会是最后一个例子。”他继续澄清这些平台需要采取的步骤,以保护自己免受这种情况:“红队,独立第三党的审计,科学论文的同行评审。新的加密协议需要时间进行审查和评估。“

Binance Chain - 以及它支持的初始交易平台,Binance Launchpad--依赖于Tendermint,但是如果一个讨厌的漏洞利用时间太长,那么Binance培育的新生项目会发生什么?后果不要猜测。虽然Monero已经证明了主流的上升可能需要比想象的更长的时间,但它也向我们展示了山上最安全的路径,而这就是区块链项目相互支持而不是竞争终点的方式。


声明:以上内容来源于网络,如有侵权请联系我们(123@shiyan.com)删除!
页: [1]
查看完整版本: Monero报告解决假冒XMR修复后一个月的错误