萊特幣的漏洞突出了加密數(shù)字貨幣自籌資金自主研發(fā)的必要性

時(shí)間：2020-06-10 18:57:01

關(guān)鍵字：數(shù)字貨幣萊特幣

手機(jī)看文章

掃描二維碼
隨時(shí)隨地手機(jī)看文章

[導(dǎo)讀] 一位推特用戶指出，他大約在一年前發(fā)現(xiàn)了萊特幣的一個(gè)漏洞，而這個(gè)漏洞一直都沒(méi)有得到修復(fù)。這凸顯了加密數(shù)字貨幣自籌資金自主研發(fā)的必要性。 2018年3月11日，我發(fā)現(xiàn)了由萊特幣研發(fā)團(tuán)隊(duì)維護(hù)的

一位推特用戶指出，他大約在一年前發(fā)現(xiàn)了萊特幣的一個(gè)漏洞，而這個(gè)漏洞一直都沒(méi)有得到修復(fù)。這凸顯了加密數(shù)字貨幣自籌資金自主研發(fā)的必要性。

2018年3月11日，我發(fā)現(xiàn)了由萊特幣研發(fā)團(tuán)隊(duì)維護(hù)的Litecoin Litecore implementation（即insight-lite-api）中的漏洞。這個(gè)漏洞至今都還沒(méi)有得到修復(fù)，這意味著它仍然可能會(huì)被有心人士加以利用。這是嚴(yán)重的漏洞，大家下次再聽(tīng)到相關(guān)消息的時(shí)候可能就是在新聞報(bào)道里了。

@oasace指出，他在2018年3月11日發(fā)現(xiàn)了萊特幣研發(fā)團(tuán)隊(duì)維護(hù)的Litecoin Litecore implementaTIon （即insight-lite-api）中的堆棧跟蹤漏洞。到目前為止，漏洞依然沒(méi)有得到修復(fù)，攻擊者可以根據(jù)github描述對(duì)漏洞加以利用。

據(jù)悉，向不同的API端點(diǎn)發(fā)送POST請(qǐng)求已經(jīng)錯(cuò)誤地積壓在堆棧跟蹤上，此類信息可以幫助黑客獲取更多的信息，并專注于研發(fā)針對(duì)目標(biāo)系統(tǒng)的進(jìn)一步攻擊或利用不正確的錯(cuò)誤處理來(lái)發(fā)起新的攻擊。

在DuckDuckGo上快速搜索的結(jié)果顯示，“簡(jiǎn)單來(lái)說(shuō)，堆棧跟蹤是應(yīng)用程序在出現(xiàn)異常時(shí)可用的調(diào)試方法列表”。與其它錯(cuò)誤相比，有關(guān)堆棧跟蹤的漏洞在安全方面并不是太重要，這可能就是為什么這個(gè)漏洞沒(méi)能引起萊特幣研發(fā)團(tuán)隊(duì)的關(guān)注的原因之一。無(wú)論如何，它仍然說(shuō)明了萊特幣缺乏激勵(lì)機(jī)制，以至于研發(fā)團(tuán)隊(duì)在將近一年的時(shí)間里都沒(méi)有修復(fù)這個(gè)漏洞。

為漏洞的發(fā)現(xiàn)和修復(fù)提供激勵(lì)

與任何軟件一樣，加密數(shù)字貨幣也會(huì)偶爾受到漏洞的影響，但開(kāi)源軟件的好處在與任何人都可以查看代碼并發(fā)布任何潛在的漏洞，從而在社區(qū)的幫助下完成漏洞的修復(fù)。出于對(duì)加密數(shù)字貨幣的信仰，許多人為開(kāi)源軟件免費(fèi)修復(fù)漏洞。不過(guò)，也有許多加密數(shù)字貨幣為確保代碼的安全性提供了激勵(lì)機(jī)制。在此基礎(chǔ)上，為漏洞的發(fā)現(xiàn)和修復(fù)提供激勵(lì)將吸引背景更多樣化的更多程序員參與其中，從而確保漏洞能被迅速地定位和修復(fù)。

隨著加密數(shù)字貨幣日趨接近主流，漏洞的識(shí)別和修復(fù)勢(shì)在必行。然而，加密數(shù)字貨幣安全人員卻出現(xiàn)了供不應(yīng)求的情況。在這種背景下，歡迎大家了解達(dá)世幣如何通過(guò)@Bugcrowd來(lái)應(yīng)對(duì)這一痛點(diǎn)。

達(dá)世幣利用去中心化自主管理組織預(yù)算資金贊助了Bugcrowd，這是一個(gè)漏洞賞金計(jì)劃，它進(jìn)一步增強(qiáng)了有關(guān)各方對(duì)其代碼庫(kù)的信心。在Bugcrowd執(zhí)行一年之后，團(tuán)隊(duì)發(fā)布了一個(gè)案例研究，并透露Bugcrowd的研究人員通過(guò)篩除66個(gè)漏洞定位了達(dá)世幣數(shù)字現(xiàn)金應(yīng)用程序中獨(dú)有的11個(gè)漏洞，為達(dá)世幣團(tuán)隊(duì)節(jié)省了大量的時(shí)間。其中一個(gè)漏洞出現(xiàn)在現(xiàn)已停用的達(dá)世幣Copay錢包中，它可能造成敏感數(shù)據(jù)的泄露。幸運(yùn)的是，它在測(cè)試階段就得到了及時(shí)的定位和修復(fù)。其實(shí)，這個(gè)漏洞是比特幣錢包版本的歷史遺留問(wèn)題，它還讓人想起了得到快速修復(fù)的、歷史久遠(yuǎn)的另一個(gè)漏洞，這個(gè)起源于萊特幣代碼庫(kù)的漏洞曾經(jīng)導(dǎo)致達(dá)世幣挖礦活動(dòng)異?？焖?。

達(dá)世幣鼓勵(lì)適當(dāng)且有效的代碼管理

達(dá)世幣致力于成為日?？捎玫臄?shù)字貨幣，這意味著它需要消費(fèi)者和商家的最大信任。達(dá)世幣可以通過(guò)編寫優(yōu)秀的代碼和反復(fù)的檢查來(lái)贏得他們的信任。雖然確保代碼的安全性是所有頂級(jí)加密數(shù)字貨幣的首要任務(wù)，但達(dá)世幣可以為達(dá)世幣核心團(tuán)隊(duì)、其他開(kāi)發(fā)人員和漏洞“賞金獵人”提供資金，從而有效地激勵(lì)他們的活動(dòng)并確保異常出色的代碼工作?；谧栽傅墓ぷ鳟?dāng)然也很好，但考慮到研發(fā)人員也需要賺錢，所以他們往往需要作出權(quán)衡。此外，依賴第三方來(lái)獲取資金是有風(fēng)險(xiǎn)的，因?yàn)樗锌赡軙?huì)終止資金供應(yīng)或與加密數(shù)字貨幣團(tuán)隊(duì)的利益相互沖突。達(dá)世幣將代碼編寫和審查流程納入自身的管理體系，從而避免了上述問(wèn)題并建立起了一個(gè)完備的經(jīng)濟(jì)激勵(lì)循環(huán)。