萊特幣的漏洞突出了加密數(shù)字貨幣自籌資金自主研發(fā)的必要性

時間：2020-06-10 18:57:01

關(guān)鍵字：數(shù)字貨幣萊特幣

手機(jī)看文章

掃描二維碼
隨時隨地手機(jī)看文章

[導(dǎo)讀] 一位推特用戶指出，他大約在一年前發(fā)現(xiàn)了萊特幣的一個漏洞，而這個漏洞一直都沒有得到修復(fù)。這凸顯了加密數(shù)字貨幣自籌資金自主研發(fā)的必要性。 2018年3月11日，我發(fā)現(xiàn)了由萊特幣研發(fā)團(tuán)隊(duì)維護(hù)的

一位推特用戶指出，他大約在一年前發(fā)現(xiàn)了萊特幣的一個漏洞，而這個漏洞一直都沒有得到修復(fù)。這凸顯了加密數(shù)字貨幣自籌資金自主研發(fā)的必要性。

2018年3月11日，我發(fā)現(xiàn)了由萊特幣研發(fā)團(tuán)隊(duì)維護(hù)的Litecoin Litecore implementation（即insight-lite-api）中的漏洞。這個漏洞至今都還沒有得到修復(fù)，這意味著它仍然可能會被有心人士加以利用。這是嚴(yán)重的漏洞，大家下次再聽到相關(guān)消息的時候可能就是在新聞報(bào)道里了。

@oasace指出，他在2018年3月11日發(fā)現(xiàn)了萊特幣研發(fā)團(tuán)隊(duì)維護(hù)的Litecoin Litecore implementaTIon （即insight-lite-api）中的堆棧跟蹤漏洞。到目前為止，漏洞依然沒有得到修復(fù)，攻擊者可以根據(jù)github描述對漏洞加以利用。

據(jù)悉，向不同的API端點(diǎn)發(fā)送POST請求已經(jīng)錯誤地積壓在堆棧跟蹤上，此類信息可以幫助黑客獲取更多的信息，并專注于研發(fā)針對目標(biāo)系統(tǒng)的進(jìn)一步攻擊或利用不正確的錯誤處理來發(fā)起新的攻擊。

在DuckDuckGo上快速搜索的結(jié)果顯示，“簡單來說，堆棧跟蹤是應(yīng)用程序在出現(xiàn)異常時可用的調(diào)試方法列表”。與其它錯誤相比，有關(guān)堆棧跟蹤的漏洞在安全方面并不是太重要，這可能就是為什么這個漏洞沒能引起萊特幣研發(fā)團(tuán)隊(duì)的關(guān)注的原因之一。無論如何，它仍然說明了萊特幣缺乏激勵機(jī)制，以至于研發(fā)團(tuán)隊(duì)在將近一年的時間里都沒有修復(fù)這個漏洞。

為漏洞的發(fā)現(xiàn)和修復(fù)提供激勵

與任何軟件一樣，加密數(shù)字貨幣也會偶爾受到漏洞的影響，但開源軟件的好處在與任何人都可以查看代碼并發(fā)布任何潛在的漏洞，從而在社區(qū)的幫助下完成漏洞的修復(fù)。出于對加密數(shù)字貨幣的信仰，許多人為開源軟件免費(fèi)修復(fù)漏洞。不過，也有許多加密數(shù)字貨幣為確保代碼的安全性提供了激勵機(jī)制。在此基礎(chǔ)上，為漏洞的發(fā)現(xiàn)和修復(fù)提供激勵將吸引背景更多樣化的更多程序員參與其中，從而確保漏洞能被迅速地定位和修復(fù)。

隨著加密數(shù)字貨幣日趨接近主流，漏洞的識別和修復(fù)勢在必行。然而，加密數(shù)字貨幣安全人員卻出現(xiàn)了供不應(yīng)求的情況。在這種背景下，歡迎大家了解達(dá)世幣如何通過@Bugcrowd來應(yīng)對這一痛點(diǎn)。

達(dá)世幣利用去中心化自主管理組織預(yù)算資金贊助了Bugcrowd，這是一個漏洞賞金計(jì)劃，它進(jìn)一步增強(qiáng)了有關(guān)各方對其代碼庫的信心。在Bugcrowd執(zhí)行一年之后，團(tuán)隊(duì)發(fā)布了一個案例研究，并透露Bugcrowd的研究人員通過篩除66個漏洞定位了達(dá)世幣數(shù)字現(xiàn)金應(yīng)用程序中獨(dú)有的11個漏洞，為達(dá)世幣團(tuán)隊(duì)節(jié)省了大量的時間。其中一個漏洞出現(xiàn)在現(xiàn)已停用的達(dá)世幣Copay錢包中，它可能造成敏感數(shù)據(jù)的泄露。幸運(yùn)的是，它在測試階段就得到了及時的定位和修復(fù)。其實(shí)，這個漏洞是比特幣錢包版本的歷史遺留問題，它還讓人想起了得到快速修復(fù)的、歷史久遠(yuǎn)的另一個漏洞，這個起源于萊特幣代碼庫的漏洞曾經(jīng)導(dǎo)致達(dá)世幣挖礦活動異?？焖?。

達(dá)世幣鼓勵適當(dāng)且有效的代碼管理

達(dá)世幣致力于成為日常可用的數(shù)字貨幣，這意味著它需要消費(fèi)者和商家的最大信任。達(dá)世幣可以通過編寫優(yōu)秀的代碼和反復(fù)的檢查來贏得他們的信任。雖然確保代碼的安全性是所有頂級加密數(shù)字貨幣的首要任務(wù)，但達(dá)世幣可以為達(dá)世幣核心團(tuán)隊(duì)、其他開發(fā)人員和漏洞“賞金獵人”提供資金，從而有效地激勵他們的活動并確保異常出色的代碼工作。基于自愿的工作當(dāng)然也很好，但考慮到研發(fā)人員也需要賺錢，所以他們往往需要作出權(quán)衡。此外，依賴第三方來獲取資金是有風(fēng)險(xiǎn)的，因?yàn)樗锌赡軙K止資金供應(yīng)或與加密數(shù)字貨幣團(tuán)隊(duì)的利益相互沖突。達(dá)世幣將代碼編寫和審查流程納入自身的管理體系，從而避免了上述問題并建立起了一個完備的經(jīng)濟(jì)激勵循環(huán)。