Lo que dicen las correcciones de errores críticos de Mastodon sobre las vulnerabilidades de seguridad de las criptomonedas

La semana pasada se corrigieron varios errores críticos en la plataforma de redes sociales similar a Twitter, Mastodon, después de que investigadores financiados por la Fundación Mozilla se inclinaran ante lavulnerabilidadesLa situación muestra una de las desventajas fundamentales en el desarrollo de software de código abierto: que el código disponible públicamente puede ser revisado y explotado por cualquiera.

A veces eso significa que los errores son detectados por los llamadoshackers de sombrero blancoY a veces se dejan vulnerables a la explotación. En el caso de Mastodon, Mozilla contrató a la empresa de seguridad alemana Cure53 para realizar pruebas de penetración en la red social, tras anunciar sus planes de...usando Mastodonpara algunas comunicaciones corporativas.

Este es un extracto del boletín The Node, un resumen diario de las noticias más importantes Cripto en CoinDesk y otros medios. Puedes suscribirte para recibir la información completa. boletín informativo aquí.

Especialmente en la era posterior a la compra de Twitter por Elon Musk, Mastodon se ha convertido en una de las aplicaciones descentralizadas más populares entre la gente común. Mastodon se autodenomina una "federación" porque consta de miles de "instancias" independientes que sirven contenido a la gente (a diferencia de empresas como Twitter o Facebook, que mantienen sus propios servidores). Cualquiera puede gestionar su propia instancia o solicitar unirse a otra, que puede establecer sus propios estándares de moderación.

No se ha revelado mucho sobre los cinco errores que se solucionaron, aunque el investigador de seguridad independiente Kevin Beaumont, escribiendo en Mastodon, dijo que un exploit potencial denominado #TootRoot podría haber dado a los piratas informáticos acceso root a las instancias de Mastodon, lo que podría haber causado todo tipo de problemas, incluidas cuentas comprometidas y otros esquemas de phishing.

Ver también:Los hackers de Cripto tienden a recuperar el dinero robado: TRM Labs

Mastodon gGmbH, la organización que mantiene el software de código abierto de Mastodon, calificó ONE error como crítico y los otros tres como de gravedad alta y media. En las últimas semanas, se enviaron avisos previos a servidores de gran tamaño sobre las vulnerabilidades de seguridad para que estuvieran listos para implementar rápidamente un parche cuando se lanzara, según Ars Technica.

Hasta donde sé, ninguno de los 14,5 millones de usuarios de Mastodon se vio afectado por las líneas de código maliciosas, que parecen no haber sido explotadas. Sin embargo, la situación plantea algunas inquietudes incómodas, como cuánto tiempo habrían permanecido latentes los problemas críticos si Mozilla no hubiera estado interesado en pagar para comprobar la seguridad de Mastodon. Y si un atacante podría haberlo descubierto antes.

Estos son problemas de actualidad en el mundo del software libre y de código abierto, incluyendo (y quizás especialmente) el de las Cripto. Dejando de lado las dificultades de garantizar que todos descarguen un parche o utilicen el software más reciente (si usa Mastodon, compruebe que la instancia que utiliza tenga la versión 4.1.3 o posterior, o presione al servidor para que se actualice), la seguridad de las redes compartidas está totalmente sujeta a las fuerzas del mercado.

Los incentivos financieros son una desventaja para los hackers, quienes a veces pueden recibir una recompensa por errores por revelar adecuadamente un problema o vender la información maliciosa en un mercado de la darknet. Además, no siempre hay un Mozilla dispuesto a pagar auditorías exhaustivas para garantizar la seguridad de estos sistemas.

El problema se complica aún más con las Cripto, que convierten las aplicaciones en "recompensas multimillonarias por errores" o en bolsas de sorpresas para los hackers que buscan ganar dinero QUICK . Algunos Se robaron 3.100 millones de dólares Solo el año pasado, solo de los protocolos de Finanzas descentralizadas (DeFi). Incluso cuando las fundaciones de protocolos o los usuarios se unen para financiar las revisiones de código, no siempre es seguro confiar en la aprobación de un auditor (a menudo debido tanto a la incompetencia como a la codicia).

Ver también:Llamar exploit a un ataque minimiza el error Human | Opinión

Diyahir Campos, un usuario y desarrollador de Cripto que dice que perdió después del ataque multimillonario a Euler Finanzas, Recientemente reveladoUn "disyuntor" de DeFi que pausaría los protocolos al detectar retiros anormales. Esto sería un“cosa de suscripción voluntaria” Lo cual, ciertamente, no ofrecería a los usuarios una seguridad completa, pero podría minimizar la cantidad de dinero perdido en ataques.

Soluciones como esta son admirables, incluso si no existen soluciones fáciles para los problemas de las criptomonedas (y definitivamente no existe una solución universal). Y, por supuesto, existe un riesgo básico al usar cualquier programa informático, sea o no de código abierto. No olvidemos que incluso las instituciones aparentemente más competentes, como el Departamento de Defensa de EE. UU. o Microsoft, no son inmunes a errores catastróficos.

La comunidad FOSS fomenta una verdadera cultura de solidaridad y responsabilidad compartida, donde el respeto que se genera al encontrar y divulgar problemas a menudo vale más que el dinero que podrían haber ganado. Que esto no sea un gran consuelo para las Cripto, independientemente de si instituciones como Mozilla están en vías de adopción.