Ang 'Critical' Vulnerability sa Beam Wallet ay Maaaring Maglagay ng Mga Pondo sa Panganib, Sabi ng Mga Dev Pagkatapos Ayusin

Ang mga nag-develop sa likod ng Cryptocurrency na nakatuon sa privacy na Beam ay nagsiwalat na ang "kritikal" na bug na natuklasan at pagkatapos ay naayos sa kanilang wallet software noong nakaraang linggo ay maaaring direktang ilagay sa panganib ang mga pondo ng user.

Gaya ng nakasaad sa isang Medium post na inilathala ngayon, ang kahinaan ay magbibigay-daan sa isang umaatake na lumikha ng "mga binagong transaksyon" at pagkatapos ay direktang magpadala ng mga pondo sa wallet ng umaatake.

Sa isang eksklusibong panayam sa CoinDesk, ipinaliwanag ni Beam CTO Alex Romanov na sa pamamagitan ng paggamit ng Beam's Secure Bulletin Board System (SBBS) – isang custom-built system para paganahin ang offline na naka-encrypt na pagmemensahe sa pagitan ng Beam wallets – mga attacker na “kasalukuyang nakikinig sa mga aktibong SBBS address … ay maaaring maging sanhi ng mga wallet na ito na magpadala ng pera sa isang attacker.”

Binigyang-diin ni Romanov na ang isyu ay partikular sa aplikasyon at sa anumang paraan ay hindi nauugnay sa Technology nagpapahusay sa privacy mimblewimble, nagsasabing:

"Ang kahinaan ay hindi nauugnay sa mimblewimble o cryptography o anumang pinagbabatayan Technology. Sa pangkalahatan, ito ay isang bug sa mismong application ... Naapektuhan lang nito ang mga wallet dahil posibleng gawin ang partikular na transaksyong ito."

At kahit na ang pag-iral ng kahinaan ay isiniwalat sa publiko sa parehong araw na natagpuan ito ng internal development team ng Beam, ang eksaktong katangian ng banta ay hindi isinapubliko hanggang ngayon.

Ang dahilan nito ayon kay Romanov ay upang maiwasan ang pagbubukas ng anumang "posibleng attack vectors" para sa mga user na hindi nakakita ng anunsyo ng kahinaan. noong nakaraang Miyerkules.

Ipaliwanag na ang mga tao ay "hindi online sa lahat ng oras, kung minsan ay may mga pagkakaiba sa oras, ang mga tao ay maaaring natutulog," sinabi ni Romanov sa CoinDesk na ang pagpigil ng karagdagang mga detalye ay isang paraan upang bumili ng oras para sa mga gumagamit "lalo na ang mga pool at palitan" upang ipatupad ang pag-aayos ng code.

Sa pagsasalita sa ibinigay na patch, ipinaliwanag ni Romanov na ang pag-aayos ay medyo simple.

"Napigilan lang namin ang partikular na senaryo na ito kung saan ang custom na transaksyon na ito ay tinanggap sana ng tumatakbong wallet at iyon na," sabi ni Romanov sa CoinDesk.

Ang susunod na pag-upgrade

Opisyal na inilunsad ang Beam noong Huwebes, Enero 3. Mula noong puntong iyon, sinabi ni Romanov na ang feedback mula sa mga user ay ginagawa na sa isang bagong pag-upgrade para sa software ng Beam na kasalukuyang sinusuri at nakatakdang ilabas "sa susunod na ilang araw."

“Isinaalang-alang namin ang lahat ng isyung ibinangon ng mga user, lahat ng mga kahilingan, lahat ng hindi pagkakaunawaan na sa pagbabalik-tanaw ay medyo halata dahil ang mimblewimble ay isang napakabagong Technology … at gumawa kami ng update na magpapahusay sa karanasan ng user,” sabi ni Romanov.

Tinatawag itong bersyon 1.0.1, binigyang-diin ni Romanov na ang paggamit ng mga Beam system bilang resulta ng mimblewimble ay naging sanhi ng “mga pool at palitan din na makabuluhang baguhin ang paraan ng pagpapatakbo ng mga ito at ang paraan ng kanilang pangangasiwa ng mga transaksyon.”

"Nagkaroon ng maraming curves ng pag-aaral mula sa lahat ng panig ... [Ang pag-update] ay magbabawas sa dami ng mga potensyal na hindi pagkakaunawaan o mga problema. Minsan, kahit na gumagana nang maayos ang system, hindi malinaw para sa [user] kung ano ang nangyayari," sinabi ni Romanov sa CoinDesk:

Wallet larawan sa pamamagitan ng Shutterstock

Ang artikulong ito at ang headline nito ay na-update para sa kalinawan.