Ang Sinasabi ng Mga Kritikal na Pag-aayos ng Bug ng Mastodon Tungkol sa Mga Kahinaan sa Seguridad ng Crypto

Ilang kritikal na bug sa Twitter-like social media platform na Mastodon ang na-patch noong nakaraang linggo, matapos ang mga mananaliksik na pinondohan ng Mozilla Foundation ay naglagay ng kanilang sumbrero sa mga kahinaan. Ipinapakita ng sitwasyon ang ONE sa mga pangunahing tradeoff sa open-source na software development: na ang code na magagamit sa publiko ay maaaring suriin at pagsamantalahan ng sinuman.

Minsan ay nangangahulugan na ang mga bug ay matatagpuan sa pamamagitan ng tinatawag na mga hacker ng puting sumbrero, at kung minsan ay iniiwan silang bukas upang mapagsamantalahan. Sa kaso ni Mastodon, binayaran ni Mozilla ang kompanya ng seguridad ng Aleman na Cure53 upang masuri ang social network, pagkatapos ipahayag ang mga plano na ito ay gamit ang Mastodon para sa ilang mga komunikasyon sa korporasyon.

Ito ay isang sipi mula sa The Node newsletter, isang pang-araw-araw na pag-ikot ng pinakamahalagang balita sa Crypto sa CoinDesk at higit pa. Maaari kang mag-subscribe upang makuha ang buo newsletter dito.

Lalo na sa panahon ng post-Elon-Musk-buyout Twitter, ang Mastodon ay naging ONE sa pinakasikat na desentralisadong aplikasyon na ginagamit ng pang-araw-araw na mga tao. Tinatawag ng Mastodon ang sarili nitong isang “federation” dahil binubuo ito ng ilang libong hiwalay na "instances" na naghahatid ng content sa mga tao (hindi tulad sa mga kumpanya tulad ng Twitter o Facebook, na nagpapanatili ng sarili nilang mga server). Kahit sino ay maaaring magpatakbo ng kanilang sarili o humiling na sumali sa isa pang pagkakataon, na maaaring magtakda ng sarili nilang mga pamantayan sa pagmo-moderate.

Walang gaanong nahayag tungkol sa limang bug na na-patched, kahit na ang independent security researcher na si Kevin Beaumont, na nagsusulat sa Mastodon, ay nagsabi na ang ONE potensyal na pagsasamantala na tinatawag na #TootRoot ay maaaring nagbigay ng root access sa mga hacker sa mga Mastodon instance - na maaaring magdulot ng lahat ng uri ng mga isyu kabilang ang mga nakompromisong account at iba pang mga phishing scheme.

Tingnan din ang: Ang mga Crypto Hacker ay May posibilidad na Ibalik ang Ninakaw na Pera: TRM Labs

Ang Mastodon gGmbH, ang organisasyong nagpapanatili ng open source na software ng Mastodon, ay ni-rate ang ONE pang bug bilang kritikal at ang tatlo pang iba ay mataas at katamtaman ang kalubhaan. Ang mga malalaking server ay nagpadala din ng mga paunang anunsyo tungkol sa mga butas ng seguridad sa mga nakaraang linggo, upang maaari silang maging handa na mabilis na mag-deploy ng isang patch kapag naging live ito, ayon sa Ars Technica.

Sa abot ng aking masasabi, wala sa 14.5 milyong user ng Mastodon ang naapektuhan ng masasamang linya ng code, na tila hindi nagamit. Ngunit ang sitwasyon ay nagtataas ng ilang hindi komportable na mga alalahanin, kabilang ang kung gaano katagal ang mga kritikal na isyu ay hindi natutulog kung hindi interesado si Mozilla sa pagbabayad upang makita kung ligtas ang Mastodon. At kung ang isang masamang artista ay maaaring unang nakuha ito.

Ito ay mga live na isyu sa mundo ng libre at open source na software, kabilang ang (at marahil lalo na) sa Crypto. Isinasantabi ang mga hamon sa pagtiyak na ang lahat ay nagda-download ng isang patch o nagpapatakbo ng pinakabagong software – (kung isa kang Mastodon user, tingnan kung ang instance na iyong ginagamit ay nasa bersyon 4.1.3 o mas bago o hanapin ang server upang mag-update) – ang seguridad ng mga nakabahaging network ay ganap na napapailalim sa puwersa ng merkado.

Ang mga insentibo sa pananalapi ay pumutol sa parehong paraan para sa mga hacker, na kung minsan ay makakatanggap ng bug bounty para sa wastong pagsisiwalat ng isang isyu o pagtalikod at pagbebenta ng malisyosong impormasyon sa isang darknet market. At T palaging may Mozilla doon na handang magbayad para sa mga malalim na pag-audit upang matiyak na ligtas ang mga system na ito.

Ang problema ay kumplikado lamang ng Crypto, na ginagawang "multimillion dollar bug bounties" ang mga application o mga grab bag para sa mga hacker na gustong kumita ng QUICK . Ang ilan $3.1 bilyon ang ninakaw mula sa mga protocol ng desentralisadong Finance (DeFi) noong nakaraang taon. At kahit na binabayaran ng mga protocol foundation o mga user ang pinagsama-samang mga pagsusuri para sa mga pagsusuri sa code, hindi palaging malinaw na mapagkakatiwalaan ang selyo ng pag-apruba ng auditor (kadalasan ay dahil sa kawalan ng kakayahan gaya ng kasakiman).

Tingnan din ang: Ang pagtawag sa isang Hack na isang Exploit ay nagpapaliit ng Human Error | Opinyon

Diyahir Campos, isang Crypto user at developer na nagsasabing natalo siya pagkatapos ng multi-milyong dolyar na pag-atake ng Euler Finance, kamakailan ay ipinahayag isang DeFi "circuit breaker" na magpo-pause ng mga protocol na nakakakita ng mga abnormal na withdrawal. Ito ay magiging isang "bagay sa pag-opt-in," na tinatanggap na T mag-aalok sa mga user ng kumpletong seguridad ngunit maaaring mabawasan ang halaga ng pera na nawala sa mga hack.

Ang mga solusyong tulad nito ay kahanga-hanga, kahit na walang madaling pag-aayos sa mga problema ng crypto (at tiyak na hindi isang opsyon na "one-size-fits-all"). At, siyempre, mayroong baseline na panganib sa paggamit ng anumang computer program open source man ito o hindi. Baka makalimutan natin kahit na ang pinaka-kakayahang tila mga institusyon tulad ng U.S. Department of Defense o Microsoft ay hindi immune sa mga sakuna na bug.

Ang komunidad ng FOSS ay nagtataguyod ng isang tunay na kultura ng pagkakaisa at pagbabahagi ng responsibilidad, kung saan ang paggalang na nakukuha mula sa paghahanap at pagsisiwalat ng mga isyu ay kadalasang mas nagkakahalaga kaysa sa pera na maaari nilang makuha. Hayaan itong maging malamig na kaginhawaan sa Crypto, kung ang mga institusyong tulad ng Mozilla ay patungo sa pag-aampon o hindi.