«Критична» вразливість у Beam Wallet могла поставити кошти під загрозу, кажуть розробники після виправлення

Розробники Криптовалюта Beam, орієнтованої на конфіденційність, виявили, що «критична» помилка, виявлена ​​та згодом виправлена ​​в їх програмному забезпеченні гаманця минулого тижня, могла поставити під загрозу кошти користувачів.

Як зазначено в Medium пост опублікована сьогодні, уразливість дозволила б зловмиснику створювати «модифіковані транзакції», а потім надсилати кошти безпосередньо в гаманець зловмисника.

В ексклюзивному інтерв’ю CoinDesk технічний директор Beam Алекс Романов пояснив, що за допомогою системи захищеної дошки оголошень Beam (SBBS) – спеціально створеної системи для забезпечення офлайн-зашифрованого обміну повідомленнями між гаманцями Beam – зловмисники, «які зараз прослуховують активні адреси SBBS… зможуть змусити ці гаманці надсилати гроші зловмиснику».

Романов підкреслив, що проблема стосується конкретної програми і жодним чином не пов’язана з Технології підвищення конфіденційності mimblewimble, кажучи:

"Ця вразливість не пов'язана з mimblewimble, криптографією чи будь-якою основною Технології. По суті, це помилка в самій програмі... Вона просто вплинула на гаманці, тому що було б можливо створити цю конкретну транзакцію".

І хоча існування вразливості було розкрито громадськості в той же день, коли її виявила внутрішня команда розробників Beam, точний характер загрози не був оприлюднений до сьогодні.

Причиною цього, за словами Романова, було запобігання відкриттю будь-яких «можливих векторів атаки» для користувачів, які не бачили повідомлення про вразливість. минулої середи.

Уточнюючи, що люди «не весь час онлайн, іноді є різниця в часі, люди можуть спати», Романов сказав CoinDesk , що приховування додаткових деталей було способом виграти час для користувачів, «особливо для пулів і бірж», щоб застосувати виправлення коду.

Говорячи про виданий патч, Романов пояснив, що виправлення було відносно простим.

«Ми щойно запобігли цьому конкретному сценарію, за якого ця спеціальна транзакція була б прийнята запущеним гаманцем, і все», — сказав Романов CoinDesk.

Наступне оновлення

Beam офіційно запущено у четвер, 3 січня. З цього моменту Романов сказав, що відгуки користувачів уже опрацьовуються для нового оновлення програмного забезпечення Beam, яке зараз тестується та планується до випуску «найближчими кількома днями».

«Ми взяли до уваги всі проблеми, висунуті користувачами, усі запити, усі непорозуміння, які в ретроспективі були досить очевидними, оскільки mimblewimble — це дуже нова Технології … і ми створили оновлення, яке покращить взаємодію з користувачем», — сказав Романов.

Назвавши її версією 1.0.1, Романов підкреслив, що використання систем Beam як результат mimblewimble призвело до того, що «пули, а також біржі значно змінили спосіб їх роботи та спосіб обробки транзакцій».

"Було багато кривих навчання з усіх боків... [Оновлення] зменшить кількість потенційних непорозумінь або проблем. Іноді, навіть якщо система працює належним чином, для [користувача] незрозуміло, що відбувається", - сказав Романов CoinDesk:

Гаманець зображення через Shutterstock

Цю статтю та її заголовок оновлено для ясності.