Що критичні виправлення помилок Mastodon говорять про вразливості безпеки Crypto

Минулого тижня було виправлено кілька критичних помилок у соціальній медіа-платформі Mastodon, схожій на Twitter, після того, як дослідники, фінансовані Mozilla Foundation, схилили капелюха перед уразливості. Ситуація демонструє ONE із фундаментальних компромісів у розробці програмного забезпечення з відкритим вихідним кодом: публічно доступний код може переглядати та використовувати кожен.

Іноді це означає, що помилки виявляються т.зв хакери в білому капелюсі, і іноді вони залишаються відкритими для експлуатації. У випадку з Mastodon Mozilla заплатила німецькій охоронній фірмі Cure53 за тестування соціальної мережі після оголошення про плани. за допомогою Mastodon для деяких корпоративних комунікацій.

Це уривок з інформаційного бюлетеня The Node, щоденного огляду найважливіших новин про Крипто на CoinDesk і за його межами. Ви можете підписатися, щоб отримати повну версію інформаційний бюлетень тут.

Особливо в епоху Twitter після викупу Ілона-Маска, Mastodon став ONE із найпопулярніших децентралізованих додатків, якими користуються звичайні люди. Mastodon називає себе «федерацією», оскільки складається з кількох тисяч окремих «примірників», які обслуговують контент для людей (на відміну від таких компаній, як Twitter або Facebook, які підтримують власні сервери). Будь-хто може запустити свій власний або попросити приєднатися до іншого екземпляра, який може встановити власні стандарти модерації.

Про п’ять виправлених помилок було розкрито небагато, хоча незалежний дослідник безпеки Кевін Бомонт, який писав на Mastodon, сказав, що ONE потенційний експлойт під назвою #TootRoot міг надати хакерам кореневий доступ до екземплярів Mastodon, що могло спричинити будь-які проблеми, включаючи скомпрометовані облікові записи та інші схеми фішингу.

Дивіться також: Крипто прагнуть повернути вкрадені гроші: TRM Labs

Mastodon gGmbH, організація, яка підтримує програмне забезпечення з відкритим вихідним кодом Mastodon, оцінила ще ONE помилку як критичну, а три інших – як високу та середню. Великі сервери також отримали попередні оголошення про діри в безпеці в останні тижні, щоб вони могли бути готові швидко розгорнути патч, коли він буде опублікований, згідно з Ars Technica.

Наскільки я можу судити, жоден із 14,5 мільйонів користувачів Mastodon не постраждав від поганих рядків коду, які, здається, не використовувалися. Але ця ситуація викликає деякі неприємні занепокоєння, зокрема, як довго критичні проблеми залишалися б бездіяльними, якби Mozilla не була зацікавлена ​​в тому, щоб перевірити, чи Mastodon безпечний. І чи міг поганий актор дійти до цього першим.

Це актуальні проблеми у світі безкоштовного програмного забезпечення з відкритим кодом, у тому числі (і, можливо, особливо) у Крипто. Залишаючи осторонь труднощі, пов’язані із забезпеченням того, щоб усі завантажили виправлення або запустили найновіше програмне забезпечення – (якщо ви користувач Mastodon, переконайтеся, що екземпляр, який ви використовуєте, має версію 4.1.3 або пізнішу, або переслідуйте сервер для оновлення) – безпека спільних мереж повністю залежить від ринкових сил.

Фінансові стимули перешкоджають хакерам, які іноді можуть отримати винагороду за помилку за належне розкриття проблеми або повернутись і продати шкідливу інформацію на ринку темної мережі. І T завжди є Mozilla, готова платити за поглиблені перевірки, щоб переконатися, що ці системи безпечні.

Проблема лише ускладнюється Крипто, яка перетворює програми на «багатомільйонні винагороди за помилки» або на мішки для хакерів, які хочуть QUICK заробити. Деякі Було вкрадено 3,1 мільярда доларів тільки з протоколів децентралізованого Фінанси (DeFi) минулого року. І навіть коли засновники протоколів або об’єднані користувачі платять за перевірку коду, не завжди ясно, що печатці схвалення аудитора можна довіряти (часто через некомпетентність і жадібність).

Дивіться також: Називаючи хак експлойтом, ви мінімізуєте Human помилку | Погляди

Діяхір Кампос, Крипто і розробник, який каже, що програв після багатомільйонної атаки Euler Фінанси, нещодавно виявлено «автоматичного вимикача» DeFi, який призупиняв би протоколи, спостерігаючи аномальні зняття коштів. Це було б "заявка на участь", який, за загальним визнанням, T запропонував би користувачам повної безпеки, але міг би мінімізувати суму грошей, втрачену під час злому.

Подібні рішення викликають захоплення, навіть якщо немає простих виправлень проблем крипто (і, безумовно, не є «універсальним варіантом»). І, звичайно, існує базовий ризик у використанні будь-якої комп’ютерної програми незалежно від того, чи є вона з відкритим кодом. Щоб не забувати, навіть найкомпетентніші, здавалося б, установи, такі як Міністерство оборони США чи Microsoft, не застраховані від катастрофічних помилок.

Спільнота FOSS підтримує справжню культуру солідарності та спільної відповідальності, де повага, отримана від пошуку та розкриття проблем, часто коштує більше, ніж гроші, які вони могли б заробити. Нехай це буде холодним комфортом для Крипто, незалежно від того, чи готуються до впровадження такі установи, як Mozilla.