Monero сообщает о разрешении фальшивых ошибок чеканки XMR

фальшивые ошибки XMR

Криптовалюта находится на переднем крае, что почти определяет ее, но некоторые находят трудный путь, который еще острее, чем предполагалось. Страшное проявлениеДевять ошибок безопасности через платформу интернет-безопасности HackerOne , которые повлияли на Monero ( XMR ) в последние месяцы - от незначительных и раскрытых до злонамеренных и живых - стали большим тревожным звонком для  энтузиастов блокчейна Пять из этих уязвимостей представляли собой серьезный риск DDoS (одна из них была помечена как критическая), но восемь ошибок теперь исправлены, включая самую серьезную из обнаруженных.

Большое дело с искусственной XMR

3 июня разработчик блокчейна на HackerOne объявил об обнаружении в Monero серьезного эксплойта, который дал хакерам возможность  «создавать» поддельные XMR и отправлять их на биржи. В отчете говорится:
«С помощью майнинга специально созданного блока, который все еще проходит проверку демона, злоумышленник может создать транзакцию майнера, которая отображается в кошельке, чтобы включить сумму XMR, выбранную злоумышленником. Мы верим, что это может быть использовано для кражи денег с бирж ».
Хотя фиктивная ошибка XMR является одной из проблем в Monero - и самые большие проигрыши - это биржи, а не трейдеры или инвесторы, - это показывает, что даже самые частные и ориентированные на безопасность монеты могут быть скомпрометированы. Это не что иное, как очень видимая угроза для всей экосистемы. Криптовалюта абсолютно бесполезна, если она не в состоянии выполнить свое основополагающее обещание безопасности и прозрачности. С (в настоящее время) ограниченным функционалом для  криптовалют по сравнению с бумажными деньгами, если монеты уступают в своем основном преимуществе, то какой смысл? Генеральный директор биржи Codex Сергей Васильчук рассказал Cointelegraph:
«Большинство уязвимостей были обнаружены несколько месяцев назад, но только сейчас были исправлены. В то время как разработчики Monero делают большую работу, они не могут гарантировать, что новые монеты не были отчеканены путем обмана. Если такая атака произойдет, возможно, пройдет много времени, прежде чем биржа заметит это, если только их механизмы безопасности не достаточно продвинуты, чтобы сканировать хранилище с холодным кошельком и очень быстро сравнивать его с депозитами ».
Специально для Monero - самопровозглашенной монеты конфиденциальности и безопасности - эти недостатки могут показаться непростительными. Они вызывают серьезные сомнения относительно идеи о том, что криптовалюты, как правило, являются непогрешимыми и возлагают больше бремени на биржи для проведения регулярных аудитов и более избирательного подхода к  токенам, которые они перечисляют. До сих пор эта концепция не была продуманно продумана, но с последними проблемами в Monero, мы можем увидеть общеотраслевые усилия по очистке магазина. Огромное количество проблем, выявленных Monero одновременно, даже если большинство из них уже исправлено, показывает отчаянные усилия, предпринимаемые проектами для устранения пробелов вскоре после их появления.

Моно Багз срывает шторы на крипто

Еще одна проблема, которая была обнаружена в Monero, заключается в том, что криптография очень восприимчива к эффекту домино, учитывая, что новейшие решения часто являются стеками программного обеспечения блокчейна первой итерации. Другая критическая проблема, о которой сообщалось в HackerOne, касалась всех токенов, использующих прикладной уровень CryptoLive, а не только Monero. Ошибка CryptoLive, которая привела к восприимчивости к DDoS, затронет все проекты,  биржи криптовалюты, на которых эти монеты появляются, и инвесторов. Это иллюстрирует идею о том, что крипто не герметичен, и что его сплоченная экосистема может быть готова к заражению.
Тем не менее, есть некоторая серебряная подкладка к этим недавним событиям: не было никаких сообщений об этих ошибках, появляющихся в других местах - и тот факт, что Monero довел это до сведения сообщества охотно, много значит - и прогрессивный угол, способный обратиться к потенциальному домино эффект. Будучи исторически публичным (вместо того, чтобы мутить воду) о проблемах в их программном обеспечении, Monero эффективно предупреждает других в пространстве о потенциальных затруднениях и показывает, что он привержен своим пользователям. Это также относится и к прошлому году, когда компания обнаружила ошибку в кошельке Monero и сразу же разрешила публичное заявление, предупреждающее о рисках и новизне крипто.
В связи с этим Чарльз Гийем, главный специалист по безопасности аппаратного кошелька Ledger, сказал в беседе с Cointelegraph, что прозрачность повышает доверие к этим блокчейнам. С другой стороны, раскрытие, ставящее пользователей под угрозу, было бы безответственным.
Ни одна компания, которая была бы заинтересована только в капитале или в том, чтобы быть «первопроходцем», а не лидером блокчейна, не опубликует, что их выпуски «снова являются эффективным напоминанием о том, что криптовалюта и соответствующее программное обеспечение все еще находятся в зачаточном состоянии и, таким образом, весьма подвержены риску». к (критическим) ошибкам », как это сделал Монеро в недавнем сообщении в блоге .
Еще одна проблема, которая возникает из-за всей этой ситуации с XMR, - это проблема с погашением ошибок. Является ли количество ошибок достаточным методом для выявления проблем безопасности в пространстве блокчейна, или обработка собственных проблем Monero демонстрирует необходимость лучшего или более быстрого решения? Guillemet также прокомментировал Cointelegraph относительно этого:
«Программы Bounty - отличный способ побудить исследователей безопасности вести себя ответственно. Это становится проблематичным, когда компании / организации используют вознаграждения для передачи своей работы по обеспечению безопасности. Заемщики не должны заменять общедоступные команды, безопасную разработку и аудиты третьих сторон признанными лабораториями. Распространенная ошибка заключается в том, что программа с открытыми исходными кодами и наградами гарантирует безопасность. Это явно неправильно, и мы видели много примеров этого ».

Монеро просто последний

Другие крупные взломы, происходящие в криптоиндустрии, помогают разобраться в проблемах Монеро, и, уменьшая масштаб, быстро понимают, что технология может быть не готова для массового потребления, как она существует сейчас. Если бы децентрализованное приложение или платформа в масштабе многих популярных сегодня - Facebook Messenger, WeChat, Airbnb - было бы взломано так же, как Monero, это был бы международный кризис в той же лиге, что и в Cambridge Analytica или за ее пределами. Честно говоря, размер некоторых крипто-хаков должен сделать нас благодарными за то, что цифровые токены не являются большей частью того, как мир работает в данный момент.
В начале этого годаежемесячное количество уязвимостей в основных платформах и проектах блокчейнов возросло до 43, при этом проблемы были обнаружены в  Coinbase , Brave, Tendermint, Ledger и других. В настоящее время толпа хакеров в «белой шляпе» и внутренние разработчики составляют большую часть потового капитала, инвестируемого в исправления ошибок, причем десятки тысяч каждый месяц выделяются проектами, которые приносят награды своим самым большим глюкам. 
Регуляторные органы, несомненно, борются с подавляющей и нестабильной пирамидой проектов, которые им поручено организовать, но это должно произойти (даже с ограничивающим набором правил, который подходит всем), прежде чем проект с кодом, напоминающим швейцарский сыр, станет разрешено обрабатывать огромные публичные данные и средства. Чарльз Гийем считает, что «Monero - не первый пример и, к сожалению, не последний». Он продолжил, пояснив шаги, которые необходимо предпринять таким платформам, чтобы защитить себя от таких ситуаций: 
«Красная команда, независимая третья партийный аудит, рецензирование научных статей. Новые криптографические протоколы требуют времени для пересмотра и оценки ».
Binance Chain - и поддерживаемая им платформа начальных биржевых предложений, Binance Launchpad - полагаются, например, на Tendermint, но что произойдет с зарождающимися проектами Binance, если противный подвиг будет слишком долго гадить? Последствия не требуют догадок. Хотя Monero продемонстрировал, что подъем на мейнстрим может занять больше времени, чем предполагалось, он также показал нам самый безопасный путь в гору, и именно здесь проекты блокчейнов поддерживают друг друга, а не стремятся к финишной черте.

Источник 

Комментариев нет:

Отправить комментарий