Mastodon的关键漏洞修复对加密货币安全漏洞的影响

修复Mastodon关键漏洞对加密货币安全漏洞的影响

上周,由Mozilla基金会资助的研究人员指出了Twitter类社交媒体平台Mastodon上的几个关键漏洞,并进行了修补。这种情况展示了开源软件开发中的基本权衡之一:公开可用的代码可以被任何人审查和利用。

有时,这意味着漏洞被所谓的白帽黑客发现,有时则被留下来被利用。在Mastodon的情况下,Mozilla支付德国安全公司Cure53进行社交网络的安全测试,之后宣布计划将Mastodon用于一些企业通信。

这是《The Node newsletter》的摘录,该新闻简报每天汇总了CoinDesk及其他地方的最重要的加密货币新闻。您可以订阅此简报以获取完整版。

特别在埃隆·马斯克收购推特之后,Mastodon已成为大众使用的最流行的去中心化应用之一。Mastodon自称为“联邦”,因为它由几千个独立的“实例”组成,这些实例为人们提供内容(与像Twitter或Facebook这样的公司不同,它们维护自己的服务器)。任何人都可以运行自己的实例或请求加入其他实例,这些实例可以设定自己的内容审核标准。

关于被修补的五个漏洞没有透露太多细节,不过独立安全研究人员Kevin Beaumont在Mastodon上写道,一个被称为#TootRoot的潜在攻击可能会让黑客获取Mastodon实例的根访问权限,从而可能引发各种问题,包括被入侵的账户和其他钓鱼计划。

另请参阅:加密货币黑客往往会归还被盗资金:TRM Labs

Mastodon gGmbH是维护Mastodon开源软件的组织,将其中一个漏洞评为关键漏洞,将另外三个漏洞评为高风险漏洞。根据Ars Technica的报道,大型服务器在最近几周也收到了有关安全漏洞的预告,以便在修补程序发布后能够迅速部署修补程序。

据我所知,Mastodon的1450万用户中没有受到这些有问题的代码的影响,这些代码似乎没有被利用。但是,这种情况确实引发了一些令人不安的担忧,包括如果Mozilla对Mastodon安全性不感兴趣,关键问题会潜伏多久,以及恶意行为者是否可能首先找到漏洞。

这些都是自由和开源软件领域的实际问题,包括加密货币领域(也许尤其如此)。抛开确保每个人下载修补程序或运行最新软件的挑战不谈(如果您是Mastodon用户,请检查您使用的实例是否为4.1.3版本或更高版本,或者督促服务器进行更新),共享网络的安全性完全受市场力量的制约。

对黑客来说,金融激励既可以正常披露问题而获得漏洞赏金,也可以转身在暗网市场上出售恶意信息。并且并不总是有Mozilla愿意支付详细审计的机构来确保这些系统的安全。

加密货币使问题变得更加复杂,它将应用程序变成了“数百万美元的漏洞赏金”或黑客寻求快速获利的机会。仅去年,就有31亿美元从去中心化金融(DeFi)协议中被盗。即使协议基金会或用户联合支付进行代码审查,审核师的认可也不总能令人信任(这往往既因为无能也因为贪婪)。

另请参阅:将黑客攻击称为漏洞最小化了人为错误| 见解

加密货币用户和开发者Diyahir Campos最近曝光了DeFi的“断路器”,可以暂停出现异常提款的协议。这是一种“自愿选择”,虽然不能完全保证用户的安全,但可以减少黑客攻击造成的损失。

像这样的解决方案是值得称赞的,即使没有容易解决加密货币问题的方法(绝对没有“一刀切”的选择)。当然,使用任何计算机程序都存在基本风险,不管它是否是开源的。切莫忘记,即使是看起来最能胜任的机构,如美国国防部或微软,也不免疫于灾难性的漏洞。

自由和开源软件社区培养了一种真正的团结和共同责任的文化,找到并披露问题所得到的尊重往往比他们本可以赚到的金钱更有价值。无论Mozilla等机构是否在采用的道路上,让这成为加密货币的冷静安慰。

We will continue to update 算娘; if you have any questions or suggestions, please contact us!

Share:

Was this article helpful?

93 out of 132 found this helpful

Discover more

区块链

Friend.tech威胁用户,如果他们使用盗版应用程序,将会受到惩罚

去中心化社交媒体应用@Friendtech发布了一项具有争议的新声明,宣布任何选择参与分叉或仿冒平台的现有用户将被取消积分

区块链

VanEck、ARK提交的文件“正式”启动了以太坊现货ETF的时钟:分析师

证券交易所CBOE已要求SEC审查ARK Invest,21Shares和VanEck的现货以太坊ETF申请,以便在CBOE的交易所上市,这促使彭博ETF分析...

区块链

以太坊价格在被拒绝后暴跌,空头行动是否回归?

以太坊(Ethereum)价格在与美元兑换率下跌至1620美元以下时获得了熊市动力ETH显示出了熊市迹象,并有可能进一步下跌至1540美元

区块链

“以太坊的上海升级未能提振网络活动,根据摩根大通的说法”

根据报告,以太坊的日交易量、日活跃地址和锁定总价值自升级以来都有所下降

财务

以太坊创始人维塔利克·布特林提供财务建议:分散投资、积攒财富自由👨‍💼💰

以太坊联合创始人维塔利克·布特林严厉批评了一篇针对投资者不要选择多样化投资组合的帖子,称其为“糟糕的建议”在评论中,他强...

区块链

全球投资公司 VanEck 预测以太坊在2030年的价格 - 这是你需要知道的

全球投资公司VanEck预计,如果以太坊在2030年实现510亿美元的年收入,ETH的价格将达到11,800美元