Исправлена уязвимость в контрактном языке Facebook для криптовалюты Libra

Источник · Перевод автора

Уязвимость в коде с открытым исходным кодом Libra, которая позволила бы злоумышленникам манипулировать умными контрактами, была обнаружена и исправлена сторонней аудиторской фирмой, специализирующейся на криптовалюте.

В частности, разработчики, работающие для стартапа OpenZeppelin, обнаружили уязвимости в Move, языке сценариев, разработанном Facebook для проекта криптовалюты Libra с открытым исходным кодом, усилием, поддерживаемым такими крупными компаниями, как Facebook, Lyft, Uber и MasterCard. Если это разрешено в исполняемом коде, уязвимости, раскрытые команде Libra, могут быть серьезными.

«Уязвимость в компиляторе Move IR позволяет злоумышленникам вводить исполняемый код в свои умные контракты, замаскированные под встроенные комментарии», — сказал генеральный директор OpenZeppelin Демиан Бренер (Demian Brener) в интервью CoinDesk.

Он продолжил:

«Хорошей новостью является то, что она была найдена и исправлена до того, как платформа была запущена. Проблемы, когда-то считавшиеся безобидными, могут стать более серьезными в условиях цепочки блоков, потому что проверяемость заменяет доверие».

Основанная в 2015 году, OpenZeppelin работает с ведущими криптовалютами, блокчейнами и интернет-компаниями, включая Coinbase, Brave browser и Ethereum Foundation. Авторы Move работают в Calibra, дочерней компании Facebook, специализирующейся на разработке кошельков, и предоставили язык для некоммерческой Ассоциации Libra по лицензии Creative Commons.

Бренер сказал, что код был раскрыт Libra 6 августа, и команда Libra оценивает и исправляет ошибку в течение следующего месяца. По состоянию на 4 сентября патч был рассмотрен и подтвержден как исправленный OpenZeppelin.

Стабильная монета Libra будет иметь определенные программируемые функции, такие как возможность заключать умные контракты. Полные особенности этих умных контрактов еще не раскрыты.

Бренер сказал CoinDesk, что команда Libra очень отзывчива на аудит.

По словам Бреннера, по мере того, как большие протоколы продолжают развиваться по размеру и объему, аудиты приобретают все большее значение. По его словам, такие проекты, как Libra, с потенциалом для международной аудитории, требуют дополнительного изучения.

«Мы видим, насколько огромными и сложными являются эти системы. Libra являются первыми из многих, которые появятся… и эти системы запускаются и управляют миллионами долларов миллиардами людей. Важно знать, что представляют собой эти сложные системы … люди [должны] осознавать потенциал».

Ранее в прошлом месяце Open Zeppelin завершил аудит по протоколу децентрализованного финансирования Compound, в котором раскрыта возможность получения небольших беспроцентных займов. Ранее сегодня он получил инвестиции от Coinbase.