在 Mozilla 基金会资助的研究人员向这些漏洞致敬后,类似于 Twitter 的社交媒体平台 Mastodon 上的几个严重错误上周得到了修补。这种情况显示了开源软件开发的基本权衡之一:任何人都可以审查和利用公开可用的代码。
有时这意味着错误会被所谓的白帽黑客发现,有时它们会被利用。以 Mastodon 为例,Mozilla 宣布计划使用 Mastodon进行一些企业通信后,向德国安全公司 Cure53 支付了笔测试该社交网络的费用。
这是 Node 时事通讯的摘录,该时事通讯是 CoinDesk 及其他领域最关键的加密货币新闻的每日综述。您可以在此处订阅以获取完整的新闻通讯。
特别是在后埃隆·马斯克收购 Twitter 时代,Mastodon 已成为人们最流行的去中心化应用程序之一。 Mastodon 称自己为“联盟”,因为它由数千个独立的“实例”组成,为人们提供内容(与 Twitter 或 Facebook 等维护自己服务器的公司不同)。任何人都可以运行自己的实例或要求加入另一个实例,这可以设定自己的审核标准。
尽管独立安全研究员 Kevin Beaumont 在 Mastodon 上撰文称,一个被称为 #TootRoot 的潜在漏洞可能会让黑客获得 Mastodon 实例的根访问权限,但关于已修复的五个漏洞的信息并未透露太多,这可能会导致所有类型的问题,包括受损帐户和其他网络钓鱼计划。
另请参阅: 加密货币黑客往往会归还被盗资金:TRM 实验室
Mastodon gGmbH 是维护 Mastodon 开源软件的组织,将另外一个错误评为“严重”,将另外三个错误的严重程度评为“高”和“中”。据 Ars Technica 称,最近几周大型服务器也收到了有关安全漏洞的预先公告,因此他们可以准备好在补丁上线时快速部署补丁。
据我所知,Mastodon 的 1450 万用户中没有一个受到不良代码行的影响,这些代码行似乎尚未被利用。但这种情况确实引起了一些令人不安的担忧,包括如果 Mozilla 没有兴趣花钱看看 Mastodon 是否安全,那么这些关键问题会被搁置多久。以及一个坏演员是否可以先得到它。
这些是自由和开源软件领域的实时问题,包括(也许尤其是)加密领域。抛开确保每个人都下载补丁或运行最新软件的挑战 – (如果您是 Mastodon 用户,请检查您使用的实例是否为 4.1.3 或更高版本,或者要求服务器进行更新) – 共享网络的安全完全取决于市场力量。
经济激励对黑客来说是双向的,他们有时可以因正确披露问题而获得错误赏金,或者转身在暗网市场上出售恶意信息。而且 Mozilla 并不总是愿意付费进行深入审核以确保这些系统的安全。
只有加密技术使问题变得更加复杂,加密技术将应用程序变成了“数百万美元的漏洞赏金”,或者是黑客想要快速赚钱的抓包。仅去年一年,去中心化金融(DeFi)协议就被盗了约 31 亿美元。即使协议基金会或用户联合起来支付代码审查费用,审计员的批准印记也并不总是可信(通常是由于无能和贪婪)。
另请参阅: 将黑客称为漏洞利用可最大限度地减少人为错误|观点
Diyahir Campos 是一名加密货币用户和开发人员,他表示自己在 Euler Finance 遭受数百万美元攻击后损失惨重,他最近透露了一款 DeFi“断路器”,可以暂停看到异常提款的协议。这将是一个“选择加入的事情”,诚然,这不会为用户提供完全的安全性,但可以最大限度地减少黑客造成的金钱损失。
像这样的解决方案是令人钦佩的,即使加密货币的问题没有简单的解决办法(而且绝对不是“一刀切”的选择)。当然,使用任何计算机程序都存在基本风险,无论它是否开源。免得我们忘记,即使是看似最有能力的机构,如美国国防部或微软,也不能幸免于灾难性的错误。
自由和开源软件社区培养了一种真正的团结和共同责任的文化,在这种文化中,发现和披露问题所获得的尊重往往比他们本可以赚到的钱更有价值。不管像 Mozilla 这样的机构是否正在接受加密货币,这都算是对加密货币的安慰吧。