Facebookਦੀ ਲਿਬਰਾ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਹੈਕ ਕੀਤੀ ਗਈ - ਲਿਬਰਾ ਕੋਡ ਦੇ ਸ਼ੁਰੂਆਤੀ ਸੰਸਕਰਣ ਵਿੱਚ ਮੁੱਖ ਸੁਰੱਖਿਆ ਨੁਕਸ ਲੱਭੇ ਗਏ ਹਨ...

ਵਿੱਚ ਇੱਕ ਸੁਰੱਖਿਆ ਛੇਕ ਦੀ ਖੋਜ ਕੀਤੀ ਗਈ ਸੀ Facebookਦੀ ਛੇਤੀ ਹੀ ਲਾਂਚ ਹੋਣ ਵਾਲੀ ਕ੍ਰਿਪਟੋਕਰੰਸੀ, 'ਲਿਬਰਾ'।

ਕਮਜ਼ੋਰੀ ਦੀ ਖੋਜ OpenZeppelin ਦੁਆਰਾ ਕੀਤੀ ਗਈ ਸੀ, ਇੱਕ ਫਰਮ ਜਿਸ ਨੇ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਉਦਯੋਗ ਵਿੱਚ ਕਈ ਪ੍ਰਮੁੱਖ ਖਿਡਾਰੀਆਂ ਲਈ ਸੁਰੱਖਿਆ ਆਡਿਟ ਕੀਤੇ ਹਨ ਜਿਸ ਵਿੱਚ Coinbase, Ethereum Foundation, Brave, Bitgo, Shapeshift ਅਤੇ ਹੋਰ ਵੀ ਸ਼ਾਮਲ ਹਨ।

ਕੋਡ ਦੇ ਤੌਰ 'ਤੇ ਲਾਗੂ ਕੀਤੇ ਜਾਣ ਵਾਲੇ ਟੈਕਸਟ ਲਈ ਸ਼ੋਸ਼ਣ ਦੀ ਇਜਾਜ਼ਤ ਦਿੱਤੀ ਗਈ ਹੈ, ਜੋ ਨੁਕਸਾਨ ਰਹਿਤ ਇਨਲਾਈਨ ਟਿੱਪਣੀਆਂ ਜਾਪਦੀ ਹੈ। ਫਰਮ ਨੇ ਕੁਝ ਉਦਾਹਰਣਾਂ ਪ੍ਰਦਾਨ ਕੀਤੀਆਂ ਹਨ ਕਿ ਕਿਵੇਂ ਇੱਕ ਬੁਰਾ ਅਭਿਨੇਤਾ ਇਸ ਕਮਜ਼ੋਰੀ ਦੀ ਵਰਤੋਂ ਕਰ ਸਕਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਇੱਕ ਟੂਟੀ ਜੋ ਫ਼ੀਸ ਦੇ ਬਦਲੇ ਸੰਪਤੀਆਂ (ਲਿਬਰਾ ਸਿੱਕੇ ਜਾਂ ਲਿਬਰਾ ਨੈੱਟਵਰਕ 'ਤੇ ਕੋਈ ਹੋਰ ਸੰਪੱਤੀ) ਮਿੰਟ ਕਰਦੀ ਹੈ, ਇੱਕ ਖਤਰਨਾਕ ਮੋਡੀਊਲ ਨੂੰ ਤੈਨਾਤ ਕਰ ਸਕਦਾ ਹੈ ਜੋ ਇੱਕ ਫੀਸ ਲੈਂਦਾ ਹੈ ਪਰ ਅਸਲ ਵਿੱਚ ਕਦੇ ਵੀ ਉਪਭੋਗਤਾ ਨੂੰ ਅਜਿਹੀ ਸੰਪੱਤੀ ਨੂੰ ਮਿਨਟ ਕਰਨ ਦੀ ਸੰਭਾਵਨਾ ਪ੍ਰਦਾਨ ਨਹੀਂ ਕਰਦਾ।
• ਇੱਕ ਬਟੂਆ ਜੋ ਜਮ੍ਹਾਂ ਰਕਮਾਂ ਨੂੰ ਫ੍ਰੀਜ਼ ਕਰਨ ਦਾ ਦਾਅਵਾ ਕਰਦਾ ਹੈ ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਸਮੇਂ ਦੇ ਬਾਅਦ ਜਾਰੀ ਕਰ ਸਕਦਾ ਹੈ ਅਸਲ ਵਿੱਚ ਕਦੇ ਵੀ ਅਜਿਹੇ ਫੰਡ ਜਾਰੀ ਨਹੀਂ ਕਰ ਸਕਦਾ ਹੈ।
• ਇੱਕ ਭੁਗਤਾਨ ਸਪਲਿਟਰ ਮੋਡੀਊਲ ਜੋ ਕੁਝ ਸੰਪੱਤੀ ਨੂੰ ਵੰਡਦਾ ਪ੍ਰਤੀਤ ਹੁੰਦਾ ਹੈ ਅਤੇ ਇਸਨੂੰ ਇੱਕ ਤੋਂ ਵੱਧ ਪਾਰਟੀਆਂ ਨੂੰ ਅੱਗੇ ਭੇਜਦਾ ਹੈ ਅਸਲ ਵਿੱਚ ਉਹਨਾਂ ਵਿੱਚੋਂ ਕੁਝ ਨੂੰ ਕਦੇ ਵੀ ਸੰਬੰਧਿਤ ਹਿੱਸਾ ਨਹੀਂ ਭੇਜ ਸਕਦਾ ਹੈ।
• ਇੱਕ ਮਾਡਿਊਲ ਜੋ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਲੈਂਦਾ ਹੈ ਅਤੇ ਇਸਨੂੰ ਅਸਪਸ਼ਟ ਕਰਨ ਲਈ ਕਿਸੇ ਕਿਸਮ ਦੀ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫਿਕ ਕਾਰਵਾਈ ਨੂੰ ਲਾਗੂ ਕਰਦਾ ਹੈ (ਉਦਾਹਰਨ ਲਈ ਹੈਸ਼ਿੰਗ ਜਾਂ ਐਨਕ੍ਰਿਪਟਿੰਗ ਓਪਰੇਸ਼ਨ) ਅਸਲ ਵਿੱਚ ਕਦੇ ਵੀ ਅਜਿਹੀ ਕਾਰਵਾਈ ਨੂੰ ਲਾਗੂ ਨਹੀਂ ਕਰ ਸਕਦਾ ਹੈ।

ਪਰ ਇਹ ਸ਼ਾਇਦ ਹੀ ਇੱਕ ਪੂਰੀ ਸੂਚੀ ਹੈ, ਜਦੋਂ ਇੱਕ ਸੁਰੱਖਿਆ ਮੋਰੀ ਦੀ ਚਰਚਾ ਕਰਦੇ ਹੋਏ ਜੋ ਕਿਸੇ ਨੂੰ ਕੋਡ ਚਲਾਉਣ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ, ਸੰਭਾਵਨਾਵਾਂ ਬੇਅੰਤ ਹਨ - ਇਹ ਸਭ ਇਸ ਗੱਲ 'ਤੇ ਨਿਰਭਰ ਕਰਦਾ ਹੈ ਕਿ ਉਹ ਕੋਡ ਲਿਖਣ ਵਾਲਾ ਵਿਅਕਤੀ ਕਿੰਨਾ ਰਚਨਾਤਮਕ, ਜਾਂ ਖਤਰਨਾਕ ਹੈ।

ਇੱਥੇ ਕੀ ਆਮ ਹੈ, ਅਤੇ ਕੀ ਨਹੀਂ...

ਜਦੋਂ ਇੱਕ ਪ੍ਰੋਜੈਕਟ ਵਿਕਾਸ ਦੇ ਪੜਾਅ ਵਿੱਚ ਹੁੰਦਾ ਹੈ ਤਾਂ ਸੁਰੱਖਿਆ ਛੇਕਾਂ ਦੀ ਖੋਜ ਆਮ ਤੋਂ ਪਰੇ ਹੈ - ਇਹ ਮਿਆਰੀ ਹੈ।

ਸਿਰਫ ਇੱਕ ਚੀਜ਼ ਜੋ ਸਾਨੂੰ ਹੈਰਾਨੀਜਨਕ ਲੱਗੀ - ਓਪਨਜ਼ੈਪਲਿਨ ਨੇ ਦੱਸਿਆ ਕਿ ਉਹਨਾਂ ਨੇ ਸੂਚਿਤ ਕਰਨ ਦੇ ਵਿਚਕਾਰ ਸਮੇਂ ਦਾ ਵੱਡਾ ਪਾੜਾ Facebook 6 ਅਗਸਤ ਨੂੰ, ਅਤੇ ਮਿਤੀ Facebook ਨੇ ਅੰਤ ਵਿੱਚ 4 ਸਤੰਬਰ ਨੂੰ ਕੋਡ ਫਿਕਸ ਕਰ ਦਿੱਤਾ ਸੀ।

ਇਸ ਤੋਂ ਵੀ ਅਜੀਬ, ਇਸ ਸਮੇਂ ਦੌਰਾਨ ਕੋਡ ਦੇ ਇਸ ਭਾਗ ਵਿੱਚ ਬਦਲਾਅ ਕੀਤੇ ਗਏ ਸਨ, ਪਰ ਉਹਨਾਂ ਤਬਦੀਲੀਆਂ ਨੇ ਸੁਰੱਖਿਆ ਮੋਰੀ ਨੂੰ ਹੋਰ 3 ਹਫ਼ਤਿਆਂ ਲਈ ਖੁੱਲ੍ਹਾ ਛੱਡ ਦਿੱਤਾ।

Facebook ਸੁਰੱਖਿਆ ਨੂੰ ਸਭ ਤੋਂ ਵੱਡੀ ਤਰਜੀਹ ਦਾ ਕਹਿਣਾ ਹੈ...

ਅੰਦਰ ਮੇਰੇ ਸੰਪਰਕਾਂ ਵਿੱਚੋਂ ਇੱਕ ਨਾਲ ਗੱਲ ਕਰ ਰਿਹਾ ਹੈ Facebook, ਉਨ੍ਹਾਂ ਨੇ ਕਿਹਾ ਲਿਬਰਾ "ਕੁਝ ਸਭ ਤੋਂ ਤੀਬਰ ਸੁਰੱਖਿਆ ਆਡਿਟਿੰਗ/ਟੈਸਟਿੰਗ ਕਲਪਨਾਯੋਗ ਹੈ ਅਤੇ ਜਾਰੀ ਰਹੇਗੀ" ਜੋੜਨਾ "ਅਸੀਂ ਬਹੁਤ ਸਾਰੇ ਹੈਕਰਾਂ ਨੂੰ ਲਿਬਰਾ 'ਤੇ ਛੁਰਾ ਮਾਰਨ ਦੇ ਰਹੇ ਹਾਂ, ਅਤੇ ਇਸਨੂੰ ਡਿਵੈਲਪਰਾਂ ਵਿੱਚ ਸਹਿਮਤੀ ਤੋਂ ਬਿਨਾਂ ਲਾਂਚ ਨਹੀਂ ਕੀਤਾ ਜਾਵੇਗਾ ਕਿ ਇਹ ਪੂਰੀ ਤਰ੍ਹਾਂ ਸੁਰੱਖਿਅਤ ਹੈ, ਅਤੇ ਜਨਤਾ ਲਈ ਤਿਆਰ ਹੈ".

ਪੂਰੀ ਨਿਰਪੱਖਤਾ ਵਿੱਚ, ਜਦੋਂ ਕਿ ਮੈਂ ਇਹ ਨਹੀਂ ਕਹਿ ਸਕਦਾ ਕਿ ਮੈਨੂੰ ਯਕੀਨ ਹੈ Facebook ਕ੍ਰਿਪਟੋ ਸਪੇਸ ਵਿੱਚ ਦਾਖਲ ਹੋਣਾ ਇੱਕ ਚੰਗੀ ਗੱਲ ਹੈ - ਇਹ ਚੰਗੀ ਗੱਲ ਹੈ ਕਿ ਉਹ ਸਖ਼ਤ ਟੈਸਟਿੰਗ ਦੁਆਰਾ ਲਿਬਰਾ ਦੀ ਸੁਰੱਖਿਆ ਨੂੰ ਬਾਹਰੀ ਲੋਕਾਂ ਨੂੰ ਰੱਖਣ ਦੇ ਰਹੇ ਹਨ।

ਡਿਵੈਲਪਰਾਂ ਦੇ ਇੱਕ ਸਮੂਹ ਤੋਂ ਵੱਧ ਖ਼ਤਰਨਾਕ ਕੁਝ ਵੀ ਨਹੀਂ ਹੈ ਇਸ ਲਈ ਇਹ ਯਕੀਨੀ ਹੈ ਕਿ ਉਹਨਾਂ ਦਾ ਕੋਡ ਨਿਰਦੋਸ਼ ਹੈ, ਉਹ ਜਨਤਾ ਨੂੰ ਜਾਰੀ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਉਸ ਦਾਅਵੇ ਦੀ ਜਾਂਚ ਕਰਨ ਦੀ ਲੋੜ ਨਹੀਂ ਦੇਖਦੇ। ਇਸ ਤਰ੍ਹਾਂ ਅਸੁਰੱਖਿਅਤ ਸੌਫਟਵੇਅਰ ਹਜ਼ਾਰਾਂ, ਜਾਂ ਲੱਖਾਂ ਕੰਪਿਊਟਰਾਂ 'ਤੇ ਸੁਰੱਖਿਆ ਮੋਰੀ ਖੋਲ੍ਹਦਾ ਹੈ।

-------
ਲੇਖਕ ਬਾਰੇ: ਰੌਸ ਡੇਵਿਸ
ਈ-ਮੇਲ: Ross@GlobalCryptoPress.com Twitter:@RossFM
ਸੈਨ ਫਰਾਂਸਿਸਕੋ ਨਿਊਜ਼ ਡੈਸਕ