Une vulnérabilité « critique » dans le portefeuille Beam aurait pu mettre des fonds en danger, selon les développeurs après la correction

Les développeurs à l'origine de la Cryptomonnaie Beam, axée sur la confidentialité, ont révélé que le bug « critique » découvert et corrigé par la suite dans leur logiciel de portefeuille la semaine dernière aurait pu mettre directement en danger les fonds des utilisateurs.

Comme indiqué dans un MediumpostePubliée aujourd'hui, la vulnérabilité aurait permis à un attaquant de créer des « transactions modifiées » et d'envoyer ensuite des fonds directement dans le portefeuille de l'attaquant.

Dans une interview exclusive avec CoinDesk, le directeur technique de Beam, Alex Romanov, a expliqué qu'en exploitant le Secure Bulletin Board System (SBBS) de Beam - un système sur mesure pour permettre la messagerie cryptée hors ligne entre les portefeuilles Beam - les attaquants « écoutant actuellement les adresses SBBS actives... seraient en mesure de faire en sorte que ces portefeuilles envoient de l'argent à un attaquant. »

Romanov a souligné que le problème était spécifique à l'application et n'était en aucun cas lié à la Technologies améliorant la confidentialité. miaulement, en disant :

« La vulnérabilité n'est pas liée à Mimblewimble, à la cryptographie ou à toute autre Technologies sous-jacente. Il s'agit essentiellement d'un bug dans l'application elle-même… Elle a simplement affecté les portefeuilles, car il aurait été possible de créer cette transaction spécifique. »

Et bien que l’existence de la vulnérabilité ait été révélée au public le jour même où elle a été découverte par l’équipe de développement interne de Beam, la nature exacte de la menace n’a été rendue publique qu’aujourd’hui.

Selon Romanov, la raison était d’empêcher l’ouverture de « vecteurs d’attaque possibles » pour les utilisateurs qui n’avaient pas vu l’annonce de la vulnérabilité.mercredi dernier.

Précisant que les gens ne sont « pas en ligne tout le temps, qu'il y a parfois des décalages horaires, que les gens peuvent dormir », Romanov a déclaré à CoinDesk que le fait de ne pas divulguer davantage de détails était un moyen de gagner du temps pour que les utilisateurs « en particulier les pools et les échanges » mettent en œuvre le correctif de code.

En parlant du patch publié, Romanov a expliqué que le correctif était relativement simple.

« Nous venons d'empêcher ce scénario spécifique dans lequel cette transaction personnalisée aurait été acceptée par un portefeuille en cours d'exécution et c'est tout », a déclaré Romanov à CoinDesk.

La prochaine mise à niveau

Lancement officiel de Beamle jeudi 3 janvierDepuis lors, Romanov a déclaré que les commentaires des utilisateurs sont déjà pris en compte dans une nouvelle mise à niveau du logiciel Beam, actuellement testée et dont la sortie est prévue « dans les prochains jours ».

« Nous avons pris en considération tous les problèmes soulevés par les utilisateurs, toutes les demandes, tous les malentendus qui, rétrospectivement, étaient assez évidents car mimblewimble est une Technologies très nouvelle… et nous avons créé une mise à jour qui améliorera l'expérience utilisateur », a déclaré Romanov.

En l'appelant la version 1.0.1, Romanov a souligné que l'utilisation des systèmes Beam à la suite de mimblewimble a amené « les pools et les échanges à modifier considérablement leur façon de fonctionner et de gérer les transactions ».

« Il y a eu beaucoup d'apprentissage de part et d'autre… [La mise à jour] réduira le nombre de malentendus ou de problèmes potentiels. Parfois, même si le système fonctionne correctement, l'utilisateur ne comprend pas bien ce qui se passe », a déclaré Romanov à CoinDesk:

Portefeuille imagevia Shutterstock

Cet article et son titre ont été mis à jour pour plus de clarté.