Vulnérabilité corrigée dans le contrat Facebook pour la Cryptomonnaie Libra

Une vulnérabilité dans le code open source de Libra qui aurait permis à des acteurs malveillants de manipuler des contrats intelligents a été découverte et corrigée par un cabinet d'audit tiers spécialisé dans la Cryptomonnaie.

Plus précisément, les développeurs travaillant pour la startup OpenZeppelin ont découvert des vulnérabilités dans Move, le langage de scriptdéveloppé par Facebook pour le projet de Cryptomonnaie open source Libra, un effortsoutenu par de grandes entreprisesy compris Facebook, Lyft, Uber et MasterCard. Si elles avaient été autorisées dans le code exécutable, les vulnérabilités révélées à l'équipe Libra auraient pu être graves.

« La vulnérabilité du compilateur Move IR permet aux acteurs malveillants d'introduire du code exécutable dans leurs contrats intelligents déguisés en commentaires en ligne », a déclaré le PDG d'OpenZeppelin, Demian Brener, à CoinDesk.

Il a continué :

La bonne nouvelle, c'est que le problème a été détecté et corrigé avant la mise en service de la plateforme. Des problèmes autrefois considérés comme bénins peuvent s'aggraver dans le contexte de la blockchain, car l'auditabilité remplace la confiance.

Fondée en 2015, OpenZeppelin collabore avec des entreprises leaders dans les Cryptomonnaie, de la blockchain et d'Internet, notamment Coinbase, le navigateur Brave et la Fondation Ethereum . Les auteurs de Move travaillent chez Calibra, une filiale de Facebook spécialisée dans le développement de portefeuilles, et ont contribué au développement du langage à l'association à but non lucratif Libra Association sous licence Creative Commons.

Brener a déclaré que le code avait été communiqué à Libra le 6 août, et que l'équipe Libra avait évalué et corrigé le bug au cours du mois suivant. Le 4 septembre, le correctif avait été examiné et confirmé comme corrigé par OpenZeppelin.

Le stablecoin Libra sera doté de fonctionnalités programmables, comme la possibilité de créer des contrats intelligents. Les caractéristiques complètes de ces contrats intelligents n'ont pas encore été dévoilées.

Brener a déclaré à CoinDesk que l'équipe Libra était très réactive aux audits.

Alors que les protocoles de plus grande envergure continuent de se développer en taille et en portée, Brener a déclaré que les audits ne font que gagner en importance. Des projets comme Libra, susceptibles d'atteindre une audience internationale, nécessitent un examen plus approfondi, a-t-il ajouté.

Nous constatons l'ampleur et la complexité de ces systèmes. Libra est le premier d'une longue série… Ces systèmes, une fois opérationnels, gèrent des millions de dollars gérés par des milliards de personnes. Il est important de comprendre la nature de ces systèmes complexes… chacun doit être conscient de leur potentiel.

Plus tôt le mois dernier, Open Zeppelin a conclu un audit sur Compound, un protocole de Finance décentralisée, qui révélait la possibilité de contracter de petits prêts sans intérêt. Plus tôt dans la journée, il a reçu un investissement de Coinbase.

Demian Brener, fondateur d'OpenZepplin, via les archives CoinDesk