Vulnerabilità "critica" nel portafoglio Beam potrebbe aver messo a rischio i fondi, affermano gli sviluppatori dopo la correzione

Gli sviluppatori Criptovaluta Beam, incentrata sulla privacy, hanno rivelato che il bug "critico" scoperto e successivamente corretto nel loro software di portafoglio la scorsa settimana avrebbe potuto mettere direttamente a rischio i fondi degli utenti.

Come affermato in un MediuminviareCome pubblicato oggi, la vulnerabilità avrebbe consentito a un aggressore di creare "transazioni modificate" e successivamente inviare fondi direttamente nel portafoglio dell'aggressore.

In un'intervista esclusiva con CoinDesk, il CTO di Beam Alex Romanov ha spiegato che sfruttando il Secure Bulletin Board System (SBBS) di Beam, un sistema personalizzato per abilitare la messaggistica crittografata offline tra i wallet Beam, gli aggressori "attualmente in ascolto sugli indirizzi SBBS attivi... sarebbero in grado di far sì che questi wallet inviino denaro a un aggressore".

Romanov ha sottolineato che il problema era specifico dell'applicazione e non era in alcun modo correlato alla Tecnologie di miglioramento della privacy mimblewimble, dicendo:

"La vulnerabilità non è correlata a mimblewimble o alla crittografia o a qualsiasi Tecnologie sottostante. Fondamentalmente, è un bug nell'applicazione stessa... Ha solo interessato i wallet perché sarebbe possibile creare questa transazione specifica."

Sebbene l’esistenza della vulnerabilità sia stata resa pubblica lo stesso giorno in cui è stata scoperta dal team di sviluppo interno di Beam, la natura esatta della minaccia non è stata resa pubblica fino ad oggi.

Il motivo di ciò, secondo Romanov, era quello di impedire l’apertura di “possibili vettori di attacco” per gli utenti che non avevano visto l’annuncio della vulnerabilità.mercoledì scorso.

Affermando che le persone "non sono sempre online, a volte ci sono differenze di fuso orario, le persone potrebbero dormire", Romanov ha detto a CoinDesk che trattenere ulteriori dettagli era un modo per far guadagnare tempo agli utenti "in particolare ai pool e agli exchange" per implementare la correzione del codice.

Parlando della patch rilasciata, Romanov ha spiegato che la correzione è stata relativamente semplice.

"Abbiamo appena impedito questo scenario specifico in cui questa transazione personalizzata sarebbe stata accettata da un portafoglio in esecuzione e questo è tutto", ha affermato Romanov a CoinDesk.

Il prossimo aggiornamento

Beam lanciato ufficialmentegiovedì 3 gennaioDa quel momento, Romanov ha detto che il feedback degli utenti è già stato elaborato per un nuovo aggiornamento del software Beam attualmente in fase di test e la cui uscita è prevista "nei prossimi due giorni".

"Abbiamo preso in considerazione tutti i problemi sollevati dagli utenti, tutte le richieste, tutti i malintesi che a posteriori erano piuttosto ovvi perché mimblewimble è una Tecnologie molto nuova... e abbiamo creato un aggiornamento che migliorerà l'esperienza dell'utente", ha affermato Romanov.

Definendolo versione 1.0.1, Romanov ha sottolineato che l'uso dei sistemi Beam come risultato di mimblewimble ha causato "pool e anche exchange a modificare in modo significativo il loro modo di operare e il modo in cui gestiscono le transazioni".

"Ci sono state molte curve di apprendimento da tutte le parti... [L'aggiornamento] ridurrà la quantità di potenziali incomprensioni o problemi. A volte, anche se il sistema funziona correttamente, non è chiaro per [l'utente] cosa sta succedendo", ha detto Romanov a CoinDesk:

Portafoglio immaginetramite Shutterstock

Questo articolo e il suo titolo sono stati aggiornati per maggiore chiarezza.