Vulnerabilidade corrigida na linguagem de contrato do Facebook para Criptomoeda Libra

Uma vulnerabilidade no código-fonte aberto da Libra que permitiria que agentes mal-intencionados manipulassem contratos inteligentes foi descoberta e corrigida por uma empresa de auditoria terceirizada especializada em Criptomoeda.

Especificamente, os desenvolvedores que trabalham para a startup OpenZeppelin encontraram vulnerabilidades no Move, a linguagem de scriptdesenvolvido pelo Facebook para o projeto de Criptomoeda Libra de código aberto, um esforçoapoiado por grandes empresasincluindo Facebook, Lyft, Uber e MasterCard. Se permitidas em código executável, as vulnerabilidades divulgadas à equipe Libra poderiam ter sido severas.

“A vulnerabilidade no compilador Move IR permite que agentes maliciosos introduzam código executável em seus contratos inteligentes disfarçado como comentários em linha”, disse o CEO da OpenZeppelin, Demian Brener, ao CoinDesk.

Ele continuou:

“A boa notícia é que ele foi encontrado e corrigido antes da plataforma estar no ar. Problemas antes considerados benignos podem se tornar mais severos no cenário de blockchain porque a auditabilidade substitui a confiança.”

Fundada em 2015, a OpenZeppelin trabalha com empresas líderes em Criptomoeda, blockchain e internet, incluindo Coinbase, navegador Brave e a Ethereum Foundation. Os autores do Move trabalham na Calibra, uma subsidiária do Facebook focada no desenvolvimento de carteiras, e contribuíram com a linguagem para a Libra Association, uma organização sem fins lucrativos, sob uma licença Creative Commons.

Brener disse que o código foi divulgado para a Libra em 6 de agosto, com a equipe da Libra avaliando e corrigindo o bug no mês seguinte. Em 4 de setembro, o patch foi revisado e confirmado como corrigido pela OpenZeppelin.

A stablecoin da Libra terá certos recursos programáveis, como a capacidade de fazer contratos inteligentes. Os recursos completos desses contratos inteligentes ainda não foram divulgados.

Brener disse ao CoinDesk que a equipe da Libra foi altamente receptiva às auditorias.

À medida que protocolos maiores continuam a se desenvolver em tamanho e escopo, Brener disse que as auditorias estão apenas crescendo em importância. Projetos como Libra, com potencial para um público internacional, exigem escrutínio adicional, disse ele.

“Estamos vendo o quão enormes e complexos esses sistemas são. Libra é o primeiro de muitos que estão por vir… e esses sistemas entram em operação e gerenciam milhões de dólares por bilhões de pessoas. É importante saber o que esses sistemas complexos são… as pessoas [precisam estar] cientes do potencial.”

No início do mês passado, a Open Zeppelin concluiu uma auditoria no Compound, um protocolo Finanças descentralizado, que revelou a capacidade de obter pequenos empréstimos sem juros. Hoje mais cedo, recebeu um investimento da Coinbase.

Demian Brener, fundador, OpenZepplin, via arquivos CoinDesk