«Критическая» уязвимость в кошельке Beam могла поставить под угрозу средства, говорят разработчики после исправления

Разработчики Криптовалюта Beam, ориентированной на конфиденциальность, сообщили, что «критическая» ошибка, обнаруженная и впоследствии исправленная в программном обеспечении их кошелька на прошлой неделе, могла подвергнуть средства пользователей непосредственному риску.

Как указано в Mediumпочтаопубликовано сегодня, уязвимость позволяла злоумышленнику создавать «модифицированные транзакции» и впоследствии отправлять средства непосредственно на кошелек злоумышленника.

В эксклюзивном интервью CoinDesk технический директор Beam Алекс Романов объяснил, что, используя систему защищенных досок объявлений Beam (SBBS) — специально разработанную систему для обеспечения автономного зашифрованного обмена сообщениями между кошельками Beam — злоумышленники, «в настоящее время прослушивающие активные адреса SBBS… смогут заставить эти кошельки отправлять деньги злоумышленнику».

Романов подчеркнул, что проблема касается конкретного приложения и никак не связана с Технологии повышения конфиденциальности. мимблвимбл, говоря:

«Уязвимость не связана с mimblewimble или криптографией или какой-либо базовой Технологии. По сути, это ошибка в самом приложении… Она просто повлияла на кошельки, поскольку можно было создать эту конкретную транзакцию».

И хотя существование уязвимости было раскрыто общественности в тот же день, когда ее обнаружила внутренняя команда разработчиков Beam, точный характер угрозы не был обнародован до сегодняшнего дня.

По словам Романова, это сделано для того, чтобы не допустить открытия «возможных векторов атак» для пользователей, которые не видели объявления об уязвимости.в прошлую среду.

Поясняя, что люди «не всегда находятся в сети, иногда бывают разницы во времени, люди могут спать», Романов рассказал CoinDesk , что сокрытие дополнительных подробностей было способом выиграть время для пользователей, «особенно пулов и бирж», для внедрения исправления кода.

Говоря о выпущенном патче, Романов объяснил, что исправление было относительно простым.

«Мы просто предотвратили этот конкретный сценарий, при котором эта пользовательская транзакция была бы принята работающим кошельком, и все», — сказал Романов CoinDesk.

Следующее обновление

Beam официально запущенв четверг, 3 января. С этого момента Романов сообщил, что отзывы пользователей уже включены в новую версию программного обеспечения Beam, которая в настоящее время проходит тестирование и будет выпущена «в ближайшие пару дней».

«Мы учли все вопросы, поднятые пользователями, все запросы, все недопонимания, которые в ретроспективе стали совершенно очевидны, поскольку mimblewimble — это совсем новая Технологии … и мы создали обновление, которое улучшит пользовательский опыт», — сказал Романов.

Назвав ее версией 1.0.1, Романов подчеркнул, что использование систем Beam в результате mimblewimble заставило «пулы и биржи существенно изменить свой способ работы и обработки транзакций».

«Было много кривых обучения со всех сторон… [Обновление] уменьшит количество потенциальных недоразумений или проблем. Иногда, даже если система функционирует правильно, [пользователю] не ясно, что происходит», — сказал Романов CoinDesk:

Кошелек изображениечерез Shutterstock

Эта статья и ее заголовок были обновлены для ясности.