Vulnerabilità corretta nel linguaggio contrattuale di Facebook per la Criptovaluta Libra

Una società di revisione contabile terza specializzata in Criptovaluta ha scoperto e corretto una vulnerabilità nel codice open source di Libra che avrebbe consentito a malintenzionati di manipolare i contratti intelligenti.

In particolare, gli sviluppatori che lavorano per la startup OpenZeppelin hanno trovato vulnerabilità in Move, il linguaggio di scriptingsviluppato da Facebook per il progetto Criptovaluta open source Libra, uno sforzosostenuto da grandi aziendetra cui Facebook, Lyft, Uber e MasterCard. Se consentite nel codice eseguibile, le vulnerabilità divulgate al team Libra avrebbero potuto essere gravi.

"La vulnerabilità nel compilatore Move IR consente agli autori di attacchi informatici di introdurre codice eseguibile nei loro contratti intelligenti camuffato da commenti in linea", ha detto a CoinDesk il CEO di OpenZeppelin Demian Brener.

Ha continuato:

"La buona notizia è che è stato trovato e corretto prima che la piattaforma fosse attiva. Problemi un tempo considerati benigni possono diventare più gravi nell'ambiente blockchain perché l'auditabilità sostituisce la fiducia".

Fondata nel 2015, OpenZeppelin collabora con le principali aziende Criptovaluta, blockchain e Internet, tra cui Coinbase, Brave browser e la Ethereum Foundation. Gli autori di Move lavorano presso Calibra, una sussidiaria di Facebook focalizzata sullo sviluppo di wallet, e hanno contribuito con il linguaggio alla Libra Association senza scopo di lucro con una licenza Creative Commons.

Brener ha detto che il codice è stato divulgato a Libra il 6 agosto, con il team di Libra che ha valutato e risolto il bug nel mese successivo. Il 4 settembre, la patch è stata esaminata e confermata come corretta da OpenZeppelin.

La stablecoin di Libra avrà alcune funzionalità programmabili, come la possibilità di creare contratti intelligenti. Le funzionalità complete di questi contratti intelligenti devono ancora essere divulgate.

Brener ha dichiarato a CoinDesk che il team di Libra è stato molto reattivo alle verifiche.

Mentre i protocolli più ampi continuano a svilupparsi in termini di dimensioni e portata, Brener ha affermato che gli audit stanno solo crescendo in importanza. Progetti come Libra, con il potenziale per un pubblico internazionale, richiedono un esame più approfondito, ha affermato.

"Stiamo vedendo quanto siano grandi e complessi questi sistemi. Libra è il primo di molti che arriveranno... e questi sistemi vanno in diretta e gestiscono milioni di dollari da miliardi di persone. È importante sapere cosa sono questi sistemi complessi... le persone [devono essere] consapevoli del potenziale".

All'inizio del mese scorso, Open Zeppelin ha concluso un audit su Compound, un protocollo Finanza decentralizzata, che ha rivelato la possibilità di ottenere piccoli prestiti senza interessi. In precedenza oggi, ha ricevuto un investimento da Coinbase.

Demian Brener, fondatore, OpenZepplin, tramite gli archivi CoinDesk