在Libra脚本中找到并修补漏洞

Libra开源脚本语言Move具有一个漏洞，可以让黑客操纵网络的智能合约。

这个漏洞是由OpenZeppelin区块链安全公司发现的。 OpenZeppelin还为其他领先的加密货币企业提供服务，包括Coinbase，Brave浏览器和以太坊基金会。

一旦公司披露了调查结果，Libra团队就会迅速修补该漏洞。

Move脚本语言允许程序员定义自定义资源类型，其中资源无法复制或删除，但只能更改其存储位置。该漏洞存在于Move的中间表示语言编译器中，该编译器允许操纵内联注释，恶意代码可以通过该注释传播通过网络。

“随着加密的普及，公司审计并确保其网络安全至关重要。Libra是开创性的，通过在流程早期开源代码，他们如何参与社区是很棒的。因此，我们能够在Libra网络上线之前找到这个漏洞，避免潜在的破坏性影响。我们的团队与Libra团队分享了几个漏洞利用场景，说明了他们为什么需要快速解决这个问题。“ – 公司首席执行官Demian Brener表示。

OpenZeppelin在他们的博客上提供了更多细节，包括恶意演员可能利用代码的场景：

“漏洞的潜在影响可能有很大差异，取决于i）每个特定模块及其使用案例的业务逻辑，ii）Move IR语言的当前和未来特征，以及iii）用于提交字节码的开发人员平台到Libra网络。可以想到的一些潜在的利用场景是：

• 一个用于交易所费用的资产（Libra Coins或Libra网络上的任何其他资产）的水龙头可以部署一个收费的恶意模块但从未实际提供将这种资产铸造给用户的可能性。
• 声称保留存款冻结并在一段时间后释放存款的钱包实际上可能永远不会释放这些资金。
• 支付拆分器模块似乎将某些资产分开并将其转发给多方，实际上可能永远不会将相应的部分发送给其中的一些。
• 采用敏感数据并应用某种加密货币操作来模糊它的模块（例如散列或加密货币操作）实际上可能永远不会应用这种操作。“

该帖子还介绍了Libra团队的时间表以及它如何响应审计。团队移动速度相对较快，并引入了一个补丁来防止漏洞的使用。

到目前为止，关于Libra智能合约的细节很少，除了它们是可编程的。

特色图片：The Register

来源：https://coindoo.com/vulnerability-found-and-patched-in-libra-script/

0xzx.com全天候为您服务，让您随时了解所有加密货币信息。喜欢我们做什么？向我们提供一些令人兴奋的全新区块链资讯