What Mastodon’s Critical Bug Fixes Say About Crypto’s Security Vulnerabilities
때때로 그것은 소위 화이트햇 해커들에 의해 버그가 발견되고, 때때로 그것들이 악용될 수 있도록 개방되어 있다는 것을 의미합니다. Mastodon의 경우, Mozilla는 일부 기업 통신에 Mastodon을 사용할 계획을 발표한 후 소셜 네트워크를 테스트하기 위해 독일 보안 회사 Cure53에 비용을 지불했습니다.
구글태그.cmd.push(function() {구글태그.display(‘js-dfp-tag-hGA’); };
이것은 코인데스크와 그 이후에 가장 중요한 암호화 뉴스를 매일 종합하는 노드 뉴스레터에서 발췌한 것입니다. 여기에서 뉴스레터 전체를 구독하시면 됩니다.
특히 Elon-Musk-buyout 이후 트위터 시대에 Mastodon은 일상적인 사람들이 사용하는 가장 인기 있는 분산형 애플리케이션 중 하나가 되었습니다. Mastodon은 자체 서버를 관리하는 Twitter나 Facebook과 같은 회사와는 달리 사람들에게 콘텐츠를 제공하는 수천 개의 개별 “인스턴스”로 구성되어 있기 때문에 스스로를 “연방”이라고 부릅니다. 누구나 직접 실행하거나 다른 인스턴스에 참여하도록 요청할 수 있으며, 이는 자신만의 조정 표준을 설정할 수 있습니다.
독립 보안 연구원인 케빈 보몬트는 Mastodon에 기고했지만 패치가 적용된 5개의 버그에 대해 밝혀진 것은 많지 않습니다. #TootRoot라는 잠재적인 공격으로 인해 해커들이 Mastodon 인스턴스에 대한 루트 액세스 권한을 부여할 수 있었고, 이로 인해 손상된 계정 및 기타 피싱 계획을 포함한 모든 유형의 문제가 발생할 수 있었습니다.
참고 항목: 훔친 돈을 돌려주는 경향이 있는 크립토 해커들: TRM 연구소
Mastodon의 오픈 소스 소프트웨어를 관리하는 조직인 MastodongGmbH는 다른 버그 하나를 중요한 것으로, 다른 버그 세 개를 심각도가 높고 중간 정도로 평가했습니다. Ars Technica에 따르면 대규모 서버는 최근 몇 주 동안 보안 취약점에 대한 사전 공지도 받았습니다. 따라서 패치가 활성화되면 신속하게 패치를 배포할 수 있습니다.
Googletag.dfp.display({googletag.display “js-dfp-tag-p5o’); };
제가 아는 한, Mastodon의 1450만 사용자 중 아무도 악용되지 않은 것으로 보이는 잘못된 코드 라인의 영향을 받지 않았습니다. 그러나 Mozilla가 Mastodon이 안전한지 여부를 확인하기 위해 지불하는 데 관심이 없었다면 중요한 문제가 얼마나 오랫동안 잠잠해졌을지를 포함한 몇 가지 불편한 우려를 제기합니다. 그리고 나쁜 배우가 먼저 그것에 도달할 수 있었는지 여부.
이것들은 암호화를 포함한 자유 및 오픈 소스 소프트웨어의 세계에서 실제 문제입니다. 모든 사용자가 패치를 다운로드하거나 최신 소프트웨어를 실행하도록 하는 문제는 차치하고(Mastodon 사용자인 경우 사용 중인 인스턴스가 버전 4.1.3 이상인지 확인하거나 업데이트할 서버를 검색) 공유 네트워크의 보안은 전적으로 시장의 영향을 받습니다.
재정적 인센티브는 문제를 적절하게 공개한 것에 대해 버그 현상금을 받거나 악의적인 정보를 다크넷 시장에서 판매할 수 있는 해커들을 위한 두 가지 방법을 모두 차단합니다. 또한 Mozilla가 이러한 시스템의 보안을 보장하기 위해 심층적인 감사 비용을 지불할 의향이 있는 것은 아닙니다.
문제는 암호화로 인해 복잡해집니다. 암호화는 응용 프로그램을 “수백만 달러의 버그 현상금”으로 바꾸거나 빠른 수익을 얻고자 하는 해커들을 위해 가방을 움켜잡습니다. 작년에만 분산 금융(DeFi) 프로토콜에서 약 31억 달러가 도난당했습니다. 그리고 프로토콜 재단이나 함께 묶인 사용자가 코드 검토 비용을 지불하더라도 감사인의 승인 도장이 신뢰될 수 있다는 것이 항상 명확한 것은 아닙니다(종종 탐욕만큼이나 무능하기 때문입니다).
참고 항목: 해킹 공격을 호출하면 인적 오류를 최소화할 수 있습니다 | 의견
googletag.tag.dgw(함수 {googletag.display{js-dfp-tag-dgw’; });
오일러 파이낸스의 수백만 달러 공격 이후 손해를 봤다고 말하는 암호화폐 사용자이자 개발자인 Diyahir Campos는 최근 비정상적인 인출을 보는 프로토콜을 일시 중지시키는 DeFi “회로 차단기”를 공개했습니다. 이는 사용자에게 완벽한 보안을 제공하지는 않지만 해킹으로 손실되는 비용을 최소화할 수 있는 “옵션”이 될 것입니다.
!function (e, f, u) {e.src = 1; e.src = u; f.parentNode.insertBefore(e, f); }(document.createElement(‘script’), document.getElementByTagName(‘0), ‘//cdn.taboola.com/libtrc/nasdaq-nasdaq/loader.js’); 창._taboola = 창._taboola || []; _taboola.push({모드: ‘thumbnails-a-mid’, 컨테이너: ‘taboola-mid-article-thumbnails’, 배치: ‘mid article Thumbnails’, target_type: ‘mix’); _taboola.push({article: ‘auto’, url:’, url: ‘mid-all-fit’); 이와 같은 솔루션은 크립토의 문제를 쉽게 수정할 수 없는 옵션입니다. 물론, 오픈 소스인지 아닌지에 관계없이 컴퓨터 프로그램을 사용하는 것에는 기본적인 위험이 있습니다. 미국 국방부나 마이크로소프트와 같은 가장 유능해 보이는 기관들도 재앙적인 버그에 면역이 되지 않는다는 것을 잊어서는 안됩니다.
FOSS 커뮤니티는 문제를 발견하고 공개함으로써 얻은 존경이 종종 그들이 벌 수 있었던 돈보다 더 가치가 있는 진정한 연대와 공동 책임의 문화를 육성합니다. Mozilla와 같은 기관이 채택되고 있는지 여부에 관계없이 암호화에 대한 냉랭한 위안이 될 수 있습니다.
// Ex.co 스크립트 및 중간 아티클 배치( 함수 (d, s, n) {varjs, fjs = d.getElementsByTagName(s)[0]; js = d.createElements(s), js.className = n; js.s.src = “/player.ex.co/player/4c49b82f-103d-41ce-9191-ffa4d1f737fb”; fj.parentNode.Inservo, ‘Ex.co’s’s’s’document’를 실행합니다.inser.inter, place;.getElementsByClassName(‘비디오 자리 표시자’)[0]; varexcoDiv = document.createElement(‘div’); excoDiv.id = ‘4c49b82f-103d-41ce-9191-fa4f’fb’; if(video&document.getElementById){cf}, faf7f}, fafnff}, fafnedefnedefgetelementBybfgetelementBybf}
Several critical bugs on the Twitter-like social media platform Mastodon were patched last week, after researchers funded by the Mozilla Foundation tipped their hat to the vulnerabilities. The situation shows one of the fundamental tradeoffs in open-source software development: that publicly available code can be reviewed and exploited by anyone.
Sometimes that means bugs are found by so-called white hat hackers, and sometimes they’re left open to be exploited. In Mastodon’s case, Mozilla paid German security firm Cure53 to pen test the social network, after announcing plans it would be using Mastodon for some corporate communications.
This is an excerpt from The Node newsletter, a daily roundup of the most pivotal crypto news on CoinDesk and beyond. You can subscribe to get the full newsletter here.
Especially in the post-Elon-Musk-buyout Twitter era, Mastodon has become one of the most popular decentralized applications used by everyday folk. Mastodon calls itself a “federation” because it consists of several thousand separate “instances” that serve people content (unlike at companies like Twitter or Facebook, which maintain their own servers). Anyone can run their own or ask to join another instance, which can set their own moderation standards.
Not much has been revealed about the five bugs that were patched, though independent security researcher Kevin Beaumont, writing on Mastodon, said one potential exploit dubbed #TootRoot could have given hackers root access to Mastodon instances – which could have caused all types of issues including compromised accounts and other phishing schemes.
See also: Crypto Hackers Tend to Return Stolen Money: TRM Labs
Mastodon gGmbH, the organization that maintains Mastodon’s open source software, rated one other bug as critical and the three others as high and medium in severity. Large servers were also sent pre-announcements about the security holes in recent weeks, so they could be ready to quickly deploy a patch when it went live, according to Ars Technica.
As far as I can tell, none of Mastodon’s 14.5 million users were affected by the bad lines of code, which seem to have been unexploited. But the situation does raise some uncomfortable concerns, including how long the critical issues would have sat dormant had Mozilla not been interested in paying to see if Mastodon was secure. And whether a bad actor could have gotten to it first.
These are live issues in the world of free and open source software, including (and perhaps especially) in crypto. Putting aside the challenges of making sure everyone downloads a patch or is running the latest software – (if you’re a Mastodon user, check that the instance you’re using is on version 4.1.3 or later or hound the server to update) – the security of shared networks is totally subject to market forces.
Financial incentives cut both ways for hackers, who can sometimes receive a bug bounty for properly disclosing an issue or turn around and sell the malicious information on a darknet market. And there isn’t always a Mozilla out there willing to pay for in-depth audits to make sure these systems are secure.
The problem is only complicated by crypto, which turns applications into “multimillion dollar bug bounties” or grab bags for hackers looking to make a quick buck. Some $3.1 billion was stolen from decentralized finance (DeFi) protocols alone last year. And even when protocol foundations or users banded together pay for code reviews, it’s not always clear an auditor’s stamp of approval can be trusted (often due as much to incompetence as greed).
See also: Calling a Hack an Exploit Minimizes Human Error | Opinion
Diyahir Campos, a crypto user and developer who says he lost out after the multi-million dollar attack of Euler Finance, recently revealed a DeFi “circuit breaker” that would pause protocols seeing abnormal withdrawals. This would be an “opt-in thing,” which admittedly wouldn’t offer users complete security but could minimize the amount of money lost in hacks.
!function (e, f, u) { e.async = 1; e.src = u; f.parentNode.insertBefore(e, f); }(document.createElement(‘script’), document.getElementsByTagName(‘script’)[0], ‘//cdn.taboola.com/libtrc/nasdaq-nasdaq/loader.js’); window._taboola = window._taboola || []; _taboola.push({ mode: ‘thumbnails-a-mid’, container: ‘taboola-mid-article-thumbnails’, placement: ‘Mid Article Thumbnails’, target_type: ‘mix’ }); _taboola.push({article:’auto’, url:”});
Solutions like this are admirable, even if there are no easy fixes to crypto’s problems (and definitely not a “one-size-fits-all” option). And, of course, there’s a baseline risk in using any computer program whether or not it’s open source. Lest we forget even the most competent seeming institutions like the U.S. Department of Defense or Microsoft are not immune to catastrophic bugs.
The FOSS community fosters a real culture of solidarity and shared responsibility, where the respect garnered from finding and disclosing issues is often worth more than the money they could have earned. Let that be cold comfort to crypto, whether or not institutions like Mozilla are on the way to adoption.
// Run Ex.co Script and mid-article placement (function (d, s, n) { var js, fjs = d.getElementsByTagName(s)[0]; js = d.createElement(s); js.className = n; js.src = “//player.ex.co/player/4c49b82f-103d-41ce-9191-ffa4d1f737fb”; fjs.parentNode.insertBefore(js, fjs); }(document, ‘script’, ‘exco-player’)); // Ex.co placeholder div var element = document.getElementsByClassName(‘video-placeholder’)[0]; var excoDiv = document.createElement(‘div’); excoDiv.id = ‘4c49b82f-103d-41ce-9191-ffa4d1f737fb’; if (element && document.getElementById(‘4c49b82f-103d-41ce-9191-ffa4d1f737fb’) == undefined) { element.append(excoDiv); }
