Разработчики ориентированной на конфиденциальность криптовалюты Beam заявили, что «критическая» ошибка, обнаруженная на прошлой неделе в программном обеспечении кошелька и впоследствии исправленная, могла подвергнуть риску средства пользователей. Как отмечается в опубликованном вчера сообщении, эта уязвимость позволила бы злоумышленнику создавать «измененные транзакции» и впоследствии отправлять средства непосредственно в свой кошелек.
Технический директор Beam Алекс Романов объяснил, что, используя Безопасную систему доставки сообщений Beam (SBBS), которая была создана по индивидуальному заказу компании для внедрения автономного зашифрованного обмена сообщениями между кошельками Beam, мошенники, «перехватывающие активные адреса SBBS, смогли бы заставить эти кошельки отправлять деньги злоумышленнику».
Романов подчеркнул, что проблема связана с конкретным приложением и не имеет никакого отношения к протоколу конфиденциальности Mimblewimble.
«Уязвимость не связана с Mimblewimble, криптографией или какой-либо базовой технологией. По сути, это ошибка в самом приложении», – заявил он.
Хотя о существовании этой уязвимости общественность узнала в тот же день, когда ее обнаружила команда разработчиков, точный характер угрозы не был обнародован до вчерашнего дня. Причиной этого, по словам Романова, было предотвращение открытия «возможных векторов атак» на пользователей, которые не видели объявления в прошлую среду. Отказ от разглашения подробностей также был способом выиграть время для пользователей – особенно «пулов и бирж» – для реализации исправления кода.
Романов рассказал, что выпустить патч, исправляющий ошибку, было относительно просто.
«Мы только предотвратили этот конкретный сценарий, в котором измененная транзакция была бы принята работающим кошельком, и все», – сказал он.
Официально запуск Beam состоялся в четверг, 3 января. По словам Романова, команда проекта уже работает над обновлением программного обеспечения Beam, которое в настоящее время тестируется и готовится к выпуску «в ближайшую пару дней».
«Мы приняли во внимание все вопросы, поднятые пользователями, все запросы, все недоразумения, которые в ретроспективе были довольно очевидны, потому что Mimblewimble – это совсем новая технология. Мы создали обновление, которое улучшит пользовательский опыт», – сказал Романов.
Он также подчеркнул, что использование систем Beam на базе Mimblewimble привело к тому, что «пулы, а также биржи значительно изменили методы работы и способ обработки транзакций».
«Все стороны получили опыт. Обновление уменьшит количество потенциальных недоразумений или проблем. Иногда, даже если система функционирует должным образом, пользователю не ясно, что происходит», – сказал Романов.
Beam – одна из двух сетей, основанных на базе протокола конфиденциальности Mimblewimble – была запущена в этом году. Вторая сеть – Grin – начала работу на этой неделе.
