以隐私为重点的加密货币梁背后的开发人员透露,上周发现并随后在其钱包软件中修复的“关键”漏洞可能会直接使用户资金面临风险。

正如今天发布的媒体所述,该漏洞可能使攻击者创建“修改后的交易”,并随后将资金直接发送到攻击者的钱包中。

在对CoinDesk的专访中,Beam CTO Alex Romanov解释说,通过利用Beam的安全公告板系统(SBBS) – 一个定制系统,可以在Beam钱包之间启用离线加密消息传递- 攻击者“正在侦听活动的SBBS地址……将能够使这些钱包向攻击者汇款。“

罗曼诺夫强调,这个问题是针对特定应用的,并没有与隐私增强技术 mimblewimble 相关,并说:

“漏洞与mimblewimble或密码学或任何基础技术无关。基本上,它是应用程序本身的一个错误…它只影响了钱包,因为它可以创建这个特定的事务。“

虽然梁的内部开发团队在同一天向公众披露了漏洞的存在,但威胁的确切性质直到今天才公开。

根据罗曼诺夫的原因是为了防止为上周三没有看到漏洞公告的用户开放任何“可能的攻击媒介”。

通过阐述人们“一直不在线,有时会有时间差异,人们可能会睡着了”,罗曼诺夫告诉CoinDesk,隐瞒更多细节是一种为用户“特别是游泳池和交换”购买时间以实现代码修复。

罗曼诺夫在发布的补丁中解释说修复相对简单。

“我们刚刚阻止了这种自定义交易将被正在运行的钱包接受的特定情况,就是这样,”Romanov向CoinDesk说。

下一次升级

Beam于1月3日星期四正式发布。从那时起,罗曼诺夫表示,用户的反馈已经在为目前正在测试的Beam软件进行新的升级,并将在未来几天内发布。

“我们已经考虑了用户提出的所有问题,所有请求,回想起来的所有误解都是非常明显的,因为mimblewimble是一项非常新的技术……我们已经创建了一个可以改善用户体验的更新, “罗曼诺夫说。

Romanov将其称为版本1..1,强调由于mimblewimble而使用Beam系统导致“池和交换显着改变它们的操作方式和处理事务的方式。”

“各方都有很多学习曲线…… [The update]将减少潜在的误解或问题。有时候,即使系统功能正常,[user]发生了什么也不清楚,“罗曼诺夫告诉CoinDesk:

钱包图像来自Shutterstock

为了清晰起见,本文及其标题已更新。

        

LEAVE A REPLY

Please enter your comment!
Please enter your name here