Mastodon 的关键错误修复说明了加密货币的安全漏洞

在 Mozilla 基金会资助的研究人员向这些漏洞致敬后，类似于 Twitter 的社交媒体平台 Mastodon 上的几个严重错误上周得到了修补。这种情况显示了开源软件开发的基本权衡之一：任何人都可以审查和利用公开可用的代码。

有时这意味着错误会被所谓的白帽黑客发现，有时它们会被利用。以 Mastodon 为例，Mozilla 宣布计划使用 Mastodon进行一些企业通信后，向德国安全公司 Cure53 支付了笔测试该社交网络的费用。

这是 Node 时事通讯的摘录，该时事通讯是 CoinDesk 及其他领域最关键的加密货币新闻的每日综述。您可以在此处订阅以获取完整的新闻通讯。

特别是在后埃隆·马斯克收购 Twitter 时代，Mastodon 已成为人们最流行的去中心化应用程序之一。 Mastodon 称自己为“联盟”，因为它由数千个独立的“实例”组成，为人们提供内容（与 Twitter 或 Facebook 等维护自己服务器的公司不同）。任何人都可以运行自己的实例或要求加入另一个实例，这可以设定自己的审核标准。

尽管独立安全研究员 Kevin Beaumont 在 Mastodon 上撰文称，一个被称为 #TootRoot 的潜在漏洞可能会让黑客获得 Mastodon 实例的根访问权限，但关于已修复的五个漏洞的信息并未透露太多，这可能会导致所有类型的问题，包括受损帐户和其他网络钓鱼计划。

另请参阅： 加密货币黑客往往会归还被盗资金：TRM 实验室

Mastodon gGmbH 是维护 Mastodon 开源软件的组织，将另外一个错误评为“严重”，将另外三个错误的严重程度评为“高”和“中”。据 Ars Technica 称，最近几周大型服务器也收到了有关安全漏洞的预先公告，因此他们可以准备好在补丁上线时快速部署补丁。

据我所知，Mastodon 的 1450 万用户中没有一个受到不良代码行的影响，这些代码行似乎尚未被利用。但这种情况确实引起了一些令人不安的担忧，包括如果 Mozilla 没有兴趣花钱看看 Mastodon 是否安全，那么这些关键问题会被搁置多久。以及一个坏演员是否可以先得到它。

这些是自由和开源软件领域的实时问题，包括（也许尤其是）加密领域。抛开确保每个人都下载补丁或运行最新软件的挑战 – （如果您是 Mastodon 用户，请检查您使用的实例是否为 4.1.3 或更高版本，或者要求服务器进行更新） – 共享网络的安全完全取决于市场力量。

经济激励对黑客来说是双向的，他们有时可以因正确披露问题而获得错误赏金，或者转身在暗网市场上出售恶意信息。而且 Mozilla 并不总是愿意付费进行深入审核以确保这些系统的安全。

只有加密技术使问题变得更加复杂，加密技术将应用程序变成了“数百万美元的漏洞赏金”，或者是黑客想要快速赚钱的抓包。仅去年一年，去中心化金融（DeFi）协议就被盗了约 31 亿美元。即使协议基金会或用户联合起来支付代码审查费用，审计员的批准印记也并不总是可信（通常是由于无能和贪婪）。

另请参阅： 将黑客称为漏洞利用可最大限度地减少人为错误|观点

Diyahir Campos 是一名加密货币用户和开发人员，他表示自己在 Euler Finance 遭受数百万美元攻击后损失惨重，他最近透露了一款 DeFi“断路器”，可以暂停看到异常提款的协议。这将是一个“选择加入的事情”，诚然，这不会为用户提供完全的安全性，但可以最大限度地减少黑客造成的金钱损失。

像这样的解决方案是令人钦佩的，即使加密货币的问题没有简单的解决办法（而且绝对不是“一刀切”的选择）。当然，使用任何计算机程序都存在基本风险，无论它是否开源。免得我们忘记，即使是看似最有能力的机构，如美国国防部或微软，也不能幸免于灾难性的错误。

自由和开源软件社区培养了一种真正的团结和共同责任的文化，在这种文化中，发现和披露问题所获得的尊重往往比他们本可以赚到的钱更有价值。不管像 Mozilla 这样的机构是否正在接受加密货币，这都算是对加密货币的安慰吧。