マストドンの重要なバグ修正が暗号通貨のセキュリティ脆弱性について語る内容

マストドンのバグ修正と暗号通貨のセキュリティ脆弱性について語る

先週、Mozilla Foundationによって資金提供された研究者が、TwitterのようなソーシャルメディアプラットフォームであるMastodonのいくつかの重要なバグを修正しました。この状況は、オープンソースソフトウェア開発の基本的なトレードオフの1つを示しています。つまり、公開されたコードは誰にでもレビューされ、悪用される可能性があるということです。

これは、いわゆるホワイトハットハッカーによってバグが見つかる場合もあれば、悪用される場合もあるということを意味します。Mastodonの場合、Mozillaはドイツのセキュリティ企業Cure53に対して、ソーシャルネットワークのペンテストを依頼しました。これは、Mozillaが一部の企業コミュニケーションにMastodonを使用する予定を発表した後のことです。

これは、CoinDeskやその他の情報源で最も重要な暗号ニュースをまとめたThe Nodeニュースレターからの抜粋です。フルのニュースレターを購読するには、こちらから購読できます。

特にElon Muskの買収後のTwitter時代において、Mastodonは一般の人々によって最も人気のある分散型アプリケーションの1つとなっています。Mastodonは、TwitterやFacebookのような企業とは異なり、いくつかの千の別々の「インスタンス」で構成されており、人々にコンテンツを提供しています。誰でも自分自身のインスタンスを運営したり、他のインスタンスに参加したりすることができます。それぞれのインスタンスは、独自のモデレーション基準を設定することができます。

修正された5つのバグについてはあまり詳細が明らかにされていませんが、独立したセキュリティ研究者であるKevin Beaumontは、Mastodonのブログで書いた記事で、#TootRootという潜在的な脆弱性がハッカーにMastodonインスタンスのルートアクセスを与える可能性があると述べています。これにより、アカウントが侵害されたり、他のフィッシングスキームが行われたりするなど、さまざまな問題が発生する可能性があります。

参考: 暗号ハッカーは盗まれたお金を返す傾向にある:TRM Labs

Mastodonのオープンソースソフトウェアを維持する組織であるMastodon gGmbHは、1つのバグを重大とし、3つのバグを高およびVoAGIの重大度と評価しました。大規模なサーバーには、最近の数週間にわたってセキュリティホールについての事前通知が送られ、ライブになるとすぐにパッチを展開できるよう準備できるようになっていました(Ars Technicaの報道による)。

私の調査では、Mastodonの1450万人のユーザーのうち、コードの問題に影響を受けた人はいなかったようです。ただし、この状況は、MozillaがMastodonのセキュリティを確認するために支払いを行う意欲がなかった場合、重要な問題がどれくらい放置されたままだったか、悪意のある行為者がそれに先んじて行動できた可能性があるかという不快な懸念を引き起こします。

これは、無料かつオープンソースソフトウェアの世界での実際の問題であり、特に暗号通貨においても同様です。パッチをダウンロードするか最新のソフトウェアを実行するようにすべてのユーザーが確認するという課題を置いておいても(Mastodonユーザーの場合は、使用しているインスタンスがバージョン4.1.3以降であるか確認するか、サーバーに更新を要求してください)、共有ネットワークのセキュリティは完全に市場の力に従属しています。

金銭的なインセンティブは、ハッカーにとって両刃の剣であり、問題を適切に開示するためのバグバウンティを受け取ることもできますが、悪意のある情報をダークネットマーケットで売ることもできます。また、深い監査を行うためにMozillaのような組織が支払いをする意欲があるわけではありません。

その問題は、暗号通貨によってさらに複雑になります。暗号通貨は、アプリケーションを「数百万ドルのバグバウンティ」として変え、素早くお金を稼ごうとするハッカーたちにとってのお宝袋になります。昨年だけでも、分散型金融(DeFi)プロトコルから310億ドルが盗まれました。また、プロトコルの基盤やユーザーがコードレビューのために資金を提供する場合でも、監査人の承認印が信頼できるかどうかは常に明確ではありません(無能さと欲望のために)。

参考: ハックをエクスプロイトと呼ぶことは人為的なエラーを最小化する | 見解

Euler Financeの数百万ドルの攻撃の後に損失を被ったという暗号ユーザー兼開発者であるDiyahir Camposは、異常な引き出しを行うプロトコルを一時停止するDeFiの「サーキットブレーカー」を最近公開しました。これは「オプトインのもの」であり、完全なセキュリティを提供するものではありませんが、ハックによる損失を最小限に抑えることができます。

このような解決策は賞賛されるものですが、暗号通貨の問題には簡単な解決策はありません(そして確実な「ワンサイズフィットオール」のオプションもありません)。そして、もちろん、オープンソースであるかどうかに関係なく、どのコンピュータプログラムを使用する場合でも基本的なリスクがあります。忘れてはならないのは、最も能力があるように見える機関であっても、米国国防総省やマイクロソフトのような致命的なバグに対して免疫を持っていないということです。

FOSSコミュニティは、問題を見つけて開示することによって得られる尊敬が、お金よりも価値があるという真の連帯感と共有責任の文化を育んでいます。Mozillaのような組織が採用に向けて進んでいるかどうかに関係なく、これが暗号通貨にとっての冷たい慰めとなることを願いましょう。