Mastodon漏洞修复：加密货币安全背后的故事

上周，在得到 Mozilla 基金会的资助后，被称为“去中心化版 Twitter”的社交媒体平台 Mastodon 上的几个严重漏洞最近已经得到修复。

这个例子展示了开源软件开发中的一种基本权衡：任何人都可以审查和利用公开可用的代码。

有时，这意味着错误会被称为白帽黑客的人发现，有时它们会被利用。

就 Mastodon 而言，Mozilla 宣布计划使用 Mastodon 进行一些企业通信后，向德国安全公司 Cure53 支付了笔测试该社交网络的费用。

Mastodon的漏洞问题

在 Elon Musk （埃隆·马斯克）收购 Twitter 后，Mastodon 已成为人们最流行的去中心化应用程序之一。

Mastodon 称自己为“联盟”，因为它与 Twitter 或 Facebook 等维护自己服务器的公司不同，是由数千个独立的“实例”组成，为人们提供内容。

任何人都可以运行自己的实例或要求加入另一个实例，这可以设定自己的审核标准。

尽管独立安全研究员 Kevin Beaumont 在 Mastodon 上撰文称，一个被称为 #TootRoot 的潜在漏洞可能会让黑客获得 Mastodon 实例的根访问权限，但关于已修复的五个漏洞的信息并未透露太多，这可能会导致所有类型的问题，包括受损帐户和其他网络钓鱼计划。

Mastodon gGmbH 是维护 Mastodon 开源软件的组织，将另外一个错误评为“严重”，将另外三个错误的严重程度评为“高”和“中”。

据美国知名科技博客媒体 Ars Technica 称，最近几周大型服务器也收到了有关安全漏洞的预先公告，因此他们可以准备好在补丁上线时快速部署。

据了解，Mastodon 平台的 1450 万用户并未受到不良代码行的影响，尚未有人利用这些代码行。

然而，这一情况仍然引发了一些令人担忧的问题，如果 Mozilla 不愿花费资金验证 Mastodon 的安全性，那么这些重要问题将会搁置多久？此外，坏人是否能够事先获得这些代码行的信息？

这些问题成为自由和开源软件领域及加密领域的紧急关注点，除了确保每个人都下载补丁或运行最新软件之外（如果你是 Mastodon 用户，请检查所使用的实例是否是 4.1.3 或更高版本，或要求服务器进行更新），共享网络的安全性完全依赖于市场力量。

漏洞问题更好的解决方法

经济激励措施对黑客来说是双向的，他们有时可以因正确披露问题而获得错误赏金，或者转身在暗网市场上出售恶意信息。而且 Mozilla 并不总是愿意付费进行深入审核以确保这些系统的安全。

只有加密技术使问题变得更加复杂，加密技术将应用程序变成了“数百万美元的漏洞赏金”，或者是黑客想要快速赚钱的抓包。

仅去年一年，去中心化金融（DeFi）协议就被盗了约31 亿美元，即使协议基金会或用户联合起来支付代码审查费用，审计员的批准印记也并不总是可信。

加密货币用户和开发人员 Diyahir Campos 表示，他在 Euler Finance 遭受数百万美元攻击后损失惨重，他最近透露了一款 DeFi“断路器”，可以暂停看到异常提款的协议。

这将是一个“选择加入的事情”，虽然不会为用户提供完全的安全性，但可以最大限度地减少黑客造成的金钱损失。

对于加密货币的问题，并没有一个简单的解决办法这种解决方案是令人钦佩的，尽管它并不是“一刀切”的选择。

无论一种计算机程序是否开源，都存在基本的风险。我们不应忘记，即使是那些看似最有能力的机构，比如微软，也无法完全避免灾难性的错误。

然而，自由和开源软件社区培养了一种真正的团结和共同责任的文化，在这种文化中，发现和公开问题所获得的尊重通常比其可能带来的金钱更具价值。

因此，不管像 Mozilla 这样的机构是否愿意接受加密货币，这也算是对加密货币的一种安慰。