Daily News Roundup: Un développeur de portefeuille de crypto-monnaie s'est piraté pour sauver ses utilisateurs

Publié: 2022-01-29

Que faites-vous lorsque vous découvrez une vulnérabilité placée dans votre application pour voler vos utilisateurs ? La réponse du fabricant de portefeuilles de crypto-monnaie Komodo : pirater son application et prendre l'argent de ses utilisateurs avant les pirates. Cela a même fonctionné.

Komodo est une startup de développement connue pour son travail dans la crypto-monnaie et la création du portefeuille de crypto-monnaie Agama. Ce portefeuille dépend d'une bibliothèque JavaScript maintenue dans npm (node ​​package manager), et un acteur malveillant a tenté de profiter de la nature open source du code.

Il y a quelques mois, un contributeur anonyme a fait une "mise à jour utile" de la bibliothèque, créant une nouvelle dépendance. Ils ont attendu que cette mise à jour soit intégrée à l'application Agama, puis ont modifié la nouvelle dépendance pour créer une porte dérobée dans l'application.

Le personnel de npm a remarqué les changements, a compris ce qui se passait et a contacté Komodo. Malheureusement, à ce stade, la porte dérobée était déjà en place. La simple mise à jour de l'application pour la supprimer peut ne pas suffire ; toute personne qui n'aurait pas reçu la mise à jour avant que le pirate n'entre par effraction perdrait sa crypto-monnaie.

Alors Komodo a adopté une approche plutôt nouvelle, il s'est piraté. Il a utilisé la porte dérobée que l'acteur malveillant a plantée pour balayer 13 millions de dollars de crypto-monnaie et la déplacer vers un endroit que le pirate ne pouvait pas atteindre.

Publicité

Komodo a publié un blog pour informer ses utilisateurs de ce qu'il a fait, pourquoi il l'a fait et comment ils peuvent récupérer leur argent et le transférer vers de nouveaux portefeuilles, espérons-le, plus sûrs.

Tout cela est, bien sûr, une leçon sur les dangers et les forces auxquels les développeurs sont confrontés lorsqu'ils utilisent des bibliothèques tierces et des logiciels ouverts qui permettent à n'importe qui de contribuer.

Les mauvais acteurs peuvent manipuler les logiciels ouverts d'une manière qui n'est pas possible avec les logiciels propriétaires. Mais il peut également être examiné plus en profondeur pour détecter les vulnérabilités. Ces événements illustrent les deux côtés de cette médaille.

Nous le dirons une fois de plus : il est peut-être préférable de rester à l'écart de la crypto-monnaie. [ZDNet]

Dans d'autres nouvelles:

  • Les bandes sonores originales de Final Fantasy sont désormais gratuites en streaming : Dans un mouvement surprise, Square-Enix a chargé presque toutes les bandes sonores originales de Final Fantasy sur Spotify et Apple Music. Ce ne sont pas des orchestrations, mais comment les chansons sonnaient dans les jeux. Malheureusement, la plupart des titres et chansons avec voix, comme Suteki da ne, sont en japonais. Mais si vous aimez Final Fantasy, écoutez-les. [Engadget]
  • Le nouveau drone de livraison d'Amazon est sauvage : Amazon a dévoilé son drone de livraison hier, et il a quelques astuces dans sa manche. Cela ne fonctionne pas comme les drones que vous pourriez imaginer, et change plutôt de position pour le vol et l'atterrissage/décollage. Le drone peut parcourir 15 miles et transporter un colis de cinq livres, et Amazon dit qu'il commencera à livrer dans les mois à venir. Où va-t-il livrer ? Amazon n'a pas répondu. [Tech Crunch]
  • Google tue Trips, une autre application que vous n'avez jamais utilisée : Google continue sa version du Thanos Snap en supprimant un autre de ses produits. Cette fois, Trips est sur le billot, une application utilisée pour l'organisation de voyages. La société affirme que Google Travel est son remplaçant, mais comme le souligne Ars Technica, il s'agit d'un site Web, pas d'une application. Pire encore, c'est un tas de publicités sans fin. [Ars Technique]
  • iOS 13 donne un contrôleur approprié à l'application Sony Remote Play : Nous aimons l'application Sony Remote Play, mais sa chute est les commandes de l'écran tactile. Vous pouvez utiliser un contrôleur tiers, mais c'est une autre chose à acheter, et les boutons peuvent ne pas correspondre. iOS13 résout ce problème en ajoutant la prise en charge du double choc PS4, et cela inclut l'application Remote Play. Bon temps. [MacRumeurs]
  • Chrome Remote Desktop arrive sur le Web : Chrome Remote Desktop est un moyen simple de donner un accès à distance à un ordinateur, ce qui est utile lorsque vous avez besoin d'une aide technique à distance. Google teste Chrome Remote Desktop sur le Web depuis plus d'un an maintenant, mais il semble maintenant qu'il ne soit plus en version bêta et qu'il soit officiellement disponible pour tous. Très agréable. [9to5Google]
  • Alexa deviendra plus conversationnelle à l'avenir : à l' heure actuelle, l'utilisation d'Alexa peut être un peu frustrante. Dites une commande, obtenez un résultat, réveillez-la, dites une nouvelle commande, recommencez. Bientôt, elle vous demandera de passer à la compétence associée en utilisant les informations précédentes. Avez-vous acheté des billets pour un film? Elle peut suggérer une réservation pour un dîner près du théâtre, sans que vous ayez à lui demander ou à lui dire où se trouve à nouveau le théâtre. Des trucs plutôt cool. [VentureBeat]
  • Cadillac ajoute 70 000 milles d'autoroute compatible à SuperCruise : le programme d'aide à la conduite de Cadillac, appelé SuperCruise, adopte une approche unique de la conduite mains libres. Vous pouvez garder vos mains sur le volant plus longtemps, mais seulement si vous êtes sur une autoroute pré-cartographiée et que vous continuez à regarder la route. Des caméras vous surveillent pour s'assurer que vous faites attention. Cadillac vient d'étendre ses autoroutes cartographiées par lidar de 70 000 miles, ce qui signifie que vous pourrez utiliser SuperCruise beaucoup plus qu'auparavant. [Tendances numériques]
  • La version bêta d'Android Q provoque des boucles de démarrage : vous ne devez jamais installer un système d'exploitation bêta sur votre appareil principal, qu'il s'agisse d'un ordinateur, d'une tablette ou d'un téléphone. La raison de ce conseil est clairement démontrée aujourd'hui, car Google vient de mettre en pause son déploiement bêta d'Android Q après avoir appris que les téléphones Android étaient bloqués dans une boucle de démarrage. Apparemment, la seule issue était une réinitialisation d'usine. Pas joli, mais bon c'est une bêta. [Le bord]

Dans de bonnes nouvelles scientifiques, les astronomes ont enfin repéré un disque d'accrétion longtemps théorisé pour entourer le trou noir supermassif au centre de notre galaxie.

Comme la plupart des galaxies, le centre de notre galaxie est un trou noir supermassif désigné Sagittarius A*. Comment supermassif? Imaginez le soleil puis multipliez cette taille par quatre millions. C'est l'une de ces tailles incroyablement grandes qu'il est vraiment impossible de comprendre pleinement.

Publicité

La chose à propos de Sag A * est qu'il est assez silencieux. Dans d'autres galaxies, les astronomes peuvent facilement repérer des traces de disques chauds de gaz en orbite, appelés disques d'accrétion. Lorsque les émissions de télévision et les mouvements montrent un trou noir, ce truc tourbillonnant que vous avez tendance à considérer comme le trou noir est le disque d'accrétion.

Mais bien qu'il soit si proche de Sag A* (par rapport à d'autres trous noirs supermassifs), les scientifiques n'ont pas pu trouver son disque d'accrétion. En fin de compte, plutôt que d'avaler tout ce qui l'entoure comme le monstre qu'il est, Sag A * se nourrit plus lentement et les gaz qui l'entourent sont plus frais. Cela rendait le disque très difficile à repérer.

Les caractéristiques très inhabituelles du centre de notre galaxie soulignent combien il reste encore à apprendre et à découvrir en ce qui concerne la nature de notre univers. [Actualités scientifiques]