ข่าวไอที Blognone » อีเมลรายงานช่องโหว่ในแฮชของ IOTA เปิดเผยจากบุคคลนิรนาม ทีมพัฒนาไม่มืออาชีพ, ไม่ยอมรับความผิดพลาด, และปัดปัญหาออกจากตัว

อีเมลรายงานช่องโหว่ในแฮชของ IOTA เปิดเผยจากบุคคลนิรนาม ทีมพัฒนาไม่มืออาชีพ, ไม่ยอมรับความผิดพลาด, และปัดปัญหาออกจากตัว

26 กุมภาพันธ์ 2018
51   0

The Tangler เว็บบล็อกรายงานข่าวเงิน IOTA เผยแพร่อีเมลรายงานช่องโหว่ของอัลกอริทึมแฮช Curl ที่ IOTA ใช้งานมาก่อนจะเปลี่ยนเป็น SHA-3 เมื่อช่วงปลายปีที่ผ่านมา โดยได้รับอีเมลจากบุคคลนิรนามแสดงอีเมล 83 ฉบับจากการรายงานครั้งแรก ไปจนถึงอีเมลฉบับสุดท้ายที่ Sergey Ivancheglo ผู้ร่วมก่อตั้ง IOTA ระบุว่าได้แจ้งกับทางมหาวิทยาลัยเพื่อให้จัดการกับการรายงานให้เรียบร้อย (clear) และจะติดต่อผ่านทนายความเท่านั้น

Ethan Heilman จากมหาวิทยาลัยบอสตัน และ Neha Narula จาก MIT Media Lab ส่งอีเมลฉบับแรกไปยังทีมงาน IOTA ตั้งแต่กลางปี 2017 ระบุว่าฟังก์ชั่นแฮช Curl มีช่องโหว่มากมาย ทำให้ค่าแฮชชนกันได้โดยง่าย เช่น การใช้เลขศูนย์นำหน้าข้อความ 243 ตัวก็จะได้ค่าแฮชตรงกันเสมอไม่ว่าข้อความจริงเป็นอะไร ค่าแฮชที่ได้รับไม่มีคุณสมบัติ pseudo-random ทำให้ข้อความที่คล้ายกันสร้างค่าแฮชที่คล้ายกันไปด้วย ทีมงานแนะนำให้ IOTA เปลี่ยนไปใช้ค่าแฮชที่ได้รับการศึกษามาเป็นอย่างดีกว่า เช่น MD6 ที่มีคุณสมบัติต่อต้านการใช้ชิป ASIC เพื่อแฮช

อีเมลแสดงให้เห็นว่าทีมงาน IOTA พยายามแก้ตัวว่า Curl มีคุณสมบัติดีพอ และพยายามให้รายงานถอดข้อความทุกข้อความที่แสดงให้เห็น Curl มีช่องโหว่ออกจากรายงาน (อีเมล #30) พร้อมกับอ้างว่าได้ให้นักวิทยาการเข้ารหัสลับช่วยตรวจสอบความปลอดภัยแล้วโทษ Ethan ว่าตอบคำถามช้าทำให้การตรวจสอบทำได้ช้า (อีเมล #31) แต่กลับไม่ยอมเปิดเผยชื่อนักวิจัยที่ IOTA ทำงานด้วย จากนั้นก็เริ่มกล่าวหาว่านักวิจัยทำงานให้กับโครงการ Paragon ที่เป็นคู่แข่งกัน

เมื่อถึงวันที่ 7 กันยายนที่ผ่านมา ทีมวิจัยเผยแพร่รายงานเต็มสู่สาธารณะหลังระยะเวลาปิดบังช่องโหว่หมดลง ทาง IOTA แสดงความไม่พอใจที่ได้รับการติดต่อจากนักข่าวว่า IOTA มีช่องโหว่ ทีมงาน IOTA โจมตี Neha ว่า "เมาหรือเปล่า" ที่ปล่อยรายงานออกไป และถามหาหัวหน้าของเขา

IOTA เป็นเงินคริปโตมูลค่าอันดับสิบของโล มูลค่ารวมในตลาดตอนนี้อยู่ที่ 5.1 พันล้านดอลลาร์

ที่มา - The Tangler

[source: https://www.blognone.com/node/100173]