Beam CTO：Beam钱包的“重大”漏洞与Mimblewimble技术无关

专注于隐私的加密货币Beam背后的开发人员透露，上周在他们的钱包软件中发现了“重大”漏洞，可能会让用户资金直接面临风险，随后他们进行了修复。

（图片来源：unsplash）

根据今天在Medium上发布的一篇文章显示，这个漏洞允许攻击者创建“经过修改的交易”，然后将资金直接发送到攻击者的钱包中。

在独家专访中，Beam CTO Alex Romanov解释说，通过利用Beam的安全公告板系统(SBBS)——一个定制的系统，可以在Beam钱包之间实现离线加密的消息——攻击者“目前监听活动的SBBS地址……将能够使这些钱包向攻击者发送资金。”

Romanov强调，这个问题是特定于应用的，与隐私增强技术Mimblewimble没有任何关系，他说:

“该漏洞与Mimblewimble或密码学或任何底层技术无关。基本上，这是应用本身的一个缺陷……它只是影响了钱包，因为它可能会创建这种特定的交易。”

虽然Beam内部开发团队在发现漏洞的同一天就向公众披露了漏洞的存在，但直到今天才公布了这个威胁的确切性质。

他说，这样做的原因是为了防止向上周三没有看到漏洞声明的用户打开任何“可能的攻击向量”。

他在接受CoinDesk采访时说，用户“并非一直在线，有时会有时差，人们可能在睡觉。”他说，保留更多细节是为用户争取时间的一种方式，“尤其是矿池和交易所”，从而实施代码修复。

讲到发布的补丁时，Romanov解释说修复过程相对简单。

“我们只是防止了这种情况的发生，也就是说，这种自定义交易不会被钱包接受。”

下一次升级

Beam网络于1月3日(周四)正式上线。Romanov说，从那时起，来自用户的反馈信息已经被用于升级Beam软件，目前该软件正在测试中，并将在“未来几天”发布。
他表示：

“我们已经考虑了用户提出的所有问题，所有的要求，所有的误解，回想起来，这些都是非常明显的，因为Mimblewimble是一项非常新的技术……我们已经创建了一个更新，将改善用户体验。”

Romanov将其称为1.0.1版本，他强调说，由于Beam系统使用了Mimblewimble技术，已经导致“矿池和交易所显著地修改了它们的运营方式和处理交易的方式”。

“各方都有很多学习曲线……(这次更新)将减少潜在误解或问题的数量。有时，即使系统运行正常，(用户)也不清楚正在发生了什么。”