一位推特用戶指出，他大約在一年前發(fā)現(xiàn)了萊特幣的一個漏洞，而這個漏洞一直都沒有得到修復。這凸顯了加密數(shù)字貨幣自籌資金自主研發(fā)的必要性。

2018年3月11日，我發(fā)現(xiàn)了由萊特幣研發(fā)團隊維護的Litecoin Litecore implementation（即insight-lite-api）中的漏洞。這個漏洞至今都還沒有得到修復，這意味著它仍然可能會被有心人士加以利用。這是嚴重的漏洞，大家下次再聽到相關消息的時候可能就是在新聞報道里了。

@oasace指出，他在2018年3月11日發(fā)現(xiàn)了萊特幣研發(fā)團隊維護的Litecoin Litecore implementaTIon （即insight-lite-api）中的堆棧跟蹤漏洞。到目前為止，漏洞依然沒有得到修復，攻擊者可以根據github描述對漏洞加以利用。

據悉，向不同的API端點發(fā)送POST請求已經錯誤地積壓在堆棧跟蹤上，此類信息可以幫助黑客獲取更多的信息，并專注于研發(fā)針對目標系統(tǒng)的進一步攻擊或利用不正確的錯誤處理來發(fā)起新的攻擊。

在DuckDuckGo上快速搜索的結果顯示，“簡單來說，堆棧跟蹤是應用程序在出現(xiàn)異常時可用的調試方法列表”。與其它錯誤相比，有關堆棧跟蹤的漏洞在安全方面并不是太重要，這可能就是為什么這個漏洞沒能引起萊特幣研發(fā)團隊的關注的原因之一。無論如何，它仍然說明了萊特幣缺乏激勵機制，以至于研發(fā)團隊在將近一年的時間里都沒有修復這個漏洞。

為漏洞的發(fā)現(xiàn)和修復提供激勵

與任何軟件一樣，加密數(shù)字貨幣也會偶爾受到漏洞的影響，但開源軟件的好處在與任何人都可以查看代碼并發(fā)布任何潛在的漏洞，從而在社區(qū)的幫助下完成漏洞的修復。出于對加密數(shù)字貨幣的信仰，許多人為開源軟件免費修復漏洞。不過，也有許多加密數(shù)字貨幣為確保代碼的安全性提供了激勵機制。在此基礎上，為漏洞的發(fā)現(xiàn)和修復提供激勵將吸引背景更多樣化的更多程序員參與其中，從而確保漏洞能被迅速地定位和修復。

隨著加密數(shù)字貨幣日趨接近主流，漏洞的識別和修復勢在必行。然而，加密數(shù)字貨幣安全人員卻出現(xiàn)了供不應求的情況。在這種背景下，歡迎大家了解達世幣如何通過@Bugcrowd來應對這一痛點。

達世幣利用去中心化自主管理組織預算資金贊助了Bugcrowd，這是一個漏洞賞金計劃，它進一步增強了有關各方對其代碼庫的信心。在Bugcrowd執(zhí)行一年之后，團隊發(fā)布了一個案例研究，并透露Bugcrowd的研究人員通過篩除66個漏洞定位了達世幣數(shù)字現(xiàn)金應用程序中獨有的11個漏洞，為達世幣團隊節(jié)省了大量的時間。其中一個漏洞出現(xiàn)在現(xiàn)已停用的達世幣Copay錢包中，它可能造成敏感數(shù)據的泄露。幸運的是，它在測試階段就得到了及時的定位和修復。其實，這個漏洞是比特幣錢包版本的歷史遺留問題，它還讓人想起了得到快速修復的、歷史久遠的另一個漏洞，這個起源于萊特幣代碼庫的漏洞曾經導致達世幣挖礦活動異常快速。

達世幣鼓勵適當且有效的代碼管理

達世幣致力于成為日?？捎玫臄?shù)字貨幣，這意味著它需要消費者和商家的最大信任。達世幣可以通過編寫優(yōu)秀的代碼和反復的檢查來贏得他們的信任。雖然確保代碼的安全性是所有頂級加密數(shù)字貨幣的首要任務，但達世幣可以為達世幣核心團隊、其他開發(fā)人員和漏洞“賞金獵人”提供資金，從而有效地激勵他們的活動并確保異常出色的代碼工作?；谧栽傅墓ぷ鳟斎灰埠芎茫紤]到研發(fā)人員也需要賺錢，所以他們往往需要作出權衡。此外，依賴第三方來獲取資金是有風險的，因為它有可能會終止資金供應或與加密數(shù)字貨幣團隊的利益相互沖突。達世幣將代碼編寫和審查流程納入自身的管理體系，從而避免了上述問題并建立起了一個完備的經濟激勵循環(huán)。