IOTA: Grove fout ontdekt in Firefly Shimmer Wallet – kritiek van ontwikkelaars

Er is een veiligheidsgerelateerde bug ontdekt in de Firefly Shimmer Wallet. Wat vooral voor kritiek zorgt: De bug is al bekend sinds het debuut van SMR, maar het IOTA zijproject heeft hem nog niet opgelost.

Het IOTA zijproject Shimmer (SMR) heeft zich nog maar net verheugd over een algehele succesvolle lancering – terwijl de stemming al verstoord is door een veiligheidsrelevante bug in de bijbehorende Firefly Shimmer Wallet. Kort na de lancering van Shimmer meldde een gebruiker de fout in detail in het bijbehorende IOTA-forum op Github, maar de ontwikkelaars hebben nog geen tijd of een manier gevonden om het urgente probleem op te lossen. Nu heeft de bekende IOTA-criticus “Buffy” de zaak openbaar gemaakt via Twitter.

Concreet gaat het erom dat de versie van de IOTA Firefly Wallet die speciaal voor Shimmer is uitgebracht een verkeerd beeld geeft van de hoeveelheid SMR in transacties. U zou bijvoorbeeld denken dat u 1,04 SMR verstuurt, maar u verstuurt eigenlijk 104 Shimmer. Het probleem deed zich voor in interactie met een Ledger hardware wallet en het IOTA handelsplatform Soonaverse. “Buffy” ziet de reproduceerbare fout als een ingang voor diefstal en beschuldigt de ontwikkelaars van grove nalatigheid bij het programmeren van de module.

Nu is “Buffy” al lang een ergernis in de IOTA gemeenschap met haar kritiek. Maar ook inhoudelijk is ze er deze keer in geslaagd de vinger in de wonde te steken. Een bug in nieuwe software zoals de Firefly Shimmer app kan natuurlijk voorkomen, maar die moet dan snel worden verholpen en transparant worden gecommuniceerd. Dit is in het onderhavige geval niet gebeurd. De ontwikkelaars werden pas opgeschrikt door haar tweet toen ze de prioriteit van het probleem verhoogden. Shimmer, de IOTA Foundation of Soonaverse gaven aanvankelijk geen commentaar.

Conclusie: Eerste tegenslag voor Shimmer – was de lancering van SMR voorbarig?

Vanuit het perspectief van beleggers en gebruikers van de Firefly Shimmer-app is het beveiligingsprobleem reëel, ook al lijkt het alleen de Duitstalige versie van de portemonnee enigszins te treffen. Het biedt aanvallers immers de mogelijkheid een SMR-bedrag op te vragen en tot 100 keer het bedrag aan SMR te ontvangen dat de gebruiker denkt te verzenden via de link daarvoor. IOTA-portefeuilles liggen bijzonder onder vuur sinds de voorganger van Firefly, Trinity. Door een ernstig beveiligingsprobleem met Trinity konden hackers in februari 2020 miljoenen mensen besmetten en werd het tanglenet bijna een maand lang noodgedwongen afgesloten. Met deze ervaring achter de rug is het dubbel onbegrijpelijk waarom de Shimmer Firely Wallet kennelijk niet grondig genoeg is getest voor de lancering en dat de ontwikkelaars niet onmiddellijk hebben geprobeerd de nu bekend geworden bug te verhelpen.


Be the first to comment

Leave a Reply

Your email address will not be published.


*