共计 407 个字符,预计需要花费 2 分钟才能阅读完成。
不知道大家有没有看过这篇帖子关于 xz 被恶意开发者注入,导致 linux 发行版有漏洞,可 ssh 连接用户服务器?🐶
https://boehs.org/node/everything-i-know-about-the-xz-backdoor
今天早上思考了一上午这种 xz 开发者恶意投毒的问题如何解决🤔,目前想到一个方案,去中心化存储,下载别人的发布的系统 (例如 linux) 需要支付一笔 gas(包含保险费)费,如果有恶意投毒,那么可以要到赔偿,我们将所有知名的项目都开发一条链,允许他们发一些 NFT 等,从而可以赔偿。🐶
这些链的的合约有保险触发机制,当大家投票都认为这个项目是恶意的,那么会自动触发这个项目不停生成 NFT 直到赔偿所有用户的损失,虽然这会导致这个项目的贬值,这样就达到了对开发者约束的目的,从而让他们不得不非常谨慎 review 代码🤔,因为这次 xz 攻击,攻击者看项目方去度假了,以及测试时间不充分。🤔
大家觉得如何?🤔
正文完
