Antbleed : la nouvelle controverse autour du Bitcoin expliquée

Une vulnérabilité de puce minière qui pourrait potentiellement être utilisée pour arrêter à distance les machines d'extraction de Bitcoin a été révélée hier - avec un correctif du fabricant peu de temps après.

Le problème concerne le fabricant controversé de puces de minage Bitmain. Certains appellent cela une « porte dérobée » dans le code qui contrôle son matériel, permettant à l'entreprise de désactiver les mineurs à distance. Étant donné que le code…publié anonymementhier soir, est vulnérable aux attaquants, la principale préoccupation est de savoir si, dans le pire des cas, il pourrait être utilisé à mauvais escient.

La crainte est que des acteurs malveillants puissent exploiter la vulnérabilité pour désactiver en masse les équipements de minage de Bitcoin , et avec Bitmain fournissant un si grand nombre de machines au marché, l'impact pourrait avoir des implications catastrophiques pour l'écosystème Bitcoin .

Connue sous le nom d'Antbleed (un nom attribué par le site web qui a annoncé sa publication), cette vulnérabilité est open source, ce qui facilite sa vérification. Avant sa révélation, un groupe de développeurs, dont Marek Palatinus, PDG de Satoshi Labs, a été informé de cette fonctionnalité.vérification indépendanteque la porte dérobée existe et qu'elle peut être utilisée pour arrêter les mineurs de Bitmain sur le déclencheur.

Bitmain rapidementa réponduavec un correctif qui efface cette partie de son firmware de minage. De plus, son équipe a affirmé que cette fonctionnalité n'avait jamais été finalisée et qu'elle était destinée à aider les clients à récupérer les mineurs volés, un problème récurrent pour les entreprises du secteur.

La déclaration dit :

Nous n'avons jamais eu l'intention d'utiliser cette fonctionnalité sur un Antminer sans l'autorisation de son propriétaire. Elle est similaire à la fonction d'effacement ou d'arrêt à distance proposée par la plupart des fabricants de smartphones.

Une grande partie du buzz récent dans la communauté porte sur la question de savoir si la soi-disant « porte dérobée » aurait pu être utilisée à des fins malveillantes, par exemple pour arrêter un mineur s'il ne respectait T les règles établies par Bitmain.

La confusion est accentuée par la politisation récente des développements du Bitcoin , Bitmain étant souvent au cœur du débat de longue date sur sa mise à l'échelle, s'opposant aux propositions formulées par les membres de la communauté Bitcoin CORE . Par exemple, la révélation d'une vulnérabilité suit les allégations que le fabricant utilisait un avantage minier Secret pour augmenter ses profits.

Dans une conversation avec CoinDesk, le scientifique en chef de Bitcoin Unlimited, Peter Rizun, a peut-être le mieux résumé le problème et l'atmosphère environnante :

« Le drame actuel sur les réseaux sociaux tourne autour de la question de savoir s’il existe une faille de sécurité qui permettrait d’exploiter cette fonction de contrôle à distance à des fins malveillantes. »

Détails du code

Il semble néanmoins qu’il existe d’autres raisons de s’inquiéter de cette porte dérobée.

Étant donné qu'elles peuvent être exploitées par des acteurs malveillants extérieurs à l'entreprise, les puces de minage sont désormais considérées comme une menace pour la sécurité du réseau. Selon l'open source, elles sont exploitées toutes les ONE à 11 minutes. correctifIntroduites le 12 juillet 2016, les machines renvoient les appels vers un serveur Bitmain.

L’idée est que le fabricant minier puisse rechercher des informations d’identification sur la puce minière, y compris son numéro de série et son adresse IP.

Mais, sans doute, la plus grande préoccupation est que le code n'est T limité à l'utilisation par certaines personnes ou entreprises, il peut donc être exploité par n'importe quel intermédiaire ou attaque provenant du même serveur DNS.

« Même sans que Bitmain soit malveillant, l'API n'est pas authentifiée et permettrait à n'importe quel MITM, DNS ou détournement de domaine de fermer Antminers à l'échelle mondiale », peut-on lire sur le site Web d'Antbleed, soulignant davantage les inquiétudes concernant le potentiel d'utilisation abusive technique ou politique.

Vulnérabilité ou porte dérobée « malveillante » ?

La question de savoir si cette initiative était intentionnellement malveillante ou non semble constituer l’essentiel du débat environnant, et jusqu’à présent, il semble que le sentiment ait évolué dans le sens du débat sur l’échelle.

Certains ont néanmoins rompu avec les lignes du parti.

« C'était imprudent de leur part de laisser la fonctionnalité inachevée dans le code, car cela représente un problème de sécurité majeur », a déclaré Henry Brade, PDG du fournisseur de services Bitcoin Prasos, ancien défenseur des propositions de mise à l'échelle de Bitcoin Core.

« Cependant, compte tenu de cette déclaration, il est inexact de qualifier Antbleed de malveillant. Il s'agit simplement d'un grave problème de sécurité. »

Wang Chun, opérateur de F2pool, a également indiqué qu'il ne craignait T particulièrement que les mineurs de son pool soient victimes de manipulations de la part de Bitmain. Il a indiqué à CoinDesk que l'entreprise T semblait jamais avoir utilisé cette pratique pour bloquer des mineurs.

« Ils ont pu le faire pendant longtemps, mais ils ne l’ont T», a-t-il déclaré.

Guy Corem, ancien PDG du Maker israélien de puces minières Spondoolies-Tech, a attribué la controverse à « l'incompétence » et à la « négligence », plutôt qu'à une intention malveillante.

« Il est logique qu'ils aient souhaité développer une telle fonctionnalité, mais il est également logique qu'ils ne l'aient T finalisée et abandonnée », a-t-il ajouté. Il a également cité Spondoolies-Tech. propres problèmes passésavec du matériel minier volé.

Pourtant, certains membres de la communauté sontsceptique deLa réponse de Bitmain.

« Le déni de nombreuses personnes est incroyable. 'Antbleed' n'est ni un bug ni une erreur. L'objectif du code est clair : arrêter le mineur sur un indicateur distant », a tweeté Palatinus.

Informations publiques ?

D’autres ont exprimé des inquiétudes quant à la possibilité que cette vulnérabilité soit rendue publique, car des personnes extérieures pourraient alors profiter du vecteur d’attaque.

Matt Corallo, contributeur de Bitcoin CORE, a soutenu que les propriétaires de ces mineurs de Bitcoin devaient être informés de la vulnérabilité potentielle afin de la corriger.

« Le problème est qu'il est déjà intégré dans une TON de matériel déployé », a-t-il déclaré, ajoutant :

« Cela a été signalé à Bitmain via ce rapport de bogue il y a des mois, et leurs clients doivent savoir comment protéger leurs opérations contre d'éventuelles [attaques de l'homme du milieu] ».

Le problème a été signalé pour la première fois à Bitmain sur Githubhttps://github.com/bitmaintech/bmminer/issues/7 en septembre 2016.

La question est de savoir dans quelle mesure cette pratique est répandue dans le Bitcoin. Secret portes dérobées Ces failles semblent monnaie courante dans le monde de la Technologies , attirant souvent des critiques en matière de sécurité dès leur découverte. D'autres fabricants de matériel présentent-ils la même vulnérabilité ? Deux fabricants de matériel minier, au moins, affirment le T.

« Notre matériel ne présente T de tels problèmes, nous T proposons pas de mise à jour à distance du firmware – c'est au client de décider de le mettre à jour ou non », a déclaré Alex Petrov, DSI de la startup blockchain Bitfury Group.

« Mon mineur n'a pas d'ASICBoost ni de porte dérobée », a déclaré Jack Liao, PDG de l'exploitation minière LightningAsic, à CoinDesk.

En plus des détails sur la porte dérobée, ceux qui l'ont détectée ont publié un correctif qui la ferme avec une seule ligne de code.

Centralisation minière

Il subsiste néanmoins des inquiétudes quant au fait que cette vulnérabilité trahisse une faiblesse du réseau Bitcoin , à savoir le manque de fabricants de puces minières.

Aucune donnée claire n'est disponible sur le nombre de mineurs qui utilisent ce logiciel, mais Bitmain est ONEun des plus grands fabricants de puces dans le domaine, avec des estimations plus audacieuses suggérant qu'il produit 70 % de toutes les puces minières.

Le fait que la porte dérobée puisse être utilisée pour impacter l’une de ces puces est sans surprise alarmant pour les partisans d’un réseau « décentralisé » et ouvert à la concurrence permettant à différents acteurs de s’y engager.

Pour l’instant, l’impact semble être que Bitmain prendra des mesures pour examiner le reste de sa base de code afin de repérer d’autres vulnérabilités.

« La controverse autour de ce code a attiré notre attention sur la nécessité d'améliorer la conception afin de remédier aux vulnérabilités qui ont été récemment signalées par la communauté », peut-on lire dans son communiqué.

D’autres encore déplorent l’état du drame et du débat autour de cette question, soulignant la rapidité avec laquelle elle est devenue politisée.

Rizun a conclu :

« Dans l’ensemble, ce n’est qu’un autre jour pour Bitcoin. »

Image viaSite Web AntBleed