Le dernier bug de Bitcoin était si grave que les développeurs ont gardé tous ses détails Secret

Le bug majeur de Bitcoin de cette semaine était encore pire que ce que les développeurs avaient initialement laissé entendre.

Le bug a initialement secoué le monde du Bitcoin lorsqu'il a été signalé que la vulnérabilité pouvait être utilisée pourfermerun morceau du réseau.

Bien que cela ait semblé assez grave pour beaucoup, il s'avère que les développeurs de Bitcoin CORE ont gardé Secret une deuxième partie, plus importante, du bug. Comme l'a révélé un responsable. Rapport sur les vulnérabilités et expositions courantes (CVE), un attaquant aurait pu l'utiliser pour créer de nouveaux Bitcoin - au-dessus du plafond de 21 millions de création de pièces - gonflant ainsi l'offre et dévaluant les bitcoins actuels.

Une telle perversion des règles pourrait, au pire, selon beaucoup, amener les utilisateurs à ne plus faire confiance à la Cryptomonnaie .

En raison des conséquences désastreuses du bug, les développeurs ont décidé de le KEEP Secret, gagnant ainsi du temps pour corriger l'exploit et inciter les mineurs et les utilisateurs à mettre à niveau leur logiciel.

Le rapport CVE rédigé par les développeurs de Bitcoin CORE explique:

« Afin d'encourager des mises à niveau rapides, la décision a été prise de corriger et de divulguer immédiatement la vulnérabilité de déni de service la moins grave, tout en contactant les mineurs, les entreprises et les autres systèmes affectés, tout en retardant la publication du problème complet pour donner le temps aux systèmes de se mettre à niveau. »

Et pour l’instant, le plan semble avoir fonctionné.

Plus de la moitié du taux de hachage minier de Bitcoin a été mis à niveau vers la version logicielle corrigée, ce qui signifie que l'attaque ne peut plus être utilisée, et les développeurs ne sont « au courant d'aucune tentative d'exploitation de cette vulnérabilité », indique le rapport.

Qui l'a trouvé ?

Trouver un bug aussi grave était une situation stressante pour les développeurs.

Selon le rapport, un utilisateur anonyme a initialement signalé le bug de déni de service aux principaux développeurs de Bitcoin CORE et de Bitcoin ABC, la principale implémentation logicielle de Bitcoin Cash. Environ deux heures plus tard, Matt Corallo, ingénieur de Chaincode et développeur de Bitcoin CORE, a réalisé que le bug aurait pu être exploité pour imprimer des Bitcoin en quantité illimitée.

Compte tenu de la gravité de la vulnérabilité, les développeurs ont décidé de KEEP ces détails Secret dans un premier temps.

Au lieu de cela, à partir de Slush Pool, ils ont commencé à inciter les mineurs à effectuer une mise à niveau. Et pour les utilisateurs de Bitcoin exécutant un nœud complet, l'appel à l'action est le même.

« Vous ne devez utiliser aucune version de Bitcoin CORE autre que la 0.16.3. Les versions plus anciennes ne devraient pas exister sur le réseau. Si vous connaissez quelqu'un qui utilise une ancienne version, demandez-lui de la mettre à jour au plus vite », a déclaré Theymos, modérateur du subreddit Bitcoin . remarquédans un message actuellement épinglé en haut du forum.

Mais un autre problème existe désormais : la possibilité d’une scission de la chaîne Bitcoin.

Étant donné que les utilisateurs utilisent désormais différentes versions du logiciel Bitcoin , le réseau risque de se scinder temporairement en deux, puis de se reconstituer. Les transactions sur la chaîne utilisant l'ancien logiciel pourraient alors être perdues.

Bien que la situation soit surveillée de près, Theymos estime que le risque que cela se produise est faible. Il a néanmoins soutenu que les gens devraient prendre des précautions, par exemple en attendant plus longtemps pour s'assurer qu'une transaction en Bitcoin est bien vérifiée.

Theymos a ajouté :

« Au cours de la semaine prochaine, vous devriez considérer qu'il existe une faible possibilité qu'une transaction avec moins de 200 confirmations soit annulée. »

Faux Bitcoin?

Ce qui préoccupe encore certains utilisateurs, c'est de savoir s'il est possible que le bug ait déjà été exploité.

« Comment pouvons-nous savoir si cette vulnérabilité n'a T déjà été exploitée et s'il y a quelqu'un avec un tas de faux Bitcoin? » demandé un utilisateur de Bitcoin .

Heureusement, le contributeur de Bitcoin CORE Pieter Wuille a expliqué, grâce à la puissance du code, les utilisateurs de Bitcoin auraient pu détecter toute activité suspecte à l'heure actuelle.

Lors du premier téléchargement, les nœuds complets vérifient deux fois chaque transaction effectuée dans l'historique Bitcoin. Un nœud exécutant la nouvelle version du logiciel (0.16.3) détecterait immédiatement le problème.

Malgré cela, des questions subsistent quant à ce qui se serait passé si le bug n’avait T été détecté à temps.

Selon Theymos : « Même si le bug avait été exploité dans toute son ampleur, les dommages théoriques causés aux fonds stockés auraient été annulés. »

Theymos a poursuivi en disant que le retour en arrière ressemblerait beaucoup à ce qui s'est passé lors du soi-disant « incident de dépassement de valeur » en 2010, lorsque 187 milliards de bitcoinsont été crééssortis de nulle part mais qui, en fin de compte, ont été détruits.

Cependant, alors que Bitcoin CORE, Litecoin et plusieurs autres pièces basées sur le code de Bitcoin Core ont publié un correctif pour l'exploit, d'autres ne l'ont pas fait - et pourraient toujours être vulnérables au bug de l'inflation.

Image de code via Shutterstock