Помилка «високого» ступеня серйозності в програмному забезпеченні для Bitcoin виявлена ​​через 2 роки після виправлення

Раніше невідома вразливість у програмному забезпеченні Bitcoin CORE могла дозволити зловмисникам викрасти кошти, затримати розрахунки або розділити найбільшу блокчейн-мережу на конфліктуючі версії, якби її не було тихо виправлено два роки тому.

Це за словами а папіропублікований у середу Брейдоном Фуллером, інженером з протоколів Крипто сайту Purse, який виявив уразливість відмови в обслуговуванні в червні 2018 року, і Джаведом Ханом, CORE розробником протоколу Handshake.

Уразливості було присвоєно рівень серйозності 7,8 за шкалою від 1 до 10, що вважається «високим» (9 або вище вважається «критичним»). Це було спричинено тим, що «віддалені вузли» не змогли очистити недійсні транзакції зі своєї пам’яті, сказав Хан CoinDesk.

Неможливість очистити ці транзакції може призвести до того, що агресор заповнить вузол-жертву застарілими даними, що називається «неконтрольованим споживанням ресурсів», що зрештою призведе до завершення роботи вузла, йдеться в документі.

Рішення рівня 2 (L2), такі як Lightning Network, експериментальна платіжна система, побудована на основі блокчейну Bitcoin , були під загрозою через уразливість. Повні вузли Bitcoin не ризикували втратити кошти.

Читайте також: Остання версія CORE коду Bitcoin захищає від атак національних держав

"Не було механізму, щоб переконатися, що незавершені деталі транзакції дійсні чи ні. У деяких випадках ви могли заповнити віддалену пам'ять недійсними транзакціями", - сказав Хан.

Хан і Фуллер пишуть, що в дикій природі не було виявлено жодної спроби скористатися цією дірою. За словами Фуллера, уразливість не могла бути оприлюднена публічно понад два роки, оскільки операторам вузлів знадобилося більше часу, ніж очікувалося, для оновлення.

Хоча вразливість було виправлено, її Повідомлення підкреслює труднощі створення глобального грошового стандарту на мовах програмування, створених людьми, не кажучи вже про високі технічні бар’єри для участі в розробці найкращої Криптовалюта.

Уразливість була введена в Bitcoin CORE в Листопад 2017 року. За даними газети, близько 50% Bitcoin вузлів на той час були піддані вектору атаки. Це не вплинуло на попередні версії Bitcoin CORE .

Bitcoin CORE і багато іншого

Хан сказав, що вразливість могла дозволити зловмиснику викрасти кошти з вузлів, які мали відкриті канали на Lightning.

Постраждали версії Bitcoin CORE 0.16.0 і 0.16.1 латаний розробник Метт Коралло після того, як Фуллер Повідомлення CORE команді в липні 2018 року. Коралло не відповів на запитання, щоб отримати коментарі.

Цікаве Фуллера (який також працював провідним розробником протоколу децентралізованого хмарного зберігання STORJ) супроводжувалося ще одним Помилка Bitcoin розглянуто через два місяці в Bitcoin CORE 0.16.3. Також вектор для a атака на відмову в обслуговуванні, ONE аспект цієї помилки дозволив майнерам «збільшити пропозицію Bitcoin», оскільки вони могли подвоїти витрати певних цінностей, команда Bitcoin CORE написав в той час.

Екстрений патч, випущений у цій версії Bitcoin CORE , також усунув помилку Фуллера, написали Хан і Фуллер.

Місце було зарезервовано для вразливості споживання ресурсів у реєстрі загальних вразливостей і експозицій (CVE) Національного інституту стандартів і технологій як CVE-2018-17145 у 2018 році, але його ще належить заповнити. Реєстр діє як загальнодоступний глосарій для відомих помилок програмного забезпечення.

Bitcoin CORE є еталонною реалізацією або стандартною версією мережевого програмного забезпечення, з якого походять інші. Згідно з документом, експлойт також був можливий на кількох інших реалізаціях Bitcoin та його відгалуженнях:

• Bitcoin Knots v0.16.0
• Усі бета-версії Bcoin до v1.0.0-pre
• Усі версії Btcd до v0.20.1-beta
• Litecoin CORE v0.16.0
• CORE Namecoin v0.16.1
• Усі версії Dcrd до v1.5.1.

Усі ці реалізації були виправлені.

ОНОВЛЕННЯ (10 вересня, 15:45 UTC):Після публікації цю статтю було оновлено, щоб включити LINK на статтю та додаткову інформацію про ONE з її співавторів і про вразливість, яку в ній описано.