Se revela un error de "alta" gravedad en el software de Bitcoin dos años después de su solución

Una vulnerabilidad previamente no revelada en el software de Bitcoin CORE podría haber permitido a los atacantes robar fondos, retrasar liquidaciones o dividir la red blockchain más grande en versiones conflictivas si no se hubiera solucionado silenciosamente hace dos años.

Eso es según unpapelpublicado el miércoles por Braydon Fuller, un ingeniero de protocolo del sitio de compras de Cripto Purse, quien detectó la vulnerabilidad de denegación de servicio en junio de 2018, y Javed Khan, un desarrollador CORE del protocolo Handshake.

La vulnerabilidad recibió un nivel de gravedad de 7.8 en una escala del 1 al 10, considerado "alto" (9 o superior se considera "crítico"). Fue causada por la imposibilidad de los "nodos remotos" de borrar las transacciones no válidas de su memoria, según declaró Khan a CoinDesk.

La incapacidad de liquidar dichas transacciones podría llevar a que un agresor inunde un nodo víctima con datos obsoletos en lo que se conoce como "consumo descontrolado de recursos", lo que eventualmente provocaría el cierre del nodo, afirma el documento.

Las soluciones de Capa 2 (L2), como Lightning Network, el sistema de pagos experimental basado en la blockchain de Bitcoin , estaban en riesgo debido a la vulnerabilidad. Los nodos completos de Bitcoin no corrían riesgo de perder fondos.

Sigue leyendo: La última versión del código CORE de Bitcoin protege contra ataques de Estados nacionales.

No existía ningún mecanismo para garantizar la validez de los detalles pendientes de una transacción. En ciertos casos, la memoria remota podía llenarse con transacciones inválidas, explicó Khan.

Khan y Fuller escribieron que no se detectó ningún intento de aprovechar la vulnerabilidad. La vulnerabilidad no pudo divulgarse públicamente durante más de dos años, ya que los operadores de nodos tardaron más de lo previsto en actualizarla, afirmó Fuller.

Si bien la vulnerabilidad fue corregida, su Aviso legal resalta las dificultades de construir un estándar monetario global basado en lenguajes de programación creados por humanos, sin mencionar las altas barreras técnicas para participar en el desarrollo de la principal Criptomonedas.

La vulnerabilidad se introdujo en Bitcoin CORE en Noviembre de 2017Según el informe, aproximadamente el 50 % de los nodos de Bitcoin en ese momento estaban expuestos al vector de ataque. Las versiones anteriores de Bitcoin CORE no se vieron afectadas.

Bitcoin CORE y más

Khan dijo que la vulnerabilidad podría haber permitido a un atacante robar fondos de los nodos que tenían canales abiertos en Lightning.

Las versiones 0.16.0 y 0.16.1 de Bitcoin CORE se vieron afectadas y parcheado por el desarrollador Matt Corallo luego de la Aviso legal de Fuller al equipo CORE en julio de 2018. Corallo no respondió preguntas en busca de comentarios al momento de la publicación.

El Explora de Fuller (que también trabajó como desarrollador principal en el protocolo de almacenamiento en la nube descentralizado STORJ) fue seguido por otro Error de Bitcoin Se abordó dos meses después en Bitcoin CORE 0.16.3. También un vector para un ataque de denegación de servicio, un aspecto de ese error permitió a los mineros "inflar el suministro de Bitcoin"ya que podrían duplicar el gasto de ciertos valores, el equipo de Bitcoin CORE escribió En el momento.

El parche de emergencia emitido en esa versión de Bitcoin CORE también solucionó el error de Fuller, escribieron Khan y Fuller.

Se reservó un lugar para la vulnerabilidad de consumo de recursos en el registro de Vulnerabilidades y Exposiciones Comunes (CVE) del Instituto Nacional de Estándares y Tecnología comoCVE-2018-17145En 2018, pero aún no se ha completado. El registro funciona como un glosario público de errores de software importantes.

Bitcoin CORE es la implementación de referencia, o versión estándar, del software de red del que se derivan otras. Según el artículo, el exploit también fue posible en varias otras implementaciones de Bitcoin y sus derivados:

• Nudos de Bitcoin v0.16.0
• Todas las versiones beta de Bcoin hasta v1.0.0-pre
• Todas las versiones de Btcd hasta v0.20.1-beta
• Litecoin CORE v0.16.0
• CORE de Namecoin v0.16.1
• Todas las versiones de Dcrd hasta v1.5.1.

Se han corregido todas estas implementaciones.

ACTUALIZACIÓN (10 de septiembre, 15:45 UTC):Desde su publicación, este artículo se ha actualizado para incluir un LINK al artículo e información adicional sobre ONE de sus coautores y sobre la vulnerabilidad que describe.