'High' Severity Bug sa Bitcoin Software Inihayag 2 Taon Pagkatapos Ayusin

Ang dati nang hindi nabunyag na kahinaan sa Bitcoin CORE software ay maaaring nagbigay-daan sa mga umaatake na magnakaw ng mga pondo, antalahin ang mga pag-aayos o hatiin ang pinakamalaking network ng blockchain sa magkasalungat na mga bersyon kung hindi ito tahimik na na-patch dalawang taon na ang nakakaraan.

Iyon ay ayon sa a papelinilathala noong Miyerkules ni Braydon Fuller, isang protocol engineer sa Crypto shopping site na Purse, na nakakuha ng denial-of-service na kahinaan noong Hunyo 2018, at Javed Khan, isang CORE developer ng Handshake protocol.

Ang kahinaan ay binigyan ng antas ng kalubhaan na 7.8 sa sukat na 1 hanggang 10, na itinuturing na "mataas" (9 o mas mataas ay itinuturing na "kritikal"). Ito ay sanhi ng "mga malalayong node" na nabigong i-clear ang mga di-wastong transaksyon mula sa kanilang memorya, sinabi ni Khan sa CoinDesk.

Ang kawalan ng kakayahan na i-clear ang mga transaksyong iyon ay maaaring humantong sa isang aggressor na binabaha ang isang node ng biktima na may lipas na data sa kung ano ang tinutukoy bilang "hindi nakokontrol na pagkonsumo ng mapagkukunan," sa kalaunan ay nagiging sanhi ng pagsara ng node, ang pahayag ng papel.

Ang mga solusyon sa Layer 2 (L2) tulad ng Lightning Network, ang eksperimental na sistema ng pagbabayad na binuo sa ibabaw ng Bitcoin blockchain, ay nasa panganib dahil sa kahinaan. Ang buong node ng Bitcoin ay hindi nasa panganib na mawalan ng mga pondo.

Read More: Ang Pinakabagong Paglabas ng Bitcoin CORE Code ay Pinoprotektahan Laban sa Mga Pag-atake ng Nation-State

"Walang mekanismo upang matiyak na ang mga nakabinbing detalye ng isang transaksyon ay wasto o hindi. Sa ilang mga kaso maaari mong punan ang malayong memorya ng mga di-wastong transaksyon," sabi ni Khan.

Walang pagtatangkang samantalahin ang butas na natagpuan sa ligaw, isinulat ni Khan at Fuller. Ang kahinaan ay hindi maaaring ibunyag sa publiko sa loob ng higit sa dalawang taon dahil ang mga operator ng node ay mas matagal kaysa sa inaasahan na mag-update, sinabi ni Fuller.

Bagama't ang kahinaan ay naayos, ang Disclosure nito ay nagha-highlight sa mga kahirapan sa pagbuo ng isang pandaigdigang pamantayan ng pera sa mga programming language na nilikha ng mga tao, hindi pa banggitin ang mataas na teknikal na mga hadlang sa pagsali sa pagbuo ng nangungunang Cryptocurrency.

Ang kahinaan ay ipinakilala sa Bitcoin CORE sa Nobyembre 2017. Ang ilang 50% ng mga node ng Bitcoin sa panahong iyon ay nalantad sa vector ng pag-atake, ayon sa papel. Ang mga naunang bersyon ng Bitcoin CORE ay hindi naapektuhan.

Bitcoin CORE at higit pa

Sinabi ni Khan na ang kahinaan ay maaaring nagbigay-daan sa isang umaatake na magnakaw ng mga pondo mula sa mga node na may mga bukas na channel sa Lightning.

Ang mga bersyon ng Bitcoin CORE 0.16.0 at 0.16.1 ay naapektuhan at pinagtagpi-tagpi ng developer na si Matt Corallo kasunod ng Disclosure ni Fuller sa CORE team noong Hulyo 2018. Hindi sinagot ni Corallo ang mga tanong na humihingi ng komento sa oras ng press.

Ang Discovery ni Fuller (na nagtrabaho rin bilang lead developer sa desentralisadong cloud storage protocol STORJ) ay sinundan ng isa pang Bitcoin bug natugunan makalipas ang dalawang buwan sa Bitcoin CORE 0.16.3. Isang vector din para sa a atake sa pagtanggi sa serbisyo, ONE aspeto ng bug na iyon ang nagbigay-daan sa mga minero na “palakihin ang suplay ng Bitcoin” dahil maaari nilang i-double-spend ang ilang partikular na halaga, ang Bitcoin CORE team nagsulat sa oras na iyon.

Ang pang-emergency na patch na ibinigay sa bersyon ng Bitcoin CORE na iyon ay tumugon din sa bug ni Fuller, isinulat ni Khan at Fuller.

Isang lugar ang nakalaan para sa kahinaan sa pagkonsumo ng mapagkukunan sa National Institute of Standards and Technology's Common Vulnerabilities and Exposures (CVE) registry bilang CVE-2018-17145 noong 2018, ngunit hindi pa ito napunan. Ang pagpapatala ay gumaganap bilang isang pampublikong glossary para sa mga bug ng tala ng software.

Ang Bitcoin CORE ay ang reference na pagpapatupad, o karaniwang bersyon ng network software kung saan nagmula ang iba. Ayon sa papel, ang pagsasamantala ay posible rin sa ilang iba pang mga pagpapatupad ng Bitcoin at mga sanga nito:

• Bitcoin Knots v0.16.0
• Lahat ng beta na bersyon ng Bcoin hanggang v1.0.0-pre
• Lahat ng bersyon ng Btcd hanggang v0.20.1-beta
• Litecoin CORE v0.16.0
• Namecoin CORE v0.16.1
• Lahat ng bersyon ng Dcrd hanggang v1.5.1.

Ang lahat ng mga pagpapatupad na ito ay na-patched.

I-UPDATE (Set. 10, 15:45 UTC):Mula nang ma-publish, ang artikulong ito ay na-update upang magsama ng isang LINK sa papel at karagdagang impormasyon tungkol sa ONE sa mga kapwa may-akda nito at tungkol sa kahinaan na inilarawan nito.