Condividi questo articolo
Una falla di Linux renderà gli utenti di Bitcoin vulnerabili agli attacchi?
Un errore di vecchia data nel pacchetto gnuTLS di Linux potrebbe avere un impatto di vasta portata sulla comunità Bitcoin .
Di Pete Rizzo
È stata individuata una falla di sicurezza in un importante programma crittografico nel pacchetto Linux gnuTLS, un componente opzionale per applicazioni client di terze parti Bitcoin e altcoin.
La libreria SSL gnuTLS è inclusa in molti pacchetti open source come quelli delle distribuzioni Linux Red Hat, Ubuntu e Debian.
La storia continua sotto
Originariamente scopertodurante un auditdi gnuTLS per Red Hat, gli effetti della falla hanno una vasta portata per gli sviluppatori.
SpiegatoTecnica dell'artenel suo rapporto:
"[Gli] attacchi aggirano la Tecnologie più ampiamente utilizzata per impedire le intercettazioni su Internet, grazie a una vulnerabilità estremamente critica in una libreria di codici crittografici ampiamente utilizzata."
Il bug, spiega la fonte, è il risultato di comandi in una sezione del codice gnuTLS che gestisce la verifica del certificato. Le stime suggeriscono che l'errore potrebbe essere stato introdotto già nel 2005, anche se è stato scopertoil 4 marzo.
Inoltre, potrebbero essere interessati più di 200 sistemi operativi e app diversi.
Bug GnuTLS VERAMENTE GRAVE: bypassa SSL, TLS su oltre 200 sistemi operativi diversi, app che si basano su GnuTLS per le operazioni SSL e TLS<a href="http://t.co/Tj7nA9R0ih">T</a>
—Team Cymru (@teamcymru) 5 marzo 2014
La falla, che comporta errori con diverse chiamate "goto cleanup", è potenzialmente pericolosa in quanto consente di fatto a qualcuno di eseguire un "attacco man in the middle", mediante il quale le comunicazioni crittografate tra un client e il server web possono essere sfruttate con certificati appositamente creati.
Red Hat ha scritto nella sua valutazione:
"Un aggressore potrebbe sfruttare questa falla per creare un certificato appositamente predisposto che potrebbe essere accettato da gnuTLS come valido per un sito scelto dall'aggressore."
Impatto sugli utenti Bitcoin
Nonostantel'allarme che ha lanciato il bugnella più ampia comunità tecnologica, Jeff Garzik, sviluppatore capo Bitcoin , ha dichiarato a CoinDesk che è improbabile che il problema abbia un impatto sostanziale su Bitcoin, anche se alcuni ne saranno interessati.
Garzik ha spiegato:
"Il bug di gnuTLS è piuttosto grave, ma sono davvero pochi quelli che usano gnuTLS nella comunità Bitcoin . OpenSSL è standard."
Garzik ha affermato che l'uso di OpenSSL attenua il rischio di fork che si presenta quando si utilizzano altre librerie concorrenti per software chiave, come gnuTLS.
Ha anche affermato che i progetti che utilizzano OpenSSL, Mozilla NSS, Crypto++ o un'altra libreria Cripto non sono interessati dal bug. Chiunque abbia compilato Bitcoind su questo pacchetto SSL, tuttavia, avrebbe un'implementazione vulnerabile, ha osservato.
Ankur Nandwani, uno sviluppatore presso Bitmoneta, ha suggerito che gli utenti di portafogli ospitati e gli utenti di exchange Bitcoin sarebbero i più colpiti, ma ha affermato che esistono semplici misure di protezione per prevenire i problemi.
"In entrambi i casi, un aggressore può intercettare le credenziali degli utenti, quando questi cercano di accedere al loro account. Per ridurre la probabilità che i portafogli online e le credenziali di scambio vengano compromessi, è davvero importante che tutti utilizzino l'autenticazione a due fattori."
Nandwani ha affermato che il bug è la prova che gli utenti Bitcoin dovrebbero ridurre la loro dipendenza dai portafogli elettronici e dagli exchange.
Implementazione di una correzione
Il team gnuTLS hada quando è stato annunciato un aggiornamento per tenere conto del difetto, ONE gli utenti e gli sviluppatori Bitcoin e altcoin che hanno bisogno della correzione possono ora aggiornare. Red Hat ha indicato che gli utenti gnuTLS dovrebbero aggiornare i loro pacchetti per correggere il problema e ha indicato che tutte le applicazioni collegate alla libreria gnuTLS devono essere riavviate affinché l'aggiornamento abbia luogo.
Sebbene gli errori siano stati risolti nella versione 3.2.12, persistono ancora tra il pubblico, il che ha portato a paragoni con altri errori estremi nella storia dei difetti di codifica.
Gnu ha una falla nella sicurezza di rete ancora peggiore di quella di Apple... E dal 2005...<a href="http://t.co/iiuxG10XdK">T</a>
— JoergR (@JoergR)5 marzo 2014
Per una spiegazione completa dell'errore e su come procedere se sei interessato,clicca qui.
Credito immagine:Codice informaticotramite Shutterstock
Lebih untuk Anda
Yang perlu diketahui:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
Lebih untuk Anda
Solana’s Drift Lancia la Versione 3, con Operazioni 10 Volte Più Veloci
Con la versione 3, il team afferma che circa l'85% degli ordini di mercato verrà eseguito in meno di mezzo secondo, e la liquidità si approfondirà a sufficienza da ridurre lo slippage sulle operazioni di maggiore entità a circa lo 0,02%.
Yang perlu diketahui:
- Drift, una delle più grandi piattaforme di trading perpetual su Solana, ha lanciato Drift v3, un importante aggiornamento pensato per rendere il trading on-chain veloce e fluido come l’utilizzo di un exchange centralizzato.
- La nuova versione offrirà un'esecuzione delle operazioni 10 volte più veloce grazie a un backend ricostruito, segnando il più grande salto di performance che il progetto abbia mai realizzato finora.
