Rivelato bug di gravità "elevata" nel software Bitcoin 2 anni dopo la correzione

Una vulnerabilità nel software Bitcoin CORE , mai rivelata prima, avrebbe potuto consentire agli aggressori di rubare fondi, ritardare i pagamenti o dividere la più grande rete blockchain in versioni in conflitto tra loro, se non fosse stata risolta silenziosamente due anni fa.

Questo secondo uncartapubblicato mercoledì da Braydon Fuller, un ingegnere di protocollo del sito di Cripto Purse, che ha scoperto la vulnerabilità denial-of-service nel giugno 2018, e Javed Khan, uno degli sviluppatori CORE del protocollo Handshake.

Alla vulnerabilità è stato assegnato un livello di gravità di 7,8 su una scala da 1 a 10, che è considerato "alto" (9 o superiore è considerato "critico"). È stata causata da "nodi remoti" che non sono riusciti a cancellare le transazioni non valide dalla loro memoria, ha detto Khan a CoinDesk.

L'impossibilità di cancellare tali transazioni potrebbe portare un aggressore a inondare un nodo vittima con dati obsoleti, in quello che viene definito "consumo incontrollato di risorse", causando infine l'arresto del nodo, afferma il documento.

Le soluzioni Layer 2 (L2) come Lightning Network, il sistema di pagamento sperimentale costruito sulla blockchain Bitcoin , erano a rischio a causa della vulnerabilità. I ​​nodi completi Bitcoin non erano a rischio di perdita di fondi.

Continua a leggere: L'ultima versione del codice Bitcoin CORE protegge dagli attacchi degli stati nazionali

"Non c'era alcun meccanismo per assicurarsi che i dettagli in sospeso di una transazione fossero validi o meno. In certi casi si poteva riempire la memoria remota con transazioni non valide", ha detto Khan.

Khan e Fuller hanno scritto che non è stato trovato alcun tentativo di sfruttare il buco in natura. La vulnerabilità non è stata divulgata pubblicamente per oltre due anni, poiché gli operatori dei nodi hanno impiegato più tempo del previsto per l'aggiornamento, ha affermato Fuller.

Sebbene la vulnerabilità sia stata risolta, la sua Dichiarazione informativa evidenzia le difficoltà nel creare uno standard monetario globale basato su linguaggi di programmazione creati da esseri umani, per non parlare delle elevate barriere tecniche che impediscono di impegnarsi nello sviluppo della principale Criptovaluta.

La vulnerabilità è stata introdotta in Bitcoin CORE in Novembre 2017. Circa il 50% dei nodi Bitcoin all'epoca erano esposti al vettore di attacco, secondo il documento. Le versioni precedenti di Bitcoin CORE non erano interessate.

Bitcoin CORE e altro

Khan ha affermato che la vulnerabilità avrebbe potuto consentire a un aggressore di rubare fondi dai nodi che avevano canali aperti su Lightning.

Sono state interessate le versioni 0.16.0 e 0.16.1 di Bitcoin CORE e rattoppato dallo sviluppatore Matt Corallo in seguito Dichiarazione informativa di Fuller al team CORE nel luglio 2018. Al momento della stampa, Corallo non ha risposto alle domande che richiedevano un commento.

La Da scoprire di Fuller (che ha anche lavorato come sviluppatore principale del protocollo di archiviazione cloud decentralizzato STORJ) è stata seguita da un'altra Errore di Bitcoin affrontato due mesi dopo in Bitcoin CORE 0.16.3. Anche un vettore per un attacco di negazione del servizio, ONE aspetto di quel bug ha permesso ai minatori di “gonfiare l’offerta di Bitcoin" poiché potrebbero spendere due volte determinati valori, il team Bitcoin CORE ha scritto al momento.

La patch di emergenza rilasciata in quella versione Bitcoin CORE risolveva anche il bug di Fuller, hanno scritto Khan e Fuller.

Un posto è stato riservato alla vulnerabilità del consumo di risorse nel registro delle vulnerabilità e delle esposizioni comuni (CVE) del National Institute of Standards and Technology comeCVE-2018-17145nel 2018, ma deve ancora essere compilato. Il registro funge da glossario pubblico per i bug software degni di nota.

Bitcoin CORE è l'implementazione di riferimento, o versione standard del software di rete da cui derivano altri. Secondo il documento, l'exploit era possibile anche su diverse altre implementazioni di Bitcoin e dei suoi derivati:

• Nodi Bitcoin v0.16.0
• Tutte le versioni beta di Bcoin fino alla v1.0.0-pre
• Tutte le versioni di Btcd fino alla v0.20.1-beta
• Versione Litecoin CORE v0.16.0
• CORE Namecoin v0.16.1
• Tutte le versioni di Dcrd fino alla v1.5.1.

Tutte queste implementazioni sono state corrette.

AGGIORNAMENTO (10 settembre, 15:45 UTC):Dopo la pubblicazione, questo articolo è stato aggiornato per includere un LINK al documento e informazioni aggiuntive su ONE dei suoi coautori e sulla vulnerabilità in esso descritta.