Поділитися цією статтею
Чи зробить біткойнерів вразливими до атак недолік Linux?
Тривала помилка з пакетом Linux gnuTLS може мати широкий вплив на Bitcoin спільноту.
Автор Pete Rizzo
У пакеті Linux gnuTLS, додатковому компоненті сторонніх клієнтських додатків для Bitcoin і альткойнів, виявлено недолік безпеки в ключовій криптографічній програмі.
Бібліотека gnuTLS SSL включена в багато пакетів з відкритим вихідним кодом, наприклад у дистрибутивах Red Hat, Ubuntu і Debian Linux.
Продовження Нижче
Не пропустіть жодної історії.Підпишіться на розсилку The Protocol вже сьогодні. Переглянути всі розсилки
Спочатку виявлено під час аудиту gnuTLS для Red Hat, наслідки недоліку для розробників є широкомасштабними.
Пояснив Ars Technica у своєму звіті:
«[Ці] атаки обходять найбільш широко використовувану Технології для запобігання прослуховування в Інтернеті завдяки надзвичайно критичній вразливості в широко використовуваній бібліотеці криптографічного коду».
Помилка, пояснює джерело, є результатом команд у розділі коду gnuTLS, який обробляє перевірку сертифіката. Оцінки припускають, що помилка могла виникнути ще в 2005 році, хоча її було виявлено 4 березня.
Крім того, це може вплинути на понад 200 різних операційних систем і програм.
Помилка GnuTLS ДУЖЕ ПОГАНА: обійти SSL, TLS понад 200 різних ОС, програми, які покладаються на GnuTLS для операцій SSL і TLS <a href="http://t.co/Tj7nA9R0ih">http:// T.co/Tj7nA9R0ih</a>
— Team Cymru (@teamcymru) 5 березня 2014 року
Недолік, який містить помилки під час кількох викликів «goto cleanup», є потенційно небезпечним, оскільки фактично дозволяє комусь здійснити атаку «людина посередині», за допомогою якої можна використовувати зашифрований зв’язок між клієнтом і веб-сервером за допомогою спеціально створених сертифікатів.
У своїй оцінці Red Hat написав:
«Зловмисник може використати цю помилку, щоб створити спеціально створений сертифікат, який може бути прийнятий gnuTLS як дійсний для сайту, вибраного зловмисником».
Вплив на користувачів Bitcoin
Незважаючи на те тривога, яку підняв жучокУ ширшому технічному співтоваристві провідний розробник Bitcoin Джефф Гарзік сказав CoinDesk , що ця проблема навряд чи матиме суттєвий вплив на Bitcoin, хоча деякі з них вплинуть.
Гарзік пояснив:
«Помилка gnuTLS досить погана, але дуже мало хто використовує gnuTLS у Bitcoin спільноті. OpenSSL є стандартним».
Гарзік зазначив, що використання OpenSSL зменшує ризик розгалуження, який існує при використанні інших конкуруючих бібліотек для ключового програмного забезпечення, наприклад gnuTLS.
Він також заявив, що на проекти, які використовують OpenSSL, Mozilla NSS, Crypto++ або іншу Крипто , ця помилка не впливає. Проте будь-хто, хто скомпілював Bitcoind із цим пакетом SSL, мав би вразливу реалізацію, зазначив він.
Анкур Нандвані, розробник Бітмонет, припустив, що найбільше постраждають користувачі розміщених гаманців і користувачі бірж Bitcoin , але зазначив, що існують прості засоби захисту, щоб запобігти проблемам.
«В обох випадках зловмисник може пронюхати облікові дані користувача, коли користувачі намагаються увійти в свій обліковий запис. Щоб зменшити ймовірність злому онлайн-гаманців і облікових даних обміну, дуже важливо, щоб усі використовували двофакторну автентифікацію».
Нандвані сказав, що помилка є доказом того, що користувачі Bitcoin повинні зменшити свою залежність від онлайн-гаманців і бірж.
Реалізація виправлення
Команда gnuTLS має з моменту оголошення оновлення для усунення недоліку, користувачі та розробники, які потребують виправлення, тепер можуть оновити ONE Bitcoin та альткойн. Red Hat вказав, що користувачі gnuTLS повинні оновити свої пакунки, щоб усунути проблему, і вказав, що всі програми, пов’язані з бібліотекою gnuTLS, необхідно перезапустити, щоб відбулося оновлення.
Незважаючи на те, що помилки виправлено у версії 3.2.12, вони все ще залишаються серед громадськості, що викликало порівняння з іншими надзвичайними помилками в історії недоліків кодування.
Gnu має ще гірший недолік мережевої безпеки, ніж Apple... А з 2005 року... <a href="http://t.co/iiuxG10XdK">http:// T.co/iiuxG10XdK</a>
— JoergR (@JoergR) 5 березня 2014 року
Для повного пояснення помилки та того, як діяти, якщо ви її вплинули, натисніть тут.
Кредит зображення: Комп'ютерний код через Shutterstock
More For You
What to know:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
More For You
ZKsync Lite to Shut Down in 2026 as Matter Labs Moves On
The company framed the move, happening in early 2026, as a planned sunset.
What to know:
- Matter Labs plans to deprecate ZKsync Lite, the first iteration of its Ethereum layer-2 network, the team said in a post on X over the weekend.
- The company framed the move, happening in early 2026, as a planned sunset for an early proof-of-concept that helped validate their zero-knowledge rollup design choices before newer systems went live.
Головне
