Πριν από δύο χρόνια (το 2018), ένας ερευνητής ασφάλειας ανακάλυψε μια μεγάλη ευπάθεια στο Bitcoin Core. Πρόκειται για το λογισμικό που τροφοδοτεί το Bitcoin blockchain. Ο ερευνητής ανέφερε το ζήτημα το οποίο και διορθώθηκε, ωστόσο κράτησε τις πληροφορίες σχετικά με το Bitcoin bug μυστικές, ώστε να μην μπορέσουν οι hackers να το εκμεταλλευτούν με κάποιο τρόπο.
Οι τεχνικές λεπτομέρειες δημοσιεύτηκαν μετά από δύο χρόνια και συγκεκριμένα πριν λίγες μέρες, αφού το ίδιο Bitcoin bug ανακαλύφθηκε σε cryptocurrency, που βασίζεται σε παλαιότερη έκδοση του Bitcoin code, που δεν έχει λάβει την ενημέρωση (patch).
Out-of-Memory denial-of-service επίθεση
Σύμφωνα με τον ερευνητή, η ευπάθεια που λέγεται INVDoS, είναι μια κλασική denial-of-service (DoS) επίθεση. Ενώ στις περισσότερες περιπτώσεις οι επιθέσεις DoS είναι ακίνδυνες, δεν προορίζονται για internet-reachable συστήματα, τα οποία πρέπει να έχουν stable uptime για την επεξεργασία συναλλαγών.
H ευπάθεια INVDoS ανακαλύφθηκε το 2018 από τον ερευνητή-μηχανικό Braydon Fuller. Ο Fuller διαπίστωσε ότι ένας επιτιθέμενος θα μπορούσε να κάνει συναλλαγές Bitcoin (με λάθος διαμόρφωση), οι οποίες, όταν υποβάλλονται σε επεξεργασία από Bitcoin blockchain nodes, οδηγούν σε ανεξέλεγκτη κατανάλωση των πόρων μνήμης του server. Αυτό θα μπορούσε να επηρεάσει τελικά τα συστήματα.
Mark Zuckerberg: Ο δεύτερος πλουσιότερος άνθρωπος
Ένα «νέο αστέρι» φωτίζεται στο νυχτερινό ουρανό
Mark Zuckerberg: Έγινε ο δεύτερος πλουσιότερος άνθρωπος! 💰💰
“Τη στιγμή της ανακάλυψης, αυτό αντιπροσώπευε περισσότερο από το 50% των διαφημιζόμενων Bitcoin nodes με inbound traffic και πιθανότατα την πλειονότητα των miners και των exchanges“, δήλωσε ο Fuller.
Όπως διαβάσαμε στο ZDNet, το Bitcoin bug επηρέασε τους περισσότερους από τους Bitcoin nodes (servers) που εκτελούν το λογισμικό Bitcoin Core, καθώς και αυτούς που τρέχουν το Bcoin και το Btcd. Τέλος, η ευπάθεια επηρέασε τα Litecoin και Namecoin, που βασίζονται στο αρχικό πρωτόκολλο Bitcoin.
Ο Fuller είπε ότι το Bitcoin bug ήταν επικίνδυνο επειδή μπορούσε να οδηγήσει σε απώλεια χρημάτων ή εσόδων.
Η denial-of-service (DoS) επίθεση θα μπορούσε να οδηγήσει σε απώλεια χρημάτων καθώς θα μπορούσε να μειώσει το χρόνο εξόρυξης ή τη δαπάνης ηλεκτρικής ενέργειας, κλείνοντας κόμβους και καθυστερώντας blocks ή προκαλώντας προσωρινά διαχωρισμό του δικτύου.
Η ευπάθεια INVDoS ανακαλύφθηκε ξανά τώρα, δύο χρόνια μετά
Ο ερευνητής ανέφερε το Bitcoin bug σε όλους τους αρμόδιους και αυτό διορθώθηκε. Η ευπάθεια ονομάστηκε CVE-2018-17145 αλλά δεν δόθηκαν πολλές λεπτομέρειες, ώστε να μην τις μάθουν οι hackers και προσπαθήσουν να το εκμεταλλευτούν με κάποιο τρόπο.
Ωστόσο, αυτό το καλοκαίρι ένας άλλος ερευνητής Bitcoin, o Javed Khan, ανακάλυψε ξανά την ίδια ευπάθεια, ενώ έψαχνε σφάλματα στο Decred cryptocurrency.
Ο ερευνητής ανέφερε το σφάλμα στο bug bounty πρόγραμμα της Decred και έγινε ευρέως γνωστό τον περασμένο μήνα.
Περισσότερες λεπτομέρειες σχετικά με την Bitcoin ευπάθεια INVDoS δημοσιεύθηκαν πριν λίγες μέρες, ώστε να ενημερωθούν άλλα cryptocurrencies με παλαιότερες εκδόσεις πρωτοκόλλων Bitcoin και να ελέγξουν αν έχουν επηρεαστεί.
Οι Fuller και Khan είπαν ότι δεν έχουν στοιχεία που να αποδεικνύουν ότι το Bitcoin bug έχει χρησιμοποιηθεί από hackers.