Спустя два года после исправления стало известно о серьезном баге в ПО биткоина

Уязвимость программного обеспечения Bitcoin Core могла позволить злоумышленникам украсть активы пользователей, задержать транзакции или разбить блокчейн первой криптовалюты на конфликтующие цепи. Она была исправлена два года назад, однако публично о ней стало известно только сейчас, пишет CoinDesk.

О проблеме сообщил разработчик сервиса для осуществления покупок с помощью криптовалют Purse Брейдон Фуллер, обнаруживший ее в июне 2018 года. Уязвимость была оценена в 7,8 баллов по шкале от 1 до 10, то есть считается «высокоуровневой», тогда как значения выше 9 соответствуют «критической».

Как пояснил разработчик протокола Handshake Джавед Хан, проблема заключалась в неспособности удаленных нод ликвидировать недействительные транзакции из памяти. В результате злоумышленник мог перегрузить такую ноду бесполезными данными и осуществить «бесконтрольное расходование ресурсов», конечным итогом которого стало бы отключение ноды. По словам Хана, уязвимость могла позволить злоумышленникам украсть средства, хранение которых осуществлялось с помощью нод, имевших открытые подключения к Lightning Network.

Фуллер и Хан не обнаружили попыток использовать ее на практике. Раньше они не могли сообщить о ней публично, так как обновление нод заняло больше времени, чем предполагалось изначально. Впервые проблема появилась в релизе Bitcoin Core в ноябре 2017 года, из-за чего в зоне риска оказалось около 50% нод биткоина. Она содержится в клиентах версий 0.16.0 и 0.16.1 и была исправлена разработчиком Мэттом Коралло после поступления информации от Фуллера. Впоследствии был найден еще один баг, который удалось устранить в версии 0.16.3.

Согласно разработчикам, атака также могла быть проведена на некоторые другие имплементации ПО биткоина и его ответвления, включая Bitcoin Knots, Bcoin, Btcd, Litecoin Core, Namecoin Core и Dcrd. Во всех из них проблема была решена.

Источник: cryptocurrency.tech