Pesquisador manteve um grande bug bitcoin em segredo por dois anos para evitar ataques

Views: 330
0 0
Read Time:2 Minute, 32 Second

Em 2018, um pesquisador de segurança descobriu uma grande vulnerabilidade no Bitcoin Core, o software que alimenta a blockchain bitcoin, mas depois de relatar o problema e corrigi-lo, o pesquisador optou por manter detalhes privados, a fim de evitar que hackers explorassem o problema.

Detalhes técnicos foram publicados no início desta semana depois que a mesma vulnerabilidade foi descoberta independentemente em outra criptomoeda, com base em uma versão mais antiga do código Bitcoin que não havia recebido o patch.

Ataque de negação de serviço fora da memória do inventário bitcoin

Chamado INVDoS, a vulnerabilidade é um ataque clássico de negação de serviço (DoS). Embora, em muitos casos, os ataques do DoS sejam inofensivos, eles não são para sistemas acessíveis à internet, que precisam ter tempo de atividade estável para processar transações.

O INVDoS foi descoberto em 2018 por Braydon Fuller, um engenheiro de protocolo de Bitcoin. Fuller descobriu que um invasor poderia criar transações de Bitcoin malformadas que, quando processadas por nodes de blockchain do Bitcoin, levariam ao consumo descontrolado dos recursos de memória do servidor, o que acabaria por travar sistemas impactados.

“No momento da descoberta, isso representava mais de 50% dos acenos de Bitcoin anunciados publicamente com tráfego de entrada e provavelmente a maioria dos mineradores e exchanges”, disse Fuller em um artigo[PDF] publicado na quarta-feira.

Além disso, o INVDoS também impactou mais do que os nodes (servidores) do Bitcoin executando o software Bitcoin Core. Os nós de Bitcoin executando Bcoin e Btcd também foram impactados pelo mesmo bug também.

Outras criptomoedas que foram construídas no protocolo original do Bitcoin também foram impactadas, como Litecoin e Namecoin.

Fuller disse que o bug era perigoso porque poderia “contribuir para uma perda de fundos ou receita.”

“Isso pode ser através da perda de tempo de mineração ou gasto de eletricidade, desligando nódulos e atrasando blocos ou fazendo com que a rede parta temporariamente”, disse ele.

“Também pode ser através de interrupção e atraso de contratos sensíveis ao tempo ou proibição da atividade econômica. Isso pode afetar o comércio, as trocas, as trocas atômicas, os depósitos e os canais de pagamento HTLC da lightning network”, acrescentou Fuller.

Bug re descoberta dois anos depois

O bug INVDoS foi relatado a todas as partes responsáveis e corrigido, na época, sob o identificador genérico do CVE-2018-17145, que não incluía tantos detalhes, de modo a não avisar os atacantes.

No entanto, o mesmo bug foi reescotado durante o verão por Javed Khan, outro engenheiro de protocolo de Bitcoin, enquanto caçava bugs na criptomoeda Decred.

Khan relatou o bug ao programa de recompensa de insetos Decred e acabou sendo divulgado para o mundo inteiro no mês passado.

Detalhes completos sobre toda a vulnerabilidade invDoS foram publicados no início desta semana, de modo que outras criptomoedas que bifurcavam versões mais antigas dos protocolos de Bitcoin poderiam verificar e ver se eles foram impactados também.

“Não houve uma exploração conhecida dessa vulnerabilidade na natureza”, disseram Fuller e Khan. “Não tanto quanto sabemos.”

FONTE: ZDNET

POSTS RELACIONADOS