Een eerder niet bekendgemaakte kwetsbaarheid in de Bitcoin Core software had aanvallers in staat kunnen stellen om geld te stelen, schikkingen uit te stellen of het grootste blokketennetwerk op te splitsen in conflicterende versies als het twee jaar geleden niet stilletjes was gepatcht.

Dat staat in een artikel dat woensdag is gepubliceerd door Braydon Fuller, een protocoltechnicus bij crypto shopping site Purse, die de kwetsbaarheid in juni 2018 opving, en Javed Khan, een kernontwikkelaar van het Handshake-protocol.

De kwetsbaarheid kreeg een ernstgraad van 7,8 op een schaal van 1 tot 10, die als „hoog“ wordt beschouwd (9 of hoger wordt als „kritiek“ beschouwd). Het werd veroorzaakt doordat „remote nodes“ er niet in slaagden om ongeldige transacties uit hun geheugen te wissen, vertelde Khan aan CoinDesk.

Het onvermogen om die transacties te wissen zou kunnen leiden tot een agressor die een slachtofferknooppunt met muffe gegevens overspoelt in wat wordt aangeduid als „ongecontroleerde grondstofconsumptie“, waardoor het knooppunt uiteindelijk wordt afgesloten, de papieren staten.

„Er was geen mechanisme om er zeker van te zijn dat de hangende details van een transactie geldig zijn of niet. In bepaalde gevallen kon je het geheugen op afstand vullen met ongeldige transacties,“ zei Khan.

Geen enkele poging om voordeel te halen uit het gat werd in het wild gevonden, schreven Khan en Fuller. De kwetsbaarheid kon niet openbaar meer dan twee jaar worden onthuld aangezien de knooppuntexploitanten langer duurden dan verwacht om bij te werken, zei Fuller.

Terwijl de kwetsbaarheid werd bevestigd, benadrukt de onthulling ervan de moeilijkheden om een globale geldstandaard op programmeertalen te bouwen die door mensen worden gecreà „erd, om nog maar te zwijgen van de hoge technische barrières aan het in dienst nemen in de ontwikkeling van de hoogste cryptocurrency.

De kwetsbaarheid werd in november 2017 geïntroduceerd in Bitcoin Core. Zo’n 50% van de Bitcoin-knooppunten werd destijds blootgesteld aan de aanvalsvector, aldus de krant. Eerdere versies van Bitcoin Core werden niet beïnvloed.

Bitcoin-kern en meer

Khan zei verder dat de kwetsbaarheid een aanvaller in staat had kunnen stellen om geld te stelen van knooppunten die open kanalen hadden op het Lightning Network, een experimenteel betaalsysteem dat bovenop de Bitcoin-blokketen is gebouwd.

Bitcoin Core versies 0.16.0 en 0.16.1 werden beïnvloed en gepatcht door ontwikkelaar Matt Corallo na Fuller’s bekendmaking aan het kernteam in juli 2018. Corallo heeft geen vragen beantwoord waarin hij om commentaar vroeg door middel van perstijd.

De ontdekking door Fuller (die ook als hoofdontwikkelaar heeft gewerkt bij het gedecentraliseerde cloud-opslagprotocol Storj) werd gevolgd door een andere Bitcoin-bug die twee maanden later in Bitcoin Loophole Core 0.16.3 werd aangepakt. Ook een vector voor een denial-of-service-aanval, een aspect van die bug stelde mijnwerkers in staat om „het aanbod van Bitcoin op te blazen“ omdat ze bepaalde waarden konden verdubbelen, schreef het Bitcoin Core team op dat moment.

De noodpatch die in die Bitcoin Core versie werd uitgegeven richtte zich ook op Fuller’s bug, schreven Khan en Fuller.

Er werd een plekje gereserveerd voor de kwetsbaarheid voor grondstofgebruik in het CVE-register (Common Vulnerabilities and Exposures) van het National Institute of Standards and Technology in 2018 als CVE-2018-17145, maar dit moet nog worden ingevuld. Het register fungeert als een openbare woordenlijst voor softwarefouten.

Bitcoin Core is de referentie-implementatie, oftewel de standaardversie van de netwerksoftware waarvan anderen zijn afgeleid. Volgens de paper was de exploitatie ook mogelijk op verschillende andere implementaties van Bitcoin en zijn uitlopers:

  • Bitcoin Knots v0.16.0
  • Alle beta-versies van Bcoin tot en met v1.0.0-pre
  • Alle versies van Btcd tot en met v0.20.1-beta
  • Litecoin Core v0.16.0
  • Namecoin Core v0.16.1
  • Alle versies van Dcrd tot en met v1.5.1.

Al deze implementaties zijn gepatcht.

(Author)
Keine Beschreibung. Bitte aktualisiere dein Profil.

Zeige alle Beiträge vonadmin