Разработчики рассказали о серьезной уязвимости биткоина, исправленной 2 года назад

Уязвимость программного обеспечения Bitcoin Core могла позволить злоумышленникам украсть активы пользователей, задержать транзакции или разбить блокчейн первой криптовалюты на конфликтующие цепи. Она была исправлена два года назад, однако публично о ней стало известно только сейчас, пишет CoinDesk.

О проблеме сообщил разработчик сервиса для осуществления покупок с помощью криптовалют Purse Брейдон Фуллер, обнаруживший ее в июне 2018 года. Уязвимость была оценена в 7,8 баллов по шкале от 1 до 10, то есть считается «высокоуровневой», тогда как значения выше 9 соответствуют «критической».

Как пояснил разработчик протокола Handshake Джавед Хан, проблема заключалась в неспособности удаленных нод ликвидировать недействительные транзакции из памяти. В результате злоумышленник мог перегрузить такую ноду бесполезными данными и осуществить «бесконтрольное расходование ресурсов», конечным итогом которого стало бы отключение ноды. По словам Хана, уязвимость могла позволить злоумышленникам украсть средства, хранение которых осуществлялось с помощью нод, имевших открытые подключения к Lightning Network.

Фуллер и Хан не обнаружили попыток использовать ее на практике. Раньше они не могли сообщить о ней публично, так как обновление нод заняло больше времени, чем предполагалось изначально. Впервые проблема появилась в релизе Bitcoin Core в ноябре 2017 года, из-за чего в зоне риска оказалось около 50% нод биткоина. Она содержится в клиентах версий 0.16.0 и 0.16.1 и была исправлена разработчиком Мэттом Коралло после поступления информации от Фуллера. Впоследствии был найден еще один баг, который удалось устранить в версии 0.16.3.

Согласно разработчикам, атака также могла быть проведена на некоторые другие имплементации ПО биткоина и его ответвления, включая Bitcoin Knots, Bcoin, Btcd, Litecoin Core, Namecoin Core и Dcrd. Во всех из них проблема была решена.
Фото: nmedia
Подписывайтесь на наш Telegram и будьте в курсе всех новостей!
Комментарии 0
Вы должны войти на сайт, чтобы разместить свой комментарий.