Исследователь два года молчал об уязвимости в Bitcoin в целях безопасности

Исследователь два года молчал об уязвимости в Bitcoin в целях безопасности

Уязвимость в Bitcoin Core была обнаружена и исправлена в 2018 году, но широкая общественность узнала о ней только сейчас.

image

В 2018 году исследователь безопасности Брэйдон Фуллер (Braydon Fuller) обнаружил серьезную уязвимость в Bitcoin Core – ПО, на базе которого работает блокчейн биткойна. Фуллер уведомил разработчиков о проблеме, и они выпустили исправление, однако исследователь решил не сообщать об уязвимости широкой общественности во избежание возможных попыток ее эксплуатации.

Подробности о проблеме были опубликованы только на прошлой неделе, когда эта же уязвимость была обнаружена другим исследователем в другой криптовалюте, базирующейся на старой, неисправленной версии кода протокола Bitcoin.

Уязвимость CVE-2018-17145 , получившая название INVDoS, позволяет осуществить классическую атаку отказа в обслуживании (DoS). Злоумышленник может создать особым образом сконфигурированную транзакцию, которая при обработке узлами (серверами) сети Bitcoin может вызвать неконтролируемое потребление памяти сервера, что приведет к аварийному завершению работы системы.

По словам Фуллера, уязвимость очень опасна, поскольку может привести к потере средств или доходов. «Это может произойти из-за потери времени майнинга или расхода электроэнергии, вызванного отключением узлов и задержкой блоков или временным разделением сети. Это также может быть связано с нарушением и задержкой срочных контрактов или запретом экономической деятельности. Это может повлиять на торговлю, биржи, атомные свопы, условное депонирование и платежные каналы HTLC в сети Lightning», - пояснил исследователь.

Помимо узлов сети Bitcoin, работающих на базе Bitcoin Core, INVDoS также затрагивает серверы, работающие на Bcoin и Btcd. Кроме того, уязвимости подвержены криптовалюты Litecoin и Namecoin, базирующиеся на оригинальном протоколе Bitcoin.

Уязвимость была обнаружена повторно исследователем безопасности Джаведом Ханом (Javed Khan) прошлым летом, когда он искал уязвимости в криптовалюте Decred. Хан сообщил о проблеме разработчикам в рамках программы выплаты вознаграждений bug bounty, и в прошлом месяце опубликовал подробности о ней. Полное описание уязвимости было представлено на прошлой неделе, и разработчики криптовалют, базирующихся на старых версиях протокола Bitcoin, могут проверить, затрагивает ли их данная проблема.

Ни Фуллеру, ни Хану не известно о случаях эксплуатации INVDoS в реальных атаках.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.