Bug no Bitcoin é mantido em segredo por 2 anos

Em 2018, um pesquisador de segurança descobriu uma grande vulnerabilidade no Bitcoin Core, o software que alimenta o blockchain do Bitcoin, mas depois de relatar o problema e fazer o patch, o pesquisador optou por manter os detalhes privados para evitar que hackers explorem o problema.

Os detalhes técnicos foram publicados no início desta semana depois que a mesma vulnerabilidade foi descoberta independentemente em outra criptomoeda, com base em uma versão mais antiga do código Bitcoin que não recebeu o patch.

Ataque de negação de serviço de inventário de bitcoin sem memória

Chamada de  INVDoS , a vulnerabilidade é um ataque clássico de negação de serviço (DoS). Embora, em muitos casos, os ataques DoS sejam inofensivos, eles não são para sistemas acessíveis pela Internet, que precisam ter um tempo de atividade estável para processar transações.

INVDoS foi descoberto em 2018 por Braydon Fuller, um engenheiro de protocolo Bitcoin. Fuller descobriu que um invasor poderia criar transações Bitcoin malformadas que, quando processadas por nós de blockchain do Bitcoin, levariam ao consumo descontrolado dos recursos de memória do servidor, o que acabaria travando os sistemas afetados.

“No momento da descoberta, isso representava mais de 50% dos nós de Bitcoin anunciados publicamente com tráfego de entrada e, provavelmente, a maioria dos mineiros e bolsas”, disse Fuller em um artigo [PDF] publicado na quarta-feira.

Além disso, INVDoS também impactou mais do que nós Bitcoin (servidores) executando o software Bitcoin Core. Nós de Bitcoin executando  Bcoin e Btcd  também foram afetados pelo mesmo bug.

Outras criptomoedas que foram construídas no protocolo Bitcoin original também foram afetadas, como  Litecoin e Namecoin.

Fuller disse que o bug é perigoso porque pode ” contribuir para a perda de fundos ou receitas “.

“Isso pode ser devido a uma perda de tempo de mineração ou gasto de eletricidade, desligando nós e atrasando blocos ou causando a partição temporária da rede”, disse ele.

“Também pode ser por meio da interrupção e do atraso de contratos urgentes ou da proibição da atividade econômica. Isso pode afetar o comércio, as trocas, as trocas atômicas, as garantias e os canais de pagamento da rede relâmpago HTLC”, acrescentou Fuller.

Bug redescoberto dois anos depois

O bug INVDoS foi reportado a todos os responsáveis ​​e corrigido, na época, sob o identificador genérico CVE-2018-17145, que não incluía tantos detalhes, para não alertar os invasores.

No entanto, o mesmo bug foi redescoberto durante o verão por  Javed Khan , outro engenheiro de protocolo Bitcoin, enquanto caçava bugs na  criptomoeda Decred.

Khan relatou o bug para o programa de recompensas de bug Decred e foi eventualmente divulgado para o mundo inteiro no mês passado.

Detalhes completos sobre toda a vulnerabilidade INVDoS foram publicados no início desta semana, para que outras criptomoedas que bifurcavam versões mais antigas dos protocolos Bitcoin pudessem verificar e ver se eles foram afetados também.

“Não houve uma exploração conhecida dessa vulnerabilidade na natureza”, disseram Fuller e Khan. “Não tanto quanto sabemos.”

Fonte: https://www.zdnet.com/article/researcher-kept-a-major-bitcoin-bug-secret-for-two-years-to-prevent-attacks/