باگ امنیتی مهمی در شبکه بیت کوین

alireza.khodaei۲۳ شهریور ۱۳۹۹

۰ 474 خواندن این مطلب 2 دقیقه زمان میبرد

جزییات این آسیب پذیری پس از دو سال فاش شد

در سال ۲۰۱۸، یکی از محققان امنیتی، آسیب‌پذیری مهمی را در بیت کوین کور (Bitcoin Core) نرم‌افزار بلاک چین بیت کوین، کشف کرد، اما پس از گزارش این مشکل و اصلاح آن، این محقق تصمیم گرفت جزییات آسیب‌پذیری موردنظر را نزد خود نگه دارد تا از سوء استفاده هکرها جلوگیری شود.

جزییات فنی این موضوع اوایل هفته گذشته و پس از کشف آسیب‌پذیری مشابه در یک ارز دیجیتال دیگر منتشر شد. این ارز دیجیتال بر بستر نسخه قدیمی کد بیت کوین بود و اصلاحیه دو سال قبل را دریافت نکرده بود.

حمله DoS به موجودی بیت کوین

این آسیب‌پذیری به اسم INVDoS یک حمله از نوع DoS است. اگرچه در بسیاری از موارد، حملات DoS آسیبی نمی‌رسانند اما برای سیستم‌های اینترنتی که به زمان دسترسی ثابت به منظور پردازش تراکنش‌ها نیاز دارند مناسب نیست.

آسیب‌پذیری INVDoS در سال ۲۰۱۸ توسط برایدون فولر (Braydon Fuller) یکی از مهندسان پروتکل بیت کوین کشف شد.

فولر دریافت که حمله‌کننده می‌تواند تراکنش بیت کوین تغییرشکل داده‌ای ایجاد کند که منجر به مصرف غیرقابل کنترل منابع حافظه سرور و پر نهایت از کار افتادن سیستم می‌شود.

فولر در مقاله منتشرشده در روز چهارشنبه گفت:در زمان کشف، این باگ بیش از ۵۰ درصد نودهای بیت کوین را با ترافیک ورودی و احتمالا بخش عمده‌ای از ماینرها و صرافی‌ها را شامل می‌شد.

به علاوه، INVDoS هم‌چنین بیشتر نودهای بیت کوین که نرم‌افزار بیت کوین کور را اجرا می‌کردند تحت تاثیر قرار داد. نودهای بیت کوین اجراکننده Bcoin و Btcd نیز تحت تأثیر این باگ قرار گرفتند.

سایر ارزهای دیجیتال نظیر لایت کوین و نیم‌کوین (Namecoin) که بر بستر پروتکل اصلی بیت کوین ایجاد شده بودند نیز تحت تأثیر قرار گرفتند.

فولر گفت این باگ خطرناک بود زیرا می‌تواند منجر به از دست دادن سرمایه یا درآمد شود.

وی گفت: این باگ با خاموش کردن نودها و به تاخیر انداختن تولید بلاک یا تفکیک موقتی شبکه می‌تواند منجر به از دست دادن زمان و هزینه شود.

وی افزود: این باگ هم‌چنین می‌تواند باعث اختلال و تاخیر قراردادهای حساس به زمان یا جلوگیری از فعالیت‌های اقتصادی شود. این موضوع می‌تواند بر بخش تجاری، صرافی‌ها، تبادل‌های اتمی، اسکروها (escrow) و کانال‌های پرداخت شبکه لایتنینگ تاثیرگذار باشد.

کشف مجدد این باگ پس از دو سال

دو سال قبل، باگ INVDoS به تمام بخش‌های مسئول گزارش داده شد و سپس اصلاح شد. این اصلاح تحت شناساگر CVE-2018-17145 انجام شد که جزییات آن مشخص نیست تا از سوء استفاده هکرها جلوگیری شود.

هرچند، این باگ در تابستان سال جاری توسط جارد خان (Jared Khan) یکی دیگر از مهندسان پروتکل بیت کوین کشف شد، در حالی که وی در جستجوی باگ در ارز دیجیتال Decred بود.

خان این باگ را به برنامه کشف باگ دیکرد گزارش داد و ماه گذشته برای کل جهان افشا شد.

جزییات کامل درباره باگ INVDoS اوایل هفته منتشر شد تا سایر ارزهای دیجیتال که از نسخه‌های قدیمی پروتکل‌های بیت کوین استفاده می‌کنند بتوانند وجود این باگ را بررسی کنند.

فولر و خان گفته‌اند: تاکنون هیچگونه سوء استفاده‌ای از این باگ گزارش نشده است.

منبع: میهن بلاک چین از ZDNET

برچسب ها