آسیبپذیری در شبکه بیتکوین پس از دوسال فاش شد
در سال ۲۰۱۸، یکی از محققان امنیتی، آسیبپذیری مهمی را در Bitcoin Core نرمافزار بلاک چین بیت کوین، کشف کرد، اما پس از گزارش این مشکل و اصلاح آن، این محقق تصمیم گرفت جزییات آسیبپذیری موردنظر را نزد خود نگه دارد تا از سوء استفاده هکرها جلوگیری شود.
به گزارش پایگاه خبری بانکداری الکترونیک، جزییات فنی این موضوع اوایل هفته گذشته و پس از کشف آسیبپذیری مشابه در یک ارز دیجیتال دیگر منتشر شد. این ارز دیجیتال بر بستر نسخه قدیمی کد بیت کوین بود و اصلاحیه دو سال قبل را دریافت نکرده بود.
حمله DoS به موجودی بیت کوین
این آسیبپذیری به اسم INVDoS یک حمله از نوع DoS است. اگرچه در بسیاری از موارد، حملات DoS آسیبی نمیرسانند اما برای سیستمهای اینترنتی که به زمان دسترسی ثابت به منظور پردازش تراکنشها نیاز دارند مناسب نیست.
آسیبپذیری INVDoS در سال ۲۰۱۸ توسط برایدون فولر (Braydon Fuller) یکی از مهندسان پروتکل بیت کوین کشف شد.
فولر دریافت که حملهکننده میتواند تراکنش بیت کوین تغییرشکل دادهای ایجاد کند که منجر به مصرف غیرقابل کنترل منابع حافظه سرور و پر نهایت از کار افتادن سیستم میشود.
فولر در مقاله منتشرشده در روز چهارشنبه گفت: در زمان کشف، این باگ بیش از ۵۰ درصد نودهای بیت کوین را با ترافیک ورودی و احتمالا بخش عمدهای از ماینرها و صرافیها را شامل میشد.
به علاوه، INVDoS همچنین بیشتر نودهای بیت کوین که نرمافزار بیت کوین کور را اجرا میکردند تحت تاثیر قرار داد. نودهای بیت کوین اجراکننده Bcoin و Btcd نیز تحت تأثیر این باگ قرار گرفتند.
سایر ارزهای دیجیتال نظیر لایت کوین و نیمکوین (Namecoin) که بر بستر پروتکل اصلی بيت کوين ایجاد شده بودند نیز تحت تأثیر قرار گرفتند.
فولر گفت این باگ خطرناک بود زیرا میتواند منجر به از دست دادن سرمایه یا درآمد شود.
وی گفت: این باگ با خاموش کردن نودها و به تاخیر انداختن تولید بلاک یا تفکیک موقتی شبکه میتواند منجر به از دست دادن زمان و هزینه شود.
وی افزود: این باگ همچنین میتواند باعث اختلال و تاخیر قراردادهای حساس به زمان یا جلوگیری از فعالیتهای اقتصادی شود. این موضوع میتواند بر بخش تجاری، صرافیها، تبادلهای اتمی، اسکروها (escrow) و کانالهای پرداخت شبکه لایتنینگ تاثیرگذار باشد.
کشف مجدد این باگ پس از دو سال
دو سال قبل، باگ INVDoS به تمام بخشهای مسئول گزارش داده شد و سپس اصلاح شد. این اصلاح تحت شناساگر CVE-2018-17145 انجام شد که جزییات آن مشخص نیست تا از سوء استفاده هکرها جلوگیری شود.
هرچند، این باگ در تابستان سال جاری توسط جارد خان (Jared Khan) یکی دیگر از مهندسان پروتکل بیت کوین کشف شد، در حالی که وی در جستجوی باگ در ارز دیجیتال Decred بود.
خان این باگ را به برنامه کشف باگ دیکرد گزارش داد و ماه گذشته برای کل جهان افشا شد.
جزییات کامل درباره باگ INVDoS اوایل هفته منتشر شد تا سایر ارزهای دیجیتال که از نسخههای قدیمی پروتکلهای بیت کوین استفاده میکنند بتوانند وجود این باگ را بررسی کنند.
فولر و خان گفتهاند: تاکنون هیچگونه سوء استفادهای از این باگ گزارش نشده است.
منبع: zdnet