Menu Close

Bug Keparahan 'Tinggi' dalam Perangkat Lunak Bitcoin Terungkap 2 Tahun Setelah Perbaikan

Bug Keparahan 'Tinggi' dalam Perangkat Lunak Bitcoin Terungkap 2 Tahun Setelah Perbaikan

Kerentanan yang sebelumnya tidak diungkapkan dalam perangkat lunak Bitcoin Core dapat memungkinkan penyerang mencuri dana, menunda penyelesaian, atau membagi jaringan blockchain terbesar menjadi versi yang saling bertentangan seandainya tidak ditambal secara diam-diam dua tahun lalu.

Itu menurut a kertas diterbitkan Rabu oleh Braydon Fuller, seorang insinyur protokol di situs belanja crypto Purse, yang menangkap kerentanan pada Juni 2018, dan Javed Khan, pengembang inti dari protokol Handshake.

Kerentanan diberi tingkat keparahan 7,8 pada skala 1 sampai 10, yang dianggap "tinggi" (9 atau lebih dianggap "kritis"). Itu disebabkan oleh "node jauh" gagal menghapus transaksi tidak valid dari memori mereka, Khan mengatakan kepada CoinDesk.

Ketidakmampuan untuk menghapus transaksi tersebut dapat menyebabkan penyerang membanjiri node korban dengan data usang dalam apa yang disebut sebagai "konsumsi sumber daya yang tidak terkendali," yang akhirnya menyebabkan node ditutup, kata surat kabar tersebut.

Baca lebih lajut: Rilis Kode Inti Bitcoin Terbaru Melindungi Terhadap Serangan Negara-Bangsa

“Tidak ada mekanisme untuk memastikan detail transaksi yang tertunda itu valid atau tidak. Dalam kasus tertentu Anda dapat mengisi memori jarak jauh dengan transaksi yang tidak valid, ”kata Khan.

Tidak ada upaya untuk memanfaatkan lubang yang ditemukan di alam liar, tulis Khan dan Fuller. Kerentanan tidak dapat diungkapkan secara publik selama lebih dari dua tahun karena operator node membutuhkan waktu lebih lama dari yang diharapkan untuk memperbarui, kata Fuller.

Sementara kerentanan diperbaiki, pengungkapannya menyoroti kesulitan membangun standar uang global pada bahasa pemrograman yang dibuat oleh manusia, belum lagi hambatan teknis yang tinggi untuk terlibat dalam pengembangan cryptocurrency teratas.

Kerentanan diperkenalkan ke Bitcoin Core di November 2017. Sekitar 50% dari Bitcoin node pada saat terkena vektor serangan, menurut makalah. Versi awal Bitcoin Core tidak terpengaruh.

Bitcoin Core dan lainnya

Khan lebih lanjut mengatakan bahwa kerentanan dapat memungkinkan penyerang mencuri dana dari node yang memiliki saluran terbuka di Lightning Network, sistem pembayaran eksperimental yang dibangun di atas blockchain Bitcoin.

Bitcoin Core versi 0.16.0 dan 0.16.1 terpengaruh dan ditambal oleh pengembang Matt Corallo setelah pengungkapan Fuller kepada tim inti pada Juli 2018. Corallo tidak menjawab pertanyaan yang meminta komentar pada waktu pers.

Penemuan oleh Fuller (yang juga bekerja sebagai pengembang utama di protokol penyimpanan cloud terdesentralisasi Storj) diikuti oleh yang lain Bug Bitcoin ditangani dua bulan kemudian di Bitcoin Core 0.16.3. Juga vektor untuk a serangan denial-of-service, salah satu aspek dari bug itu memungkinkan penambang untuk "meningkatkan pasokan Bitcoin" karena mereka dapat menghabiskan dua kali lipat nilai tertentu, tim Bitcoin Core menulis pada saat itu.

Patch darurat yang dikeluarkan dalam versi Bitcoin Core juga mengatasi bug Fuller, tulis Khan dan Fuller.

Sebuah tempat disediakan untuk kerentanan konsumsi sumber daya di National Institute of Standards and Technology's Common Vulnerabilities and Exposures (CVE) registry sebagai CVE-2018-17145 pada tahun 2018, tetapi belum diisi. Registri bertindak sebagai glosarium publik untuk bug perangkat lunak catatan.

Bitcoin Core adalah implementasi referensi, atau versi standar dari perangkat lunak jaringan tempat perangkat lain berasal. Menurut makalah tersebut, eksploitasi juga dimungkinkan pada beberapa implementasi Bitcoin lainnya dan cabangnya:

  • Bitcoin Knots v0.16.0
  • Semua versi beta Bcoin hingga v1.0.0-pre
  • Semua versi Btcd hingga v0.20.1-beta
  • Litecoin Core v0.16.0
  • Namecoin Core v0.16.1
  • Semua versi Dcrd hingga v1.5.1.

Semua implementasi ini telah ditambal.

UPDATE (9 September, 13:30 UTC): Menambahkan tautan ke koran dan afiliasi perusahaan yang lebih mutakhir untuk Braydon Fuller.

Penyingkapan

Pemimpin dalam berita blockchain, CoinDesk adalah outlet media yang berjuang untuk standar jurnalistik tertinggi dan mematuhi kebijakan editorial yang ketat. CoinDesk adalah anak perusahaan yang beroperasi secara independen dari Digital Currency Group, yang berinvestasi dalam cryptocurrency dan startup blockchain.