Заплахи

Уязвимост в Bitcoin може да спре сървъри за добив и да парализира криптоборси

Александър Главчев

В базовия протокол на криптовалутата Bitcoin съществува сериозна уязвимост, носеща риск от препълване на оперативната памет. Тя получи името Bitcoin INVDoS (Bitcoin Inventory Out-of-Memory Denial-of-Service) и код CVE-2018-17145 и е била налична в три различни реализации на Bitcoin, както и в няколко други криптовалути, базирани на блокчейна - Litecoin, Namecoin и Decred.

Брейдън Фулър, изследователят открил уязвимостта, е информирал разработчиците на Bitcoin, но две години не е публикувал информация за нея. По-късно същият проблем е открит от друг изследовател - Джавед Кан, но в различна криптовалута, използваща по-стара версия на протокола на Bitcoin.

Според Фулър грешката може да се използва за организирана на атаки срещу сървъри. Към момента на откриването на проблема, той е засягал около половината от наличните Bitcoin възли с входящ трафик и, вероятно, голяма част от системите за добив на валута. Засегнати са били и криптоборси.

Наличието на уязвимостта е потвърдено в Bitcoin Corev 0.16.0, Bitcoin Corev 0.16.1, Bitcoin Knots v0.16.0, както и всички бета версии до v1.0.0-pre, всички версии на Btcd до v0.20.1-beta, Litecoin Core v0.16.0, Namecoin Core v0.16.1, както Dcrd до версия v1.5.1.

Проблемът е отстранен във Bitcoin Core v0.16.2 и по-нови версии, Bitcoin Knots v0.16.2 и по-нови, Bcoin v1.0.2, Btcd v0.21.0-beta, Litecoin Core v0.16.2, Namecoin v0.16.2 и във версиите на Dcrd след v1.5.2.

Не са известни случаи за експлоатиране на уязвимостта на практика. Анализатори коментират, че тя опасна заради потенциалните последици, но реализирането ѝ не е лесно. За целта трябва а бъде подготвена преднамерено некоректна транзакция, при обработката на която във възлите на Bitcoin да възникне преразход на памет и падане на сървърите.




© Ай Си Ти Медиа ЕООД 1997-2020 съгласно Общи условия за ползване

X