研究者は攻撃を防ぐためにビットコインの重大なバグを2年間秘密にしていた

2018 年、あるセキュリティ研究者が、ビットコイン ブロックチェーンを動かすソフトウェアであるビットコイン コアの重大な脆弱性を発見しました。 問題を報告してパッチを適用した後、研究者はハッカーによる悪用を避けるために詳細を非公開にすることを選択しました。 問題。

同じ脆弱性が独立して発見された後、技術的な詳細が今週初めに公開されました。 受け取っていなかった古いバージョンのビットコインコードに基づいた、別の暗号通貨で発見された パッチ。

ビットコインインベントリのメモリ不足によるサービス拒否攻撃

呼ばれた 投資活動、この脆弱性は典型的なサービス拒否 (DoS) 攻撃です。 多くの場合、DoS 攻撃は無害ですが、トランザクションを処理するために安定した稼働時間が必要な、インターネットにアクセス可能なシステムには適していません。

INVDoS は 2018 年に発見されました。 ブレイドン・フラー, ビットコインプロトコルエンジニア。 フラー氏は、攻撃者がビットコイン ブロックチェーンによって処理される不正なビットコイン トランザクションを作成できる可能性があることを発見しました。 ノードに影響を与えると、サーバーのメモリ リソースが制御されずに消費され、最終的にはクラッシュの影響を受ける可能性があります。 システム。

「発見当時、これはインバウンドトラフィックを持つ公的に宣伝されたビットコインノードの50％以上を表しており、おそらくマイナーや取引所の大多数を占めていた」とフラー氏は論文で述べた。PDF』が水曜日に刊行されました。

さらに、INVDoS は、ビットコインを実行しているノード (サーバー) 以外にも影響を与えました。 ビットコインコア ソフトウェア。 実行中のビットコインノード Bコイン そして BTCD も同じバグの影響を受けていました。

オリジナルのビットコインプロトコルに基づいて構築された他の暗号通貨も影響を受けました。 ライトコイン そして ネームコイン.

フラー氏は、このバグは危険であると述べた。資金または収益の損失につながる."

「これは、ノードのシャットダウンやブロックの遅延、あるいはネットワークの一時的な分断によるマイニング時間の損失や電力消費によるものである可能性がある」と同氏は述べた。

「また、一刻を争う契約の中断や遅延、経済活動の禁止などが原因である可能性もあります。 それは商取引、取引所、アトミックスワップ、エスクロー、ライトニングネットワークのHTLC支払いチャネルに影響を与える可能性がある」とフラー氏は付け加えた。

2年後にバグが再発見

INVDoS バグはすべての責任者に報告され、当時、次の一般的な識別子でパッチが適用されました。 CVE-2018-17145攻撃者に密告しないように、それほど多くの詳細は含まれていませんでした。

しかし、同じバグが夏の間に再発見されました。 ジャベド・カーン、 別の ビットコイン プロトコル エンジニアは、 デクレド 暗号通貨。

カーン氏はこのバグを Decred バグ報奨金プログラムに報告し、最終的には先月、より広い世界に公開されました。

全詳細 INVDoS 脆弱性全体については今週初めに公開されたため、他の暗号通貨 古いバージョンのビットコインプロトコルをフォークしたものは、それらが影響を受けるかどうかをチェックして確認できます。 良い。

「この脆弱性が実際に悪用された例は知られていない」とフラー氏とカーン氏は述べた。 「私たちが知る限りではそうではありません。」