В коде биткоина устранена критическая уязвимость, в течение двух лет угрожавшая сети

20.09.2018   \  Это интересно

Во вторник, 18 сентября, состоялся внеплановый релиз клиента Bitcoin Core под версией 0.16.3, благодаря которому была устранена критическая уязвимость, угрожавшая осуществлением DOS-атаки на сеть. Эксплуатация бага была, впрочем, непростой задачей, и к счастью им никто не воспользовался.

Как говорится в сопроводительных комментариях разработчиков Bitcoin Core, об уязвимости им сообщил пожелавший сохранить анонимность пользователь. Эксплуатация бага, который получил название CVE-2018-1744, позволяла злоумышленнику нарушить работу почти 90% нод, при этом для проведения атаки потребовалось бы всего 12.5 BTC – размер награды, получаемой в настоящее время майнерами за найденный блок. Встроенный в Bitcoin Core и предназначенный для ускорения распространения блоков движок The Fast Internet Bitcoin Relay Engine (FIBRE) при этом мог бы усугубить ситуацию.

В почтовой рассылке Optech объясняется, что баг CVE-2018-17144 появился в версии Bitcoin Core 0.14.0, релиз которой состоялся в ноябре 2016 года, и затрагивал все последующие версии вплоть до 0.16.2. Его эксплуатация позволяла нарушить работу сети при попытке валидировать блок, содержащий транзакцию, которая пытается дважды потратить один и тот же вход. Такой блок был бы недействительным и мог быть создан только майнерами, готовыми отказаться от потери награды в размере 12.5 BTC (около $80 000 по текущему курсу).

Операторам нод, соответственно, рекомендуется в срочном порядке обновиться до новой версии Bitcoin Core или до новой версии BitcoinABC для сети Bitcoin Cash. Клиент Bitcoin Unlimited уязвимость не затронула. Также о выпуске необходимого фикса сообщили разработчики Litecoin.

Разработчики также отдельно сделали акцент на том, что выявленная уязвимость могла иметь весьма негативные последствия для Lightning Network, по-прежнему находящейся в экспериментальной стадии сети для быстрых и дешевых транзакций.

Стоит отметить, что данная уязвимость оказалась результатом так называемого человеческого фактора, и несут за нее ответственность те разработчики, которые одобрили советующее изменение кода. В их числе оказались, например, Грегори Максвелл, Владимир ван дер Лаан и Мэтт Коралло.

Однако, как прокомментировал эту ситуацию разработчик OpenBazaar Крис Спасия, он не критикует виновных, а критикует «идиотов-минималистов», которые видят в разработчиках Bitcoin Core чуть ли не богов.

Со стороны разработчиков Bitcoin Core пока не последовало заявлений касательно того, будет ли проведен какой-либо анализ инцидента и будет ли сделан публичный отчет о причинах случившегося и как избежать повторения таких случаев в будущем.

Напомним, ранее ForkLog писал о готовящемся в выходу новому релизу Bitcoin Core 0.17.0.



Источник - forklog

Авторизуйтесь, чтобы оставить комментарий.
Точка зрения    Вчера 14:42

Почему инвесторы устроили распродажу акций "Яндекса"

Тимур Нигматуллин, аналитик «Открытие Брокер». Акции «Яндекса» на Мосбирже сильно подешевели после публикации «Ведомостей» о намерении Сбербанка стать его крупным акционером. Стоимость одной бумаги российской IT-компании упала с 2310 руб. на 17.00 18 октября до 2095 на 12.00 1...

Точка зрения    Вчера 13:14

Что позволило Минфину повысить прогноз профицита бюджета в 4,4 раза

Олег Шибанов, профессор финансов Российской экономической школы. Министерство финансов России повысило прогноз профицита федерального бюджета по итогам 2018 года в 4,4 раза — с 481,74 млрд рублей до 2,138 трлн руб., следует из проекта поправок в закон «О федеральном бюджете на...

   

Мы на Facebook