Среда , 24 Октябрь 2018

Криптосообщество обсуждает уязвимость Bitcoin Core и «Принудительное обновление»

Недавно исправленная уязвимость в Bitcoin Core была намного более серьезной, чем первоначально предполагалось, сообщили разработчики в обновленном заявлении в четверг.

Заявление, опубликованное на веб-сайте для проекта с открытым исходным кодом, показало, что версии Bitcoin Core 0.16.3 и 0.170rc4 не только исправляют ошибку отказа в обслуживании (DoS), но и устраняют серьезную уязвимость, которая позволила бы злоумышленникам искусственно раздувать поставку биткоина посредством определенного типа транзакции с двойным расходом.

Разработчики объясняют:

«Таким образом, в Bitcoin Core 0.15.X, 0.16.0, 0.16.1 и 0.16.2 любые попытки удвоить транзакционный вывод в рамках одной транзакции внутри блока, в случае если вывод был создан в том же блоке, приведут к ошибке утверждения (как это существует в тестовом примере, который был включен в патч 0.16.3). Однако, если вывод был создан в предыдущем блоке, запись все равно останется на карте CCoin с установленным флагом DIRTY и отмечена как потраченная, что не приведет к такому утверждению. Это может позволить майнеру раздувать поставку биткоинов с возможностью заявлять завышенную стоимость».

Первоначально разработчики раскрыли меньшую, но все же серьезную ошибку DoS, которая позволила бы майнерам разрушать ноды и нарушать работу сети Bitcoin. При этом они потеряли бы свою награду за блок, которая в настоящее время составляет 12,5 BTC (~ $83, 500 по состоянию на пятницу).

Согласно заявлению, эта ошибка присутствовала в программном обеспечении Bitcoin Core с версии 0.14, хотя до этой недели она не была обнаружена. В версии 0.15 была выявлена уязвимость раздувания.

Bitcoin Core ожидали обновления для достижения критической массы. Разработчики заявили, что они дождались полного выявления ошибки, чтобы предотвратить ее использование злоумышленниками до того, как обновленный клиент достигнет критической массы.

Из заявления:

«Чтобы стимулировать быстрые обновления, было принято решение немедленно исправить и разгласить менее серьезную уязвимость в отношении отказа в обслуживании, одновременно с тем, чтобы охватить майнеров, предпринимателей и другие затронутые системы, откладывая публикацию полной проблемы, чтобы дать время для обновления систем.»

Тем не менее, разработчики Core решили раскрыть всю степень уязвимости после того, как большая часть BTC хешрейта была обновлена до исправленного программного обеспечения. Тем не менее, операторы полного нода, которые еще не обновлены до последней версии Core, должны сделать это как можно скорее.

«В это время мы полагаем, что более половины хэшета Bitcoin уже обновлено до исправленных нодов. Мы не знаем о каких-либо попытках использовать эту уязвимость », — говорится в заявлении. «Тем не менее, по-прежнему остается критически важным, чтобы затронутые пользователи обновляли и применяли последние исправления, чтобы не было возможности больших реорганизаций, майнинга недопустимых блоков или принятия недействительных транзакций».

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *