Suuri vika Bitcoin Core -ohjelmistossa, jota ei pidä sekoittaa Bitcoin-järjestelmä, olisi voinut antaa hyökkääjien varastaa varoja, viivästyttää sopimuksia tai jakaa suuremman lohkoketjuverkon ristiriitaisiin versioihin, ellei sitä olisi salattu kaksi vuotta sitten.
Virhe koodissa
Salauskauppasivuston Purse-protokollainsinöörin Braydon Fullerin ja Handshake-protokollan vanhemman kehittäjän Javed Khanin keskiviikkona julkaiseman artikkelin mukaan he havaitsivat haavoittuvuuden kesäkuussa 2018.
Virheelle annettiin vakavuusluokitus 7,8 asteikolla 1-10, jota pidetään "korkeana" (9 ja sitä pidetään "kriittisenä"). Ongelman aiheutti "etäsolmut", jotka eivät tyhjentäneet virheellisiä tapahtumia muististaan, Khan sanoi.
Tällaisten tapahtumien peruuttamatta jättäminen voi johtaa hyökkäykseen, joka lataa uhrisolmulle vanhentuneita tietoja ns. "Hallitsemattomalle resurssien kulutukselle", mikä lopulta aiheuttaa solmun sammumisen, asiakirjassa todetaan.
Taso 2 (L2) -ratkaisut, kuten Lightning Network, kokeellinen maksujärjestelmä, joka on rakennettu Bitcoin-lohkoketjuun, olivat vaarassa tästä virheestä. Toisaalta Bitcoinin täydet solmut eivät vaaranneet menettää varoja.
Kokeita ongelman hyödyntämiseen ei ole paljastettu, Khan ja Fuller kirjoittivat. Haavoittuvuutta ei ole julkistettu yli kahden vuoden ajan, koska solmuoperaattoreiden päivittäminen kesti odotettua kauemmin, Fuller sanoi.
Vaikka virhe on korjattu, sen paljastaminen korostaa vaikeuksia rakentaa maailmanlaajuinen rahan standardi ihmisten luomille ohjelmointikielille, puhumattakaan korkeista teknisistä esteistä maailman suurimman kryptovaluutan kehittämisessä.
Koodin ongelma lisättiin Bitcoin Core -ohjelmaan marraskuussa 2017. Noin 50% tuolloin olevista Bitcoin-solmuista oli mahdollisesti alttiina hyökkäykselle asiakirjan mukaan. Aikaisemmilla Bitcoin Core -versioilla ei ole ollut tällaista ongelmaa.
Ei vain Bitcoin Core
Khan sanoi, että haavoittuvuus olisi voinut antaa hyökkääjän varastaa varoja solmuista, joilla oli avoimia kanavia Lightningissa. Kehittäjä Matt Corallo analysoi ja korjasi Bitcoin Core -versiot 0.16.0 ja 0.16.1 sen jälkeen kun Fuller ilmoitti heille Core-tiimille heinäkuussa 2018.
Bitcoin Core on verkko-ohjelmiston viitetoteutus tai vakioversio, josta monet muut johtuvat. Asiakirjan mukaan vika olisi voinut sisältää myös useita muita Bitcoinin ja sen johdannaisten toteutuksia:
- Bitcoin Knots v0.16.0
- Kaikki Bcoinin beetaversiot versioon v1.0.0-pre asti
- Kaikki Btcd-versiot v0.20.1-beeta-versioon asti
- Litecoin Core v0.16.0
- Namecoin Core v0.16.1
- Kaikki Dcrd-versiot versioon 1.5.1 asti.
Kaikki nämä toteutukset on korjattu.
