Что помогло избежать кризиса в криптосфере?

На прошлой неделе в сети биткоина нашли критическую уязвимость, которая оставалась незамеченной в течение 18 месяцев. К чему это могло привезти?

Если бы кому-то удалось ею воспользоваться, хакеры смогли бы обрушить все узлы в сети, и криптовалюта была бы буквально уничтожена.

Уязвимость, категоризированная как CVE-2018-17144, была неизвестным побочным эффектом от апдейта 2017 года. В нем удалили функцию проверки валидации, чтобы снизить время на обработку блока до 600 микросекунд. Такой шаг создал уязвимость в софте Bitcoin Core, что могло привести к печальным последствиям.

Эта уязвимость была найдена разработчиком проектов Bitcoin Cash и Bitcoin Unlimited, "awemany". Этот разработчик чуть позже опубликовал в Twitter доклад, где раскритиковал создателей Bitcoin Core.

К счастью, сеть биткоина осталась невредимой, а уязвимость быстро устранили новым патчем, Bitcoin Core v0.16.3. Его скачали и установили большинство майнеров в течение последующих 12 часов.

Насколько серьёзной была уязвимость?

Согласно правилам безопасности, полное описание уязвимости было озвучено сообществу лишь после того, как разработчикам удалось полностью нивелировать любой шанс того, что злоумышленники могут ей воспользоваться.

По их словам, уязвимость была не слишком опасной, хотя и привела бы к полному отказу всей системы:

"Чтобы провести следующее обновление, мы решили сразу же залатать дыру, которая вела к отказу всей системы. Эта уязвимость затронула бы майнеров, организации и прочие системы, использующие биткоин. Полный доклад будет доступен только после того, как вся система обновится".

Спустя несколько дней после того, как большинство узлов снабдили новым патчем, разработчики открыли сообществу всю правду о втором компоненте данного бага — потенциально катастрофическая уязвимость, которая позволила бы создавать новые биткоины без майнинга.

То есть, это позволило бы враждебно настроенным майнерам выпускать блоки с несуществующими транзакциями. В итоге, поврежденные блоки, циркулируя по всей сети, привели бы к тому, что система начала работать неправильно, и позволяла бы проводить двойную трату биткоина.

Впрочем, не только биткоин страдает от подобных уязвимостей. Как известно, биткоин является главным токеном, от которого ответвились несколько аналогичных, таких как лайткоин и биткоин кэш, которые опираются на те же версии софта Bitcoin Core.

Несмотря на то, что эти основные хардфорки также были пропатчены соответствующим апдейтом, остальные альткоины могут быть под угрозой.

Растущая база кодов

Короткая история биткоина уже полнится дырами в системе, большинство из которых затрагивают сами клиенты биткоина.

Несмотря на то, что основной протокол биткоина считают абсолютно иммунным, клиенты имеют целый ряд уязвимостей.

К таким клиентам относят, например, почтовые сервисы, постоянно контактирующие с основной сетью. И здесь, как в любом софте, встречаются баги и различные уязвимости. 

Поскольку клиенты сети биткоина — это софты с открытым кодом, то кто угодно может выпустить свою версию. 

Так и происходит — было выпущено уже множество патчей, но с каждым из них, хотя и решается множество старых проблем, появляется столько же новых.

Согласно экспертам, уязвимости, подобные найденной недавно, становятся редкостью. Но пугает мысль о том, что даже в таком популярном сервисе для биткоина, который используют многие майнеры, все еще можно столкнуться с серьезными проблемами. 

Совместный поиск решений

Тем не менее, радует тот факт, что найденной уязвимостью никто так и не воспользовался.

Возможно, кто-то из майнеров о ней догадывался, но не использовал, чтобы не обрушить всю сеть, из-за чего плохо было бы всем.

Кроме того, обнадеживает, что эту уязвимость не использовали и конкурирующие разработчики. Несмотря на расхожее мнение о том, что в бизнесе есть некоторые сложности с доверием. 

Надо наслаждаться жизнью — сделай это, подписавшись на одно из представительств Pravda. Ru в Telegram; Одноклассниках; ВКонтакте; News.Google.

Автор Никита Лисицын
Никита Лисицын — журналист, внештатный корреспондент Правды.Ру
Обсудить