Проблемний баг Bitcoin Core - попередження і виправлення

Вище значущий баг в Bitcoin Core впливає на 17% повних вузлів

Розробники Bitcoin Core видали нове значуще попередження про програмний баг на одному з кожних шести вузлів Bitcoin.

У четвер, працівники проекту з відкритим кодом Bitcoin Core Project, які підтримують програмне забезпечення, що працює на понад 98% доступних повних вузлів, відзвітували, що існує серйозна проблема з безпекою у програмному забезпеченні, що працює на 17% мережі.

Зокрема, усе програмне забезпечення до версії Bitcoin Core 24.0.1 знаходиться під загрозою. Цей баг з відмовою в обслуговуванні впливає на приблизно 3,330 з 19,200 самостійно заявлених користувацьких агентів доступних повних вузлів Bitcoin, за даними оцінок від Bitnodes.

У попередньому програмному забезпеченні Bitcoin Core до 24.0.1, злочинна особа може спамити вузли ланцюгами заголовків низької складності. Примушуючи вузли завантажувати та зберігати надзвичайно довгі ланцюги заголовків, атака може збити вузол, перевантаживши пропускну здатність або зберігання на пристрої.

Розробники виправили цей баг у патчі Bitcoin Core pull request (PR) номер 25717 і включили це до продукції 12 грудня 2022 року з випуском v24.0.1. Поточна версія програмного забезпечення вузла Bitcoin Core, тепер на рівні 27.1, включає це та інші виправлення багів.

Незважаючи на достатню серйозність, на публічному запису існує декілька відомих експлуатацій цього багу. Цей баг має малу фінансову вигоду для атакуючого, оскільки його досить дорого створювати та транслювати ланцюжки заголовків для виконання відмови в обслуговуванні.

Тим не менш, це вразливість з безпеки, якою може скористатися дуже багата, потужна або висококваліфікована особа — така, як країна — хто може бажати нарушити функціонування Bitcoin з не-фінансовими або фінансовими відстроченими причинами. Чому розробники Bitcoin Core розкривають цей баг

З початку червня розробники погодилися розкривати серйозні баги в ПЗ Bitcoin Core, які були виправлені принаймні 18 місяців. Спочатку вони розкривали баги в версіях 20 і нижче. (Для контексту, сьогоднішня версія 27.1.)

Кожні кілька тижнів вони розкривали більше багів ПЗ. Зазначується, що ці випуски були в інтересах прозорості та як подяка за відповідальне розкриття добровільних розробок.

Однак з плином часу проект Bitcoin Core розкривав баги, що впливали на все більші та більші останні версії. У випуску на четвер описано значущі ризики для програмного забезпечення версій 24 та попередніх — включно з програмним забезпеченням, яке було випущено так пізно як 18 травня 2023 року.

В результаті цей вимкнення прозорості, представлене розробниками Bitcoin Core, яке багато спостерігачів спочатку відкидали як історичну цікавість, швидко впливає на сучасність.

Якщо оператори вузлів Bitcoin не оновлять своє програмне забезпечення, до 17% мережі може бути під загрозою атаки відмови в обслуговуванні.