Вразливість у Bitcoin: понад 13% вузлів під загрозою віддаленого вимкнення через помилку у програмному забезпеченні Core

Розробники Bitcoin сьогодні розкрили деталі ще однієї серйозної програмної помилки. Відповідно до інформації старших розробників Core, понад 13% особистих і бізнес-комп’ютерів у світі, які дотримуються правил Bitcoin, вразливі до віддаленого вимкнення.

Помилка, названа CVE-2024-35202, стосується Bitcoin-вузлів, які використовують програмне забезпечення Core версії до 25.0. Вузли, які не були оновлені до версії принаймні 25.0, дозволяють зловмиснику віддалено використати уразливість у логіці програмного забезпечення, яка обробляє повідомлення про транзакції блоків (`blocktxn`).

Конкретно, уразливість виникає з компактного блочного протоколу Core, який використовує скорочені ідентифікатори транзакцій для зменшення використання інтернет-каналів. Зловмисник може викликати колізію в цих ідентифікаторах, що змушує вузол запитувати повний блок.

Хоча запит на повний, не скорочений блок є запобіжним заходом, версії програмного забезпечення до 25.0 мають недолік у логіці обробки наступних повідомлень blocktxn. На короткострокову перспективу, вузол може бути змушений потрапити у недійсний стан через маніпуляцію логічними воротами, що призводить до його повного збої.

Більше деталей: Розробники Bitcoin, нарешті, визнають серйозні помилки в програмному забезпеченні Core. Багаторазову помилку виправлено з травня 2023 року, але Bitcoin Core не оновлюється автоматично.

Кредити за виявлення та розкриття вразливості надаються Нікласу Гогге, який також надав патч, реалізований у Bitcoin Core v25.0. Він виправив цю помилку в запиті на зміну Bitcoin Core номер 26898, і інші розробники об`єднали її в продукцію до 26 травня 2023 року.

На основі самостійно оголошених значень, які було викрито доступними через інтернет вузлами, що відслідковуються BitNodes.io, 13.7% з 18,843 вузлів, які працюють у мережі Bitcoin, є вразливими до атаки. Розробники закликають усіх операторів вузлів оновити своє програмне забезпечення, щоб виправити цю уразливість. Остання версія програмного забезпечення Bitcoin Core - 28.0.

Хоча це досить серйозно, помилка має невелику фінансову вигоду для середнього зловмисника, оскільки вимагає складної маніпуляції компактом блочного протоколу і не дозволяє подвійні витрати біткойну без координації різноманітних інших фінансових та соціальних інженерних схем.

Проте, це є уразливістю безпеки, яку можуть використовувати корпоративні або урядові актори, які хочуть порушити діяльність Bitcoin з фінансових причин.

Розкриття цієї помилки слідує останнім тенденціям розробників Bitcoin Core, які виявляють серйозні уразливості в старіших версіях програмного забезпечення. Оскільки програмне забезпечення Core за замовчуванням не оновлюється автоматично, операторам вузлів потрібно вручну вибрати завантаження, перевірку та оновлення свого програмного забезпечення.

Якщо оператори вузлів Bitcoin не оновлять своє програмне забезпечення, частина мережі може опинитися під загрозою вимкнення.